自己动手搭建堡垒机(之一)环境搭建
为了加强公司内部网络及服务器的安全,规范服务器的使用,降低被外部黑客攻击的风险,比较好的方法是搭建堡垒机,统一服务器的运维入口,并且可以审计所有的运维操作。
目前市面常见的开源堡垒机有Jumpserver、Teleport、GateOne、CrazyEye 等。这次我们选择JumpServer来搭建自己的堡垒机。
首先来看看官方自己的宣传:
JumpServer 是全球首款完全开源的堡垒机, 使用 GNU GPL v2.0 开源协议, 是符合 4A 的专业运维审计系统。
JumpServer 使用 Python / Django 进行开发, 遵循 Web 2.0 规范, 配备了业界领先的 Web Terminal 解决方案, 交互界面美观、用户体验好。
JumpServer 采纳分布式架构, 支持多机房跨区域部署, 中心节点提供 API, 各机房部署登录节点, 可横向扩展、无并发访问限制。
JumpServer 现已支持管理 SSH、 Telnet、 RDP、 VNC 协议资产。
广告看起来都很美好,我们来实际看看。
JumpServer分为开源版本和企业版,企业版在开源版的基础上支持X-Pack 增强包和企业级支持服务。使用开源版基本就能满足我们日常的安全需求了。
JumpServer有多种部署方式,使用容器部署方式无疑是其中最方便的一种。
环境搭建
JumpServer的all镜像自带了mysql和redis,秉承无状态的理念,我毫不犹豫使用外置的mysql数据库。redis只是起到缓存作用,就使用镜像自带的即可。
搭建mysql数据库
首先你得有一个独立的mysql服务器,然后执行以下脚本创建一个数据库和用户。
-- 创建数据库
create database jumpserver default charset 'utf8' collate 'utf8_bin';
-- 创建用户jumpserver并设置密码
grant all on jumpserver.* to 'jumpserver'@'%' identified by '密码';
生成密钥和token
执行以下命令生成密钥和token
mac环境
if [ ! "$SECRET_KEY" ]; then
SECRET_KEY=`LC_CTYPE=C tr -dc A-Za-z0-9 < /dev/urandom | head -c 50`;
echo $SECRET_KEY;
else
echo $SECRET_KEY;
fi
if [ ! "$BOOTSTRAP_TOKEN" ]; then
BOOTSTRAP_TOKEN=`LC_CTYPE=C tr -dc A-Za-z0-9 < /dev/urandom | head -c 16`;
echo $BOOTSTRAP_TOKEN;
else
echo $BOOTSTRAP_TOKEN;
fi
linux环境
if [ ! "$SECRET_KEY" ]; then
SECRET_KEY=`cat /dev/urandom | tr -dc A-Za-z0-9 | head -c 50`;
echo $SECRET_KEY;
else
echo $SECRET_KEY;
fi
if [ ! "$BOOTSTRAP_TOKEN" ]; then
BOOTSTRAP_TOKEN=`cat /dev/urandom | tr -dc A-Za-z0-9 | head -c 16`;
echo $BOOTSTRAP_TOKEN;
else
echo $BOOTSTRAP_TOKEN;
fi
生成的密钥和token如下
pZgaDVk4SPbbw19MbgWGKGKABolTlQJPitNJpDKEiVcbD5kiBS
PdDkFAJzKhhWL2in
启动服务
我们将jumpserver数据目录指定为/usr/jumpserver/media,其余启动的参数按需修改:
$ docker run --name jumpserver -d \
-v /usr/jumpserver/media:/opt/jumpserver/data/media \
-p 80:80 \
-p 2222:2222 \
-e SECRET_KEY=pZgaDVk4SPbbw19MbgWGKGKABolTlQJPitNJpDKEiVcbD5kiBS \
-e BOOTSTRAP_TOKEN=PdDkFAJzKhhWL2in \
-e DB_HOST=192.168.x.x \
-e DB_PORT=3306 \
-e DB_USER=jumpserver \
-e DB_PASSWORD="xxx" \
-e DB_NAME=jumpserver \
jumpserver/jms_all:2.0.1
查看启动日志
$ docker logs -f --tail 100 jumpserver
进入容器命令
$ docker exec -it jumpserver /bin/bash
使用服务
浏览器访问jumpserver的管理界面:http://192.168.x.x
默认账号:admin/admin
image.png
