jumpserver安装以及将一些主机加入到jumpserver 通过web终端使用
1**. 1.1、 Localhost 环境要求** 硬件配置: 2个CPU核心, 4G内存, 50G 硬盘(最低) 操作系统: Linux 发行版 x86_64 Python = 3.6.x Mysql Server ≥ 5.6 Mariadb Server ≥
5.5.56 Redis
1.2、 安装python
1.2.1、 软件下载地址 https://www.python.org/ftp/python/3.6.8/Python-3.6.8.tgz
我们下载的是python3.6.8
1**.2.2、 配置本地localhost的yum源** Localhost-packs包里包含了所有实验所需的rpm包。
[root@localhost ~]# vim /etc/yum.repos.d/localhost.repo
[localhost]
name=CentOS7
baseurl=file:///root/localhost-packs enable=1
gpgcheck=0
**1**.2.3、 上传安装包**** [root@localhost ~]# ls
anaconda-ks.cfg localhost.zip Python-3.6.8.tgz localhost-packs.tar.gz pip-packs.tar.gz
[root@localhost ~]# tar -zxvf localhost-packs.tar.gz
[root@localhost ~]# tar -zxvf pip-packs.tar.gz [root@localhost ~]#
tar -zxvf Python-3.6.8.tgz -C /usr/local/src/
1.2.4、 安装依赖包 [root@localhost ~]# yum install -y gcc zlib-devel bzip2-devel openssl-devel ncurses-devel sqlite-devel readline-devel
tk-devel gdbm-devel db4-devel libpcap-devel xz-devel libffi-devel
1.2.5、 编译安装 [root@localhost ~]# cd /usr/local/src/Python-3.6.8/ [root@localhost Python-3.6.8]# ./configure --prefix=/usr/local/python #预编译
[root@localhost Python-3.6.8]# make && make install #编译,安装
1.2.6、 给python做软连接 [root@localhost Python-3.6.8]# ln -s /usr/local/python/bin/* /usr/local/bin/
1.2.7、 查看python版本 [root@localhost Python-3.6.8]# python3 -V Python 3.6.8 [root@localhost Python-3.6.8]# pip3 -V pip 18.1 from /usr/local/python/lib/python3.6/site-packages/pip (python 3.6)
1.2.8、 配置python虚拟环境 因为 CentOS 6/7 自带的是 Python2,而Yum等工具依赖原来的 Python,为了不扰乱原来的环境我们来使用 Python 虚拟环境 [root@localhost Python-3.6.8]#
cd [root@localhost ~]# python3.6 -m venv /opt/py3 #创建 py3 虚拟环境
[root@localhost ~]# source /opt/py3/bin/activate #载入 py3 虚拟环境
看到下面的提示符代表成功,以后运行 Localhost 都要先运行以上 source 命令,以下所有命令均在该虚拟环境中运行
(py3) [root@localhost ~]#
1.2.9、 把python虚拟环境设为开机自启动
(py3) [root@localhost ~]# echo "source /opt/py3/bin/activate" >> /root/.bashrc
1.3、 安装localhost
1.3.10、 解压代码 (py3) [root@localhost ~]# yum install -y unzip (py3) [root@localhost ~]# unzip localhost-master.zip -d /opt/ (py3)
[root@localhost ~]# cd /opt/
(py3) [root@localhost opt]# mv localhost-master/ localhost
(py3) [root@localhost ~]# cd /opt/localhost/requirements/
1.3.11、 安装rpm依赖 直接安装rpm_requirements.txt文件中所有的软件 (py3) [root@localhost requirements]# yum -y install $(cat rpm_requirements.txt)
1.3.12、 安装 Python 库依赖(没有网络)我建议使用第一种
1.3.12.1、 使用pip离线包安装pip软件包 一般我们直接使用pip来安装网络上的包文件,如果机器没有联网,但是已经有了现成的包,这个时候,可以直接使用离线包来进行安装 pip
install --help 中有2个参数--no-index和--find-links --no-index
是忽略包索引(仅仅从--find-links的链接地址中去查找包) --find-links
如果指定某个机器的连接地址,就会从该地址进行查找包依赖并进行下载,如果指定的是本地的文件,则直接从本地文件夹下载 (py3)
[root@localhost requirements]# pip install --no-index
--find-links=/root/pip-packs/ pyasn1 six cffi pytest-runner #请先安装这几个依赖包,不然会报错
(py3) [root@localhost requirements]# pip install --no-index --find-links=/root/pip-packs/ -r requirements.txt
1.3.12.2、 扩展知识:缓存pip安装的软件包 将pip已经安装的包生成文件 (py3) [root@localhost ~]# pip list #查看安装的包 (py3) [root@localhost ~]# pip freeze >
requirements.txt #将已经通过pip安装的包的名称记录到 requirements.txt文件中 缓存pip下载的包
(py3) [root@localhost ~]# pip download -d /root/pip-packs/ -r
requirements.txt
-d 指定缓存的目录
-r 指定缓存的软件目录
1.3.13、 方法二:安装 Python 库依赖(有网)这种不太好使,不建议使用
1.3.13.3、 修改pip安装加速 有时候我们pip下载特别慢,我们需要给pip指定国内的源来提升下载速度 (py3) [root@localhost requirements]# mkdir /root/.pip (py3)
[root@localhost requirements]# vim /root/.pip/pip.conf [global]
index-url = https://pypi.tuna.tsinghua.edu.cn/simple #这个是清华源
[install] trusted-host=mirrors.aliyun.com
1.3.13.4、 安装之前先更新pip版本,不然会报错 (py3) [root@localhost requirements]# pip install --upgrade pip #更新pip (py3) [root@localhost
requirements]# pip install -r requirements.txt
1.3.14、 安装redis Localhost使用Redis做cache和分布式任务队列,如果有搭建好的redis集群,可以不用搭建。也可以使用二进制包安装redis。
(py3) [root@localhost ~]# yum -y install redis (py3)
[root@localhost ~]# systemctl start redis #启动redis (py3)
[root@localhost ~]# systemctl enable redis #把redins添加开机启动
1.3.15、 安装 MySQL 如果有mysql集群,可以不同搭建,centos7默认使用mariadb数据库,也可以源码安装mysql5.7 (py3)
[root@localhost ~]# yum -y install mariadb mariadb-devel
mariadb-server (py3) [root@localhost ~]# systemctl start mariadb
#启动mariadb (py3) [root@localhost ~]# systemctl enable mariadb
1.3.16、 创建Localhost数据库并授权
(py3) [root@localhost ~]# mysql MariaDB [(none)]> create database localhost default charset 'utf8'; MariaDB
[(none)]> grant all on localhost.* to 'localhost'@'127.0.0.1'
identified by 'localhost'; #授权 MariaDB [(none)]> flush
privileges; #刷新权限
1.3.17、 生成密钥 生成随机密钥,等修改配置文件需要
(py3) [root@localhost ~]# cat /dev/urandom | tr -dc A-Za-z0-9 | head -c 49;echo
cUBbafUeVjpsO9txGxKbYQhagezAzYaPfVNGQnI2AGYZIaNFL (py3)
[root@localhost ~]# cat /dev/urandom | tr -dc A-Za-z0-9 | head -c 16
h8X7RRmkczrV3Dts
1.3.18、 修改 Localhost 配置文件 (py3) [root@localhost ~]# cd /opt/localhost/ (py3) [root@localhost localhost]# cp
config_example.yml config.yml (py3) [root@localhost localhost]# vim
config.yml 注意: 配置文件是Python 格式,不要用TAB,而要用空格
#配置密钥 SECRET_KEY: cUBbafUeVjpsO9txGxKbYQhagezAzYaPfVNGQnI2AGYZIaNFL BOOTSTRAP_TOKEN: h8X7RRmkczrV3Dts
# 数据库设置 DB_ENGINE: mysql DB_HOST: 127.0.0.1 DB_PORT: 3306 DB_USER: localhost DB_PASSWORD: localhost #注意修改mysql账号、密码和IP地址 DB_NAME:
localhost
# Redis配置 REDIS_HOST: 127.0.0.1 #这里可以修改redis配置,我们这里使用默认设置 REDIS_PORT: 6379
# REDIS_PASSWORD:
1.3.19、 生成数据库表结构和初始化数据
(py3) [root@localhost localhost]# cd /opt/localhost/utils/
(py3) [root@localhost utils]# sh make_migrations.sh
如果报下边的错
这是你的上边配置文件中的DB_PASSWORD 这个你没有写上授权账户的密码 导致的 如果没有报错 则会显示下边的页面
1.3.20、 运行Localhost (py3) [root@localhost utils]# cd /opt/localhost/
(py3) [root@localhost localhost]# ./jms start all
#可以-d参数在后台运行 ./jms start all -d, 确保已经载入 py3 虚拟环境(这个环境需要的时间很长,不是卡顿 )
1.3.21、 设置service脚本 (py3) [root@localhost ~]# vim /usr/lib/systemd/system/jms.service
[Unit] Description=jms
After=network.target mariadb.service redis.service docker.service
Wants=mariadb.service redis.service docker.service
[Service] Type=forking
Environment="PATH=/opt/py3/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/root/bin"
ExecStart=/opt/localhost/jms start all -d
ExecRestart=/opt/localhost/jms restart all -d
ExecStop=/opt/localhost/jms stop
[Install] WantedBy=multi-user.target (py3) [root@localhost ~]#
systemctl daemon-reload (py3) [root@localhost ~]# systemctl restart
jms
1.3.22、 设置开机自启动 (py3) [root@localhost ~]# systemctl enable jms
1.3.23、 登陆 登陆localhost,默认账号:admin 密码:admin
192.168.100.105:8080
2. 
3. 
1.4、 安装Web Terminal- koko组件 这里只是部署了Localhost, 没有 Web Terminal,所以访问 Web Terminal(web linux终端)会报错。
**1.4.24、 上传软包 (py3) [root@localhost ~]# ls**
anaconda-ks.cfg localhost-packs.tar.gz pip-packs
requirements.txt localhost.zip
koko-master-6d4e69b-linux-amd64.tar.gz pip-packs.tar.gz wget-log
localhost-packs luna.tar.gz
Python-3.6.8.tgz
**1.4.25、 kokoi项目下载地址** https://github.com/localhost/koko/releases/download/1.5.2/koko-master-9ab4ea6-linux-amd64.tar.gz
**1.4.26、 解压软件包**
(py3) [root@localhost ~]# tar -zxvf koko-master-6d4e69b-linux-amd64.tar.gz -C /opt/
**1.4.27、 修改文件权限**
(py3) [root@localhost opt]# chown -R root:root /opt/kokodir/
**1.4.28、 修改KOKO配置文件**
(py3) [root@localhost opt]# cd /opt/kokodir/
(py3) [root@localhost kokodir]# cp config_example.yml config.yml
(py3) [root@localhost kokodir]# vim config.yml **#密钥要跟localhost的密钥一致**
BOOTSTRAP_TOKEN: h8X7RRmkczrV3Dts SECRET_KEY:
cUBbafUeVjpsO9txGxKbYQhagezAzYaPfVNGQnI2AGYZIaNFL
**1.4.29、 启动koko**
(py3) [root@localhost kokodir]# ./koko & #&把程序调入后台运行
**1.4.29.5、 查看端口**
(py3) [root@localhost kokodir]# netstat -antup | grep 2222
**1.4.29.6、 把koko加入开机自启动**
(py3) [root@localhost kokodir]# echo " cd /opt/kokodir && ./koko & " >> /etc/rc.local (py3) [root@localhost kokodir]# chmod +x /etc/rc.local
**1.4.30、 在web后台查看终端 可以看见有个localhost的终端说明我们安装成功**
**1.4.31、 使用ssh测试 (py3)**
[root@localhost ~]# ssh [email protected] -p 2222 #使用admin账号登陆,密码:admin
有了Web Terminal以后,我们可以远程堡垒机,然后通过堡垒机进行登录管理服务器。
**1.5、 部署luna 组件**
**1.5.32、 解压文件** (
py3) [root@localhost ~]# tar -zxvf luna.tar.gz -C /opt/ 软件下载地址:
https://github.com/localhost/luna/releases/download/1.5.2/luna.tar.gz
**1.5.33、 设置权限 (py3)**
[root@localhost ~]# chown -R root:root /opt/luna/
**1.6、 设置nginx 整合各组件**
**1.6.34、 安装nginx 这里直接使用yum安装,也可以使用源码包安装 (py3)** [root@localhost ~]# yum install -y nginx
1.6.35、 **修改配置文件 Nginx主要提供反向代理功能**,这里要修改主配置文件里的默认server端口
(py3) [root@localhost ~]# vim /etc/nginx/nginx.conf **#把80端口修改为808**
**server {
listen 808 default_server;
listen [::]:808 default_server**;
**1.6.35.7、 创建jumpserver.conf配置文件** 所有的localhost的服务都使用nginx来进行反向代理,开启nginx缓存
(py3) [root@localhost ~]#vim /etc/nginx/conf.d/ jumpserver.conf
server {
listen 80;
client_max_body_size 100m; # 录像及文件上传大小限制
location /luna/ {
try_files $uri / /index.html;
alias /opt/luna/; # luna 路径, 如果修改安装目录, 此处需要修改
}
location /media/ {
add_header Content-Encoding gzip;
root /opt/localhost/data/; # 录像位置, 如果修改安装目录, 此处需要修改
}
location /static/ {
root /opt/localhost/data/; # 静态资源, 如果修改安装目录, 此处需要修改
}
location /socket.io/ {
proxy_pass http://localhost:5000/socket.io/;
proxy_buffering off;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
access_log off;
}
location /coco/ {
proxy_pass http://localhost:5000/coco/;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
access_log off;
}
location /guacamole/ {
proxy_pass http://localhost:8081/;
proxy_buffering off;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $http_connection;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
access_log off;
}
location / {
proxy_pass http://localhost:8080;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
} }
**1.6.36、 测试配置文件**
(py3) [root@localhost ~]# nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok nginx:
configuration file /etc/nginx/nginx.conf test is successful
**1.6.37、 启动nginx**
(py3) [root@localhost ~]# systemctl start nginx
(py3) [root@localhost ~]# systemctl enable nginx
1.6.38、 登陆localhost 使用nginx做反向代理以后,就可以直接使用80端口来访问localhost
192.168.100.105
1.6.39、 查看luna 发现luna页面可以打开了
1.6.40、 查看文件管理
我们这里没有部署windows客户端组件guacamole,因为只能通过localhost的web客户端来连接windows服务器,不实用。windows服务器我们一般还是使用TeamViewer、vnc或者windows远程连接。
2、 localhost使用
2.1、 配置localhost基本设置 修改当前站点的URL为本机IP或者localhost的域名,不然新建用户发送过去的邮件修改不了密码。
在这里插入图片描述
2.2、 设置localhost邮箱 设置localhost发件邮箱,用来给用户发送通知邮件,设置完了以后测试一下邮箱联通。
2.3、 创建用户
2.3.1、 创建用户 这里创建的用户是登陆localhost的用户,这个用户可以登陆localhost,然后通过localhost去连接被管理的服务器,最后登陆到被管理的服务器进行命令操作。当然,这里创建的用户也可以提权来管理localhost的后台。
为了好验证 我这边给的是另一个邮箱账号
2.3.1.1、 邮箱设置 新注册的qq邮箱需要更改SMTP服务并设定密码,需要保证虚拟机能够正常联网才能收到邮件。
2.3.2、 查看邮件 这是使用的是通过邮件发送用户密码,第一次登陆必须需修改密码。
2.3.3、 修改密码
2.3.3.2、 设置成功后,退出admin账号,登录刚刚新建账号
2.4、 创建用户组
2.5、 添加资产 开启任意一台虚拟机 如:101
2.5.4、 添加被管理端root账号 管理用户是资产(被控服务器)上的 root,或拥有 NOPASSWD: ALL sudo 权限的用户, Localhost 使用该用户来 推送系统用户、获取资产硬件信息 等。
2.5.5、 添加资产
2.5.6、 创建命令过滤器 系统用户可以绑定一些命令过滤器,一个过滤器可以定义一些规则 当用户使用这个系统用户登录资产,然后执行一个命令 这个命令需要被绑定过滤器的所有规则匹配,高优先级先被匹配,
当一个规则匹配到了,如果规则的动作是允许,这个命令会被放行, 如果规则的动作是禁止,命令将会被禁止执行,
否则就匹配下一个规则,如果最后没有匹配到规则,则允许执行
2.5.7、 创建过滤器规则 过滤器规则里面所写的命令可以选择允许或者拒绝。
2.5.8、 创建系统用户 系统用户是 Localhost 跳转登录被管理服务器时使用的用户,而不是使用某个用户的用户名跳转登录服务器(`ssh xiaoming@some-host`);
简单来说是用户使用自己的用户名登录 Localhost,Localhost 使用系统用户登录资产。
系统用户创建时,如果选择了自动推送,Localhost 会使用 Ansible 自动推送系统用户到资产中,如果资产(交换机)不支持
Ansible,请手动填写账号密码。 注意:这里添加完系统用户之后需要再给这个用户设置一个密码
别忘了写密码
2.6、 资产授权
2.7、 测试
2.7.9、 使用web终端测试
2.7.9.3、 打开web终端 这里使用谷歌类的浏览器,有些浏览器不支持luna
注意:如果连接失败,应该是管理用户连接后台资产出现问题,如网络不可达,或localhost 2222端口down掉 (cd /opt/kokodir && ./koko &)
2.7.9.4、 安装一个httpd 可以看到,这里登陆登陆的账号是我们创建的系统账号admin登陆的,执行命令需要使用sudo提权。
2.7.10、 使用xshell测试
2.7.10.5、 登陆localhost(105) 的Web Terminal 使用我们的账号tang登陆localhost (py3) [root@localhost ~]# ssh [email protected] -p 2222
2.7.10.6、 查看自己名下的主机
2.7.11、 登录到Xv101
2.7.11.7、 启动xv101上的httpd [admin@xv101 ~]$ sudo systemctl start httpd
2.7.11.8、 测试httpd网页 http://192.168.100.101/
2.8、 查看命令记录
4.