运维07：堡垒机

什么是跳板机

跳板机就是一台服务器而已，运维人员在使用管理服务器的时候，必须先连接上跳板机，然后才能去操控内网中的服务器，才能登录到目标设备上进行维护和操作

开发小张 ---> 登录跳板机 ---> 再登录开发服务器

测试小王 ---> 登录跳板机 ---> 再登录测试服务器

跳板机的优缺点

优点：集中式对服务器进行管理

缺点：没有实现对于运维人员操作的监控和审计。使用跳板机的过程中，还有可能在服务器上进行错误的操作。一旦出现错误操作，很难定位到操作人。

堡垒机运维思想

• 审计也只是事后的行为，审计能够发现问题和责任人，但是无法防止问题的发生
• 只有实现事先严格监控，才能够在源头上解决服务器操作的事故
• 堡垒机能够创建系统账号，该系统账号功能是属于角色区分的作用，但是也无法确认该账号的执行人，比如 测试员工可以登录运维员工的账号

堡垒机的作用

堡垒机在跳板机的基础上做了优化

• 核心系统运维和安全审计管理
• 过滤和拦截非法请求访问、恶意攻击，拒绝不合法的命令，进行审计口监控、报警和责任追踪
• 报警、记录、分析、处理

堡垒机核心功能

• 单点登录功能
• 账号管理
• 身份认证
• 资源授权
• 访问控制
• 操作审计

JumpServer核心架构讲解

官方文档：JumpServer 文档 

组件介绍

核心架构

JumpServer服务器部署 

#Linux服务器准备，硬件配置：2cpu 4G内存 50G硬盘

环境初始化

#环境准备，关闭防火墙服务
sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config
systemctl disable --now firewalld
reboot
 
 
#配置yum源，准备好阿里云的yum源，以及epel源
wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo
wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo
yum clean all  #清空原有的yum缓存
yum makecache  #生成新的yum缓存，便于加速软件下载
 
#安装系统初始化所需的软件
yum install -y bash-completion vim lrzsz wget expect nettools nc nmap tree dos2unix htop iftop iotop unzip telnet sl psmisc nethogs glances bc ntpdate openldap-devel gcc
 
#安装jumpserver运行所需的依赖环境
yum -y install git python-pip gcc automake autoconf pythondevel vim sshpass lrzsz readline-devel zlib zlib-devel openssl openssl-devel
 
#修改系统的字符集，改为是中文的
localedef -c -f UTF-8 -i zh_CN zh_CN.UTF-8
export LC_ALL=zh_CN.UTF-8
 
#把修改字符集的命令，写入全局配置文件
echo 'LANG="zh_CN.UTF-8"' > /etc/locale.conf
 
#检查系统编码
locale

部署数据库mysql 5.6

#获取mysql 5.6的软件包
mkdir /teach_jmp
cd /teach_jmp/
wget https://cdn.mysql.com//Downloads/MySQL-5.6/MySQL-5.6.49-1.el7.x86_64.rpm-bundle.tar
 
#解压缩
mkdir mysql_rpm
tar -xf MySQL-5.6.49-1.el7.x86_64.rpm-bundle.tar -C ./mysql_rpm/
 
#使用yum命令，安装一系列的rpm包
cd mysql_rpm
yum localinstall ./*
 
#安装完毕后，检查mysql的配置文件，做如下的修改
vim /etc/my.cnf
[mysqld_safe]
log-error=/var/log/mysql/mysql.log
pid-file=/var/run/mysql/mysql.pid
 
#启动mysql服务端
systemctl start mysql
 
#修改密码
[root@jumpserver mysql_rpm]# cat ~/.mysql_secret    #查看随机密码
# The random password set for the root user at Tue Dec 12 15:23:04 2023 (local time): l9KyFuhIg7um_BDm
[root@jumpserver mysql_rpm]# mysqladmin -uroot -pl9KyFuhIg7um_BDm password 你要设置的密码
 
#使用新密码登录mysql 5.6
mysql -uroot -p
 
#更为安全的修改密码的方法：使用随机密码登录mysql，然后再使用以下sql语句，然后再刷新，再用新密码登录mysql 5.6
update mysql.user set password=password('你的密码') where user='root';
flush privileges;
 
#创建数据库
create database jumpserver default charset 'utf8' collate 'utf8_bin';
 
#创建用户且设置密码
create user 'jumpserver'@'%' IDENTIFIED BY '密码';
 
#给该用户授予访问数据库的权限
grant all privileges on jumpserver.* to 'jumpserver'@'%' identified by 'chaoge888';
flush privileges;

部署Python3.6

#下载python3.6源代码
cd /teach_jmp && \
wget https://www.python.org/ftp/python/3.6.10/Python-3.6.10.tgz
 
#解压缩
tar -zxf Python-3.6.10.tgz
 
#指定安装路径
cd Python-3.6.10
./configure --prefix=/teach_jmp/python3.6.10/
 
#编译且编译安装
make && make install
 
#配置环境变量
vim /etc/profile 
在文件最后添加 PATH="/teach_jmp/python3.6.10/bin:$PATH"
 
#让刚才配置的环境变量生效
source /etc/profile
 
#使用环境变量的方式，启动python3
python3

创建Python3虚拟环境详解

#python3的程序在运行的时候，必须使用pip3安装模块，类似以前的yum
 
#更换pip3的下载源，换成阿里云的下载源
mkdir ~/.pip
touch ~/.pip/pip.conf
[root@jumpserver ~]# vim ~/.pip/pip.conf
[root@jumpserver ~]# cat ~/.pip/pip.conf
[global]
index-url = https://mirrors.aliyun.com/pypi/simple/
 
#下载虚拟环境工具
pip3 install virtualenv
 
#使用虚拟环境工具，再创建出一个python3解释器，用于运行代码
cd /teach_jmp
virtualenv --python=python3 jmp_venv1
 
#此时，你的linux服务器上就有了2个python3解释器了
#解释器本体是：/teach_jmp/python3.6.10/bin/python3
#我们创建的虚拟解释器的路径是：/teach_jmp/jmp_venv1/bin/python3
 
#那个python3的解释器的环境变量排在前面，默认用的就是哪个python3解释器
[root@jumpserver teach_jmp]# echo $PATH
/teach_jmp/python3.6.10/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/root/bin
[root@jumpserver teach_jmp]# which python3
/teach_jmp/python3.6.10/bin/python3
 
#激活虚拟环境，其实是修改了环境变量，
source /teach_jmp/jmp_venv1/bin/activate
(jmp_venv1) [root@jumpserver teach_jmp]# echo $PATH
/teach_jmp/jmp_venv1/bin:/teach_jmp/python3.6.10/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/root/bin
(jmp_venv1) [root@jumpserver teach_jmp]# which python3
/teach_jmp/jmp_venv1/bin/python3
 
#可以退出虚拟环境
deactivate
[root@jumpserver teach_jmp]# which python3
/teach_jmp/python3.6.10/bin/python3

 Redis数据库部署

mysql关系型数据库，磁盘型数据库，数据是以文件形式存储在磁盘上的，可以持久化长期存储。

redis内存型数据库，缓存型数据库。

#安装redis的形式
#rpm包手动安装，需要手动解决依赖，不推荐使用
#yum自动化安装，适合软件调试学习使用，安装自动解决依赖，很好用
#源代码编译安装redis
 
#选择yum自动化安装即可
yum install redis -y
 
#启动redis
systemctl start redis
redis-cli

部署jumpserver服务

一个后台程序，基本上都是需要依赖于数据库才能运行，后台程序在启动的时候，代码就会去连接数据库，保证数据库正确启动，而且可以正确连接，否则后台程序是起不来的。

#获取jumpserver程序的代码，github有公有仓库，所有人都可以下载，私有仓库，只有企业内部人员，用账号密码登录后下载
wget https://github.com/jumpserver/jumpserver/releases/download/v2.1.0/jumpserver-v2.1.0.tar.gz
 
#解压缩
tar -zxvf jumpserver-v2.1.0.tar.gz
 
#软链接
ln -s /teach_jmp/jumpserver-v2.1.0 /teach_jmp/jumpserver
 
#安装依赖关系
yum install -y bash-completion vim lrzsz wget expect net-tools nc nmap tree dos2unix htop iftop iotop unzip telnet sl psmisc nethogs glances bc ntpdate openldap-devel
 
#激活虚拟环境
source /teach_jmp/jmp_venv1/bin/activate
 
#安装jumpserver所需的模块
pip3 install -r /teach_jmp/jumpserver/requirements/requirements.txt

修改JumpServer配置文件

#先备份一下配置文件
cp config_example.yml config.yml
 
#生成密钥
if [ "$SECRET_KEY" = "" ]; then SECRET_KEY=`cat /dev/urandom | tr -dc A-Za-z0-9 | head -c 50`; echo "SECRET_KEY=$SECRET_KEY" >> ~/.bashrc; echo $SECRET_KEY; else echo $SECRET_KEY; fi
JtSaSJPkG8wea50Y1xQAULvI09dVHPeIjLGfRWnXMRhD3lPgCP
 
 
#生成token密钥
if [ "$BOOTSTRAP_TOKEN" = "" ]; then BOOTSTRAP_TOKEN=`cat /dev/urandom | tr -dc A-Za-z0-9 | head -c 16`; echo "BOOTSTRAP_TOKEN=$BOOTSTRAP_TOKEN" >> ~/.bashrc; echo $BOOTSTRAP_TOKEN; else echo $BOOTSTRAP_TOKEN; fi
0OjU5LGYrJmMKKmt
 
#把刚才生成的随机密钥，写入配置文件
vim config.yml

对python程序进行数据库迁移

jumpserver这个程序是由python的web框架djiango开发而来，必须得先进行数据库迁移，生成库表的信息，才能运行程序

#数据迁移
python3 /teach_jmp/jumpserver/apps/manage.py makemigrations
python3 /teach_jmp/jumpserver/apps/manage.py migrate
 
#启动jms服务
/teach_jmp/jumpserver/jms start -d

Koko程序部署

koko是golang语言开发的一款组件，和之前的coco组件（python开发的）相比，koko的性能、效率、系统资源利用率都更高了。

#下载koko源代码
wget https://github.com/jumpserver/koko/releases/download/v2.1.0/koko-v2.1.0-linux-amd64.tar.gz
 
#解压缩配置koko文件
tar -zxf koko-v2.1.0-linux-amd64.tar.gz
chown -R root:root koko-v2.1.0-linux-amd64
ln -s /teach_jmp/koko-v2.1.0-linux-amd64 /teach_jmp/koko
 
#修改koko配置文件信息
cd koko
cp config_example.yml config.yml
vim config.yml

#启动koko 
/teach_jmp/koko/koko -d
 
#可以检查koko的日志，明确koko是否正确启动
tail /teach_jmp/koko/data/logs/koko.log
 
#检查koko的端口
netstat -tunlp

部署Guacamole组件

#在https://guacamole.apache.org/releases下载压缩包，然后用rz命令，把压缩包从windows传到Linux的/teach_jmp
 
 
#解压缩、配置
tar -zxvf guacamole-server-1.2.0.tar.gz
mv guacamole-server-1.2.0 guacamole
cd guacamole
 
#准备编译环境
yum install cairo-devel libjpeg-turbo-devel libjpeg-devel libpng-devel libtool uuid-devel -y
 
#可选的软件依赖
yum install freerdp-devel pango-devel libssh2-devel libtelnet-devel libvncserver-devel libwebsockets-devel pulseaudio-libs-devel openssl-devel libvorbis-devel libwebp-devel -y
 
 
#安装FFmPeg工具
rpm -Uvh http://li.nux.ro/download/nux/dextop/el7/x86_64/nux-dextop-release-0-5.el7.nux.noarch.rpm
yum install ffmpeg
yum install vlc
 
#编译安装guacamole
./configure --with-init-dir=/etc/init.d
make && make install
 
#部署java开发环境
yum install -y java-1.8.0-openjdk
 
#创建运行guacamole所需的文件夹
mkdir -p /config/guacamole /config/guacamole/extensions  /config/guacamole/record /config/guacamole/drive && \
chown daemon:daemon /config/guacamole/record /config/guacamole/drive && \
cd /config
 
#下载tomcat工具，用于运行java项目
#在https://mirrors.tuna.tsinghua.edu.cn/apache/tomcat/tomcat-9/v9.0.85/bin/apache-tomcat-9.0.85.tar.gz目录下载压缩包到windows，然后再用rz命令把它传到Linux系统的/opt目录下
 
#部署guacamole和tomcat的结合，需要修改它们的配置文件
cd /opt
tar -xf apache-tomcat-9.0.85.tar.gz
mv apache-tomcat-9.0.85 tomcat9
rm -rf /opt/tomcat9/webapps/*
sed -i 's/Connector port="8080"/Connector port="8081"/g' /opt/tomcat9/conf/server.xml
echo "java.util.logging.ConsoleHandler.encoding = UTF-8" >> /opt/tomcat9/conf/logging.properties
#设置guacamole的运行环境变量
export JUMPSERVER_SERVER=http://127.0.0.1:8080
echo "export JUMPSERVER_SERVER=http://127.0.0.1:8080" >> ~/.bashrc
export BOOTSTRAP_TOKEN=0OjU5LGYrJmMKKmt
echo "export BOOTSTRAP_TOKEN=0OjU5LGYrJmMKKmt" >> ~/.bashrc
export JUMPSERVER_KEY_DIR=/config/guacamole/keys
echo "export JUMPSERVER_KEY_DIR=/config/guacamole/keys" >> ~/.bashrc
export GUACAMOLE_HOME=/config/guacamole
echo "export GUACAMOLE_HOME=/config/guacamole" >> ~/.bashrc
export GUACAMOLE_LOG_LEVEL=ERROR
echo "export GUACAMOLE_LOG_LEVEL=ERROR" >> ~/.bashrc
export JUMPSERVER_ENABLE_DRIVE=true
echo "export JUMPSERVER_ENABLE_DRIVE=true" >> ~/.bashrc
#启动服务
/etc/init.d/guacd start
sh /opt/tomcat9/bin/startup.sh

Lina组件部署

#提前准备好nginx服务
yum install nginx -y
 
#获取代码
wget https://github.com/jumpserver/lina/releases/download/v2.1.0/lina-v2.1.0.tar.gz
 
#解压缩lina
tar -zxvf lina-v2.1.0.tar.gz
mv lina-v2.1.0 lina
chown -R nginx:nginx lina

Luna组件部署

#下载源码
wget https://github.com/jumpserver/luna/releases/download/v2.1.1/luna-v2.1.1.tar.gz
 
#解压配置
tar -zxvf luna-v2.1.1.tar.gz
mv luna-v2.1.1 luna
chown -R root.root luna

部署nginx

nginx作用于处理静态文件，以及用于对jumpserver后台程序的反向代理

#安装nginx
yum install nginx -y
 
#修改nginx配置文件，删除原来的虚拟主机配置
sed -i '38,58d' /etc/nginx/nginx.conf
 
#添加新的虚拟主机配置
server {
 listen 80;
 client_max_body_size 100m;  #录像及文件上传大小限制
 location /ui/ {
 try_files $uri / /index.html;
 alias /teach_jmp/lina/;
 }
 location /luna/ {
 try_files $uri / /index.html;
 alias /teach_jmp/luna/; # luna路径，如果修改安装目录，此处需要修改
 }
 location /media/ {
 add_header Content-Encoding gzip;
 root /teach_jmp/jumpserver/data/;   #录像位置，如果修改安装目录，此处需要修改
 }
 location /static/ {
 root /teach_jmp/jumpserver/data/; # 静态资源，如果修改安装目录，此处需要修改
 }
 location /koko/ {
 proxy_pass http://localhost:5000;
 proxy_buffering off;
 proxy_http_version 1.1;
 proxy_set_header Upgrade $http_upgrade;
 proxy_set_header Connection "upgrade";
 proxy_set_header X-Real-IP $remote_addr;
 proxy_set_header Host $host;
 proxy_set_header X-Forwarded-For
$proxy_add_x_forwarded_for;
 access_log off;
 }
 location /guacamole/ {
 proxy_pass http://localhost:8081/;
 proxy_buffering off;
 proxy_http_version 1.1;
 proxy_set_header Upgrade $http_upgrade;
 proxy_set_header Connection $http_connection;
 proxy_set_header X-Real-IP $remote_addr;
 proxy_set_header Host $host;
 proxy_set_header X-Forwarded-For
$proxy_add_x_forwarded_for;
 access_log off;
 }
 location /ws/ {
 proxy_set_header X-Real-IP $remote_addr;
 proxy_set_header Host $host;
 proxy_set_header X-Forwarded-For
$proxy_add_x_forwarded_for;
 proxy_pass http://localhost:8070;
 proxy_http_version 1.1;
 proxy_buffering off;
 proxy_set_header Upgrade $http_upgrade;
 proxy_set_header Connection "upgrade";
 }
 location /api/ {
 proxy_pass http://localhost:8080;
 proxy_set_header X-Real-IP $remote_addr;
 proxy_set_header Host $host;
 proxy_set_header X-Forwarded-For
$proxy_add_x_forwarded_for;
 }
 location /core/ {
 proxy_pass http://localhost:8080;
 proxy_set_header X-Real-IP $remote_addr;
 proxy_set_header Host $host;
 proxy_set_header X-Forwarded-For
$proxy_add_x_forwarded_for;
 }
 location / {
 rewrite ^/(.*)$ /ui/$1 last;
 }
}
 
#启动nginx
nginx

然后在浏览器输入你机器的ip地址，会出现以下界面

用户名和密码默认都是admin 

jumpserver启动流程总结

#启动数据库mysql redis
systemctl start mysql
systemctl start redis
 
#激活python的虚拟环境，然后启动jms核心后台
source /teach_jmp/jmp_venv1/bin/activate
/teach_jmp/jumpserver/jms start -d
 
#启动koko程序
/teach_jmp/koko/koko -d
 
#guacamole程序启动
/etc/init.d/guacd start
 
#启动tomcat程序
bash /opt/tomcat9/bin/startup.sh
 
#web服务器启动
nginx

给目标机器添加防火墙规则

设置防火墙规则，只允许堡垒机登录Linux

#只允许jumpserver机器的ip可以登录，其他机器拒绝
iptables -A INPUT -s 192.168.13.130 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j REJECT

JumpServer配置邮箱

 其中，SMTP密码如下：

JumpServer创建用户

 

JumpServer资产创建管理

资产：服务器、交换机、路由器等设备

资产中的用户管理

添加资产 

管理用户

Root 超级管理员

sudo 命令，伪管理员，默认以root身份去执行命令，因此要慎用，我们可以基于sudo命令做更多的权限控制

wangcai 系统的普通用户，权限很低

admin jumpserver 管理员用户

qiujie jumpserver 普通用户，权限较低

管理用户【客户端 --> jumpserver -->目标服务器】

普通用户指的就是被管理机器上的root用户，或者是可以使用sudo权限的用户，jumpserver利用该管理用户在目标机器上，进行远程的命令执行，推送系统用户，获取资产的硬件信息、指标等。

系统用户 

 

/etc/passwd 是系统级的超级用户、普通用户等等，有些是可以允许登录服务器的，使用ssh协议.。

jumpserver 的系统用户，针对jumpserver操控，登录普通机器，所使用的一些特有用户

资产授权

 

 

web终端功能

Luna提供web终端界面

 

命令行跳板机

koko的功能来了

#在xshell中输入命令，登录jumpserver
ssh admin@192.168.xxx.130 -p 2222

然后就会进入以下界面