概述
JumpServer官网:https://www.jumpserver.org/
JumpServer官网文档:https://docs.jumpserver.org/zh/v4/
GitHub地址:https://github.com/jumpserver/jumpserver
JumpServer 是一款由开源中国(OSCHINA)旗下团队使用python开发的开源堡垒机体系,遵照 Apache 2.0 开源协议。作为企业级的运维安全审计解决方案,它紧张用于解决复杂环境下的服务器、网络设备、云资源等资产的集中管理、权限控制、操纵审计等问题,资助企业实现合规性管理并降低运维风险。
JumpServer分为开源版和企业版,开源版仅提供底子功能,得当中小企业或技能团队自主搭建,而企业版则支持集群部署,高可用(HA),多云管理,定制化开发等高级功能,得当企业和复杂场景(钱的好处-.-,还是有钱好哇)
JumpServer作用
- 同一资产管理
- 支持管理多种类型资产,包罗 Linux/Windows 服务器、网络设备(如交换机、路由器)、数据库、云主机(如 AWS、阿里云、腾讯云等) 等。
- 资产可按部分、环境(生产 / 测试)、标签等维度分组管理,方便权限分配和审计。
- 细粒度权限控制
- 基于 RBAC(角色访问控制) 模型,可灵活创建用户、角色、资产组的关联关系。
- 支持动态授权,例如按时间段、协议(SSH/RDP/Telnet/MySQL 等)、IP 来源限制访问权限。
- 多协议支持与会话管理
- 支持 SSH、RDP、Telnet、VNC、MySQL、Redis 等主流协议的远程连接。
- 提供 会话录制与及时监控,管理员可及时检察用户操纵,或通过录像回放追溯历史操纵,满足审计需求。
- 审计与日记管理
- 主动记录所有效户操纵日记,包罗登录日记、命令执行记录、文件传输记录等。
- 支持日记检索、统计分析,可导出日记用于合规性查抄(如等保、分保要求)。
- 双因子认证(2FA)
- 支持 Google Authenticator、RSA 令牌、短信验证等二次认证方式,增强登录安全性。
- 插件扩展与 API 接口
- 提供丰富的插件机制(如 LDAP/AD 集成、Sentry 监控、K8s 管理等),支持与企业现有体系对接。
- 开放 RESTful API,方便与 ITSM、CMDB 等平台集成,实现主动化运维流程。
JumpServer单机部署
这里部署v4版本的JumpServer
环境信息
我这里仅使用一台呆板作为安装,仅当做示例,生产环境必要将MySQL和JumpServer分开。
IP体系描述10.0.0.10Ubuntu22.04用于安装MySQL10.0.0.10Ubuntu22.04用于安装JumpServer安装MySQL
MySQL版本必要5.7版本及以上,这里保举参考这篇文章进行搭建MySQL:Linux体系搭建单机MySQL8.0.26版本
搭建完成数据库之后,必要执行下面的sql- create database jumpserver default charset 'utf8';
- mysql> create database jumpserver default charset 'utf8';
- Query OK, 1 row affected, 1 warning (0.01 sec)
- mysql> show databases;
- +--------------------+
- | Database |
- +--------------------+
- | information_schema |
- | jumpserver | # 创建的数据库
- | mysql |
- | performance_schema |
- | sys |
- +--------------------+
- 5 rows in set (0.03 sec)
Redis必要6.0版本以上,安装方式可以参考这篇文章:Redis介绍及6.2.x版本安装
安装Docker
JumpServer启动依赖Docker,这里你可以选择安装或者不安装(不安装的话,安装jumpserver时会主动帮你安装)。
我们可以自己安装好对应的Docker服务,可以参考这篇文章:https://www.cnblogs.com/huangSir-devops/p/18822041#_label2
安装JumpServer
下载前置工具- apt-get update
- apt-get install -y wget curl tar gettext iptables
参考这篇文章:https://docs.jumpserver.org/zh/v4/installation/setup_linux_standalone/online_install/#1
离线安装:
前去JumpServer官网下载安装包:https://community.fit2cloud.com/#/download/jumpserver/v4-10-0-lts
下载完成之后上传至服务器中解压即可,我们这里使用离线安装- # 我这里已经上传至服务器中了
- [root@lb ~]# ll jumpserver-ce-v4.10.0-x86_64.tar.gz
- -rw-r--r-- 1 root root 1097249413 May 1 21:51 jumpserver-ce-v4.10.0-x86_64.tar.gz
- # 解压
- [root@lb ~]# tar -xvf jumpserver-ce-v4.10.0-x86_64.tar.gz
- # 创建软连接
- [root@lb ~]# ln -s jumpserver-ce-v4.10.0-x86_64 jumpserver
- # 修改配置文件
- [root@lb ~/jumpserver]# vim config-example.txt
- # 主要修改以下基本内容
- VOLUME_DIR=/data00/data/jumpserver
- # 可以用cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 50 | head -n 1 该命令生成
- SECRET_KEY=k1Vx3xZScIbbbNamemXvZvtOmPJ4fJ3txO3ZLCXASEXvLyFK7K
- # 可以用cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 16 | head -n 1 该命令生产
- BOOTSTRAP_TOKEN=aYoYCQKqta2SdAyF
- LOG_LEVEL=WARN
- # 数据库的配置
- DB_ENGINE=mysql
- DB_HOST=10.0.0.10
- DB_PORT=3306
- DB_USER=root
- DB_PASSWORD=huangsir
- DB_NAME=jumpserver
- # redis的配置
- REDIS_HOST=10.0.0.10
- REDIS_PORT=6379
- REDIS_PASSWORD=123456
- # 启动后的http端口号
- HTTP_PORT=1180
- #指定 Jumpserver 可访问的域名或 IP 地址及端口,该值可以写多个,也可以配置你的域名
- DOMAINS=10.0.0.10:1180
- # 配置https请求,我这里没有配置
- # HTTPS_PORT=443
- # SERVER_NAME=your_domain_name
- # SSL_CERTIFICATE=your_cert
- # SSL_CERTIFICATE_KEY=your_cert_key
- [root@lb ~/jumpserver]# mkdir -p /opt/jumpserver/config && cp /root/jumpserver/config-example.txt /opt/jumpserver/config/config.txt
- [root@lb ~/jumpserver]# ./jmsctl.sh install
- 2. Configure Persistent Directory
- # 这里输入y
- Do you need custom persistent store, will use the default directory /data00/data/jumpserver? (y/n) (default n): y
- To modify the persistent directory such as logs video, you can select your largest disk and create a directory in it, such as /data/jumpserver
- Note: you can not change it after installation, otherwise the database may be lost
- Filesystem Size Used Avail Use% Mounted on
- /dev/mapper/ubuntu--vg-ubuntu--lv 47G 24G 21G 54% /
- # 直接回车
- Persistent storage directory (default /data00/data/jumpserver):
- complete
- 3. Configure DB
- # 这里输入y
- Do you want to use external MySQL? (y/n) (default y): y
- # 这里可能会让你输入IP,你就输入配置文件中的IP即可,如果和我的一样,则直接回车
- Please enter DB server IP (default 10.0.0.10):
- # 下面的四步直接回车
- Please enter DB server port (default 3306):
- Please enter DB database name (default jumpserver):
- Please enter DB username (default root):
- Please enter DB password (default huangsir):
- complete
- 4. Configure Redis
- # 这里可以直接回车
- Please enter Redis Engine? (redis/sentinel) (default redis): redis
- # 这里输入y
- Do you want to use external Redis? (y/n) (default y): y
- # 这里可能会让你输入IP,你就输入配置文件中的IP即可,如果和我的一样,则直接回车
- Please enter Redis server IP (default 10.0.0.10):
- # 下面的两步直接回车
- Please enter Redis server port (default 6379):
- Please enter Redis password (default 123456):
- complete
- 5. Configure External Access
- # 这里输入y
- Do you need to customize the JumpServer external port? (y/n) (default n): y
- # 直接回车即可
- JumpServer web port (default 1180):
- complete
启动JumpServer
- # 没有报错代表启动成功
- [root@lb ~/jumpserver]# ./jmsctl.sh start
- [+] Running 6/6
- ✔ Container jms_lion Started 11.7s
- ✔ Container jms_chen Started 11.7s
- ✔ Container jms_web Started 11.8s
- ✔ Container jms_core Started 11.8s
- ✔ Container jms_celery Started 12.0s
- ✔ Container jms_koko Started
- # 验证一下容器的启动状态,这里需要等待几分钟之后,等待health: starting转为healthy
- [root@lb ~/jumpserver]# docker ps -a
- CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
- 93f7bbf1751d jumpserver/core:v4.10.0-ce "./entrypoint.sh sta…" 33 seconds ago Up 21 seconds (health: starting) 8080/tcp jms_celery
- 0441f6f225b0 jumpserver/web:v4.10.0-ce "/docker-entrypoint.…" 33 seconds ago Up 21 seconds (health: starting) 80/tcp, 0.0.0.0:1180->1180/tcp, [::]:1180->1180/tcp jms_web
- b0f855665246 jumpserver/core:v4.10.0-ce "./entrypoint.sh sta…" 33 seconds ago Up 21 seconds (health: starting) 8080/tcp jms_core
- 2b3d1ab4c968 jumpserver/koko:v4.10.0-ce "./entrypoint.sh ./k…" 33 seconds ago Up 21 seconds (health: starting) 0.0.0.0:2222->2222/tcp, [::]:2222->2222/tcp jms_koko
- c845d9807738 jumpserver/chen:v4.10.0-ce "./entrypoint.sh wisp" 33 seconds ago Up 21 seconds (health: starting) 8082/tcp jms_chen
- 4e8fba121f0e jumpserver/lion:v4.10.0-ce "./entrypoint.sh sup…" 33 seconds ago Up 21 seconds (health: starting) 8081/tcp jms_lion
- 地址: http://:
- 默认用户名: admin
- 默认密码: ChangeMe
示例:http://10.0.0.10:1180/
登录之后必要重置密码,我这里修改为huangsir
然后会跳转到重新登录
末了我们就登录上来了
安装JumpServer故障解决
问题一:报连接数据库权限拒绝
- File "/opt/py3/lib/python3.11/site-packages/MySQLdb/__init__.py", line 121, in Connect
- return Connection(*args, **kwargs)
- ^^^^^^^^^^^^^^^^^^^^^^^^^^^
- File "/opt/py3/lib/python3.11/site-packages/MySQLdb/connections.py", line 195, in __init__
- super().__init__(*args, **kwargs2)
- django.db.utils.OperationalError: (1045, "Access denied for user 'root'@'192.168.250.2' (using password: YES)")
- [ERROR] Failed to change the table structure!
解决方式:连接数据库,创建用户- # 登录MySQL,使用root账号
- [root@lb ~/jumpserver]# mysql -uroot -phuangsir
- # 创建用户,192.168.250.0/24代表jumpserver的网段,只有在这个网段之内的IP才能连接数据库,密码设置为huangsir
- mysql> CREATE USER 'root'@'192.168.250.0/24' IDENTIFIED BY 'huangsir';
- Query OK, 0 rows affected (0.01 sec)
-
- # 授权,*.*代表jumpserver库和其中所有的表
- mysql> GRANT ALL PRIVILEGES ON jumpserver.* TO 'root'@'192.168.250.0/24' WITH GRANT OPTION;
- Query OK, 0 rows affected (0.00 sec)
-
- # 刷新权限
- mysql> FLUSH PRIVILEGES;
- Query OK, 0 rows affected (0.00 sec)
补充-JumpServer的相关命令
- cd jumpserver
- # 启动
- ./jmsctl.sh start
- # 重启
- ./jmsctl.sh restart
- # 停止
- ./jmsctl.sh down
- # 卸载
- ./jmsctl.sh uninstall
- # 帮助
- ./jmsctl.sh -h
|
