jumpserver一体化安装
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了jumpserver一体化安装相关的知识,希望对你有一定的参考价值。
参考技术A 环境系统: CentOS 7
IP: 192.168.52.132
参考官方文档 http://docs.jumpserver.org/zh/latest/step_by_step.html#windows ;如若安装过程中遇到问题,可以参考 http://docs.jumpserver.org/zh/docs/faq.html#id1 。
按照官方文档部署,不修改端口的话,jumpserver共涉及5个端口的服务:
3306端口的mysql运行 mariadb 服务
8080端口的Jumpserver 运行 jumpserver、redis 服务
2000端口的Coco 运行 coco 服务
8081端口的Guacamole 运行 docker 服务
80端口的nginx 代理运行 nginx 服务
输入locale查看字符集,如已是zh_CN.UTF-8,则直接执行source /etc/locale.conf使其生效;如不是则按下面的方法修改后执行source /etc/locale.conf。
执行source /opt/py3/bin/activate进入python3虚拟环境,因为jumpserver是基于python3开发。
运行不报错,如下:
请浏览器访问 http://192.168.244.144:8080/ (这里只是 Jumpserver, 没有 Web Terminal,所以访问 Web Terminal 会报错)
账号: admin 密码: admin
新建终端,别忘了source /opt/py3/bin/activate
新建终端测试连接,
1)如若报错容器名已被占用,The container name "/jms_guacamole" is already in use by container...执行以下命令删除并停止已有的容器后,再次执行上述命令:
2)如若报错网络故障,
解决办法:
验证,浏览器打开 http://192.168.52.132:8081/ ,能看到如下界面:
验证,浏览器打开 http://192.168.52.132:80/ ,能看到如下界面:
admin/admin登陆,打开会话管理>>web终端,能看到如下界面则Nginx配置正确且启动成功。
10、仍然出现Input/output error
打开资产管理>>资产列表,仍然出现OSError at /assets/asset/,[Errno 5] Input/output error。只能停止jumpserver主应用,检查字符集后重启。
1)关闭所有跟jumpserver及python3有关的进程
查看8080端口监听情况,jumpserver主应用确实已经停止
2)source /etc/locale.conf
3)启动jumpserver主应用
一体机支持使用硬件设备国密加密,JumpServer堡垒机v2.26.0发布
2022年9月19日,JumpServer开源堡垒机正式发布v2.26.0版本。基于该版本的JumpServer一体机支持使用硬件设备的国密加密。认证方面,新版本的JumpServer支持用户自定义认证逻辑,满足了一部分企业用户使用独特认证方式的需求。另外,在数据库代理连接方面(KoKo组件),新增支持MongoDB SSL/TLS以及Redis SSL/TLS的连接。
X-Pack增强包方面,针对短信服务,JumpServer除了支持腾讯云、阿里云和CMPP v2.0协议以外,这一版本还新增支持华为云短信服务。
同时,在“云同步”模块中,JumpServer新增支持腾讯云轻量应用服务器(TencentCloud Lighthouse)以及天翼云私有云同步。此前,JumpServer在多云资产纳管方面已经实现了对阿里云、腾讯云、华为云、百度云、京东云、AWS(中国)、AWS(国际)、Azure(中国)、Azure(国际)、谷歌云、VMware、青云私有云、华为私有云、OpenStack、Nutanix、Fusion Compute、局域网的支持,有效协助用户实现对私有云、公有云资产的统一纳管。
此外,在改密计划模块中,JumpServer新增支持MongoDB数据库改密(暂不支持MongoDB SSL/TLS改密),满足了用户对数据库密码的相关安全策略要求。目前已支持改密的数据库类型包括:MySQL、MariaDB、Oracle、PostgreSQL、SQL Server和MongoDB。
新增功能
- JumpServer一体机支持使用硬件设备的国密加密
基于JumpServer v2.26.0版本的JumpServer一体机支持使用硬件设备的国密加密。国密算法是国家密码管理局制定的自主可控的国产算法,实现了数据的安全传输。为了保证数据的安全传输,JumpServer一体机新增支持使用硬件设备的国密加密。
- 支持用户自定义认证逻辑
在JumpServer v2.26.0版本中,支持用户自定义认证逻辑。目前JumpServer已经支持的认证方式虽然众多,但是有一部分企业仍会采用自己独特的认证方式,这些认证方式不在业界标准之内。针对这一现实场景,JumpServer开放出一个标准接口来实现这个功能。
如果企业想在JumpServer服务中对接自己独特的认证方式,可以按照以下配置流程进行操作:
① 在/opt/jumpserver/core/data目录下创建一个auth目录,其中包含两个文件:
■ init.py;
■ main.py;
② init.py文件中不需要填写任何内容;
③ 在main.py文件中确定一个authentication方法(参考下面的main.py文件,认证的逻辑一般由用户方实现);
④ 在config.txt配置文件中,配置AUTH_CUSTOM=true;
⑤在config.txt配置文件中,配置AUTH_CUSTOM_FILE_MD5=main.py文件的md5值;
⑥ 配置完成后,重启JumpServer服务。
注意事项:
■ 按照配置流程配置完成后启动服务,再修改
/opt/jumpserver/core/data/auth/main.py文件,新的认证逻辑不会生效,需要再次更新AUTH_CUSTOM_FILE_MD5的值并重启服务(从安全考虑角度),新的认证逻辑才会生效;
■ 只有AUTH_CUSTOM=true,并且AUTH_CUSTOM_FILE_MD5值正确的情况下,自定义认证方式才会被启用。
main.py文件代码示例:
""" Customize the authentication module """
def authenticate(username, password, **kwargs):
""" Customize the authentication method
:param username: Login user username
:param password: Login user password
:param kwargs: Login user other auth-info
:returns:
The return value type is dict.
The return value must contain fields: `name`(str),`username`(str),`email`(str),
Optional fields: `is_active`(bool)
demo:
'name': 'JumpServer',
'username': 'jumpserver',
'email': 'jumpserver@fit2cloud.com',
'is_active': True
"""
return
'name': 'JumpServer',
'username': 'jumpserver',
'email': 'jumpserver@fit2cloud.com',
'is_active': True
- KoKo组件支持MongoDB SSL/TLS、Redis SSL/TLS连接
在JumpServer v2.26.0版本中,数据库代理连接(KoKo组件)新增支持MongoDB SSL/TLS以及Redis SSL/TLS的连接。管理员通过选择“应用管理”→“数据库”,创建“MongoDB”或“Redis”数据库,在创建表单上启用SSL/TLS,并上传证书。
▲ 图1 创建MongoDB或Redis数据库,开启SSL/TLS,并上传证书
▲ 图2 测试连接MongoDB SSL/TLS,连接成功
▲ 图3 测试连接Redis SSL/TLS,连接成功
- 短信服务支持华为云短信平台(X-Pack增强包内)
在JumpServer v2.26.0版本中,短信服务在腾讯云、阿里云和CMPP v2.0协议的基础上,新增支持华为云短信平台。
管理员选择“系统设置”→“短信设置”,选择“华为云”选项进行配置,并且启用SMS。用户在“个人信息”页面中,开启多因子(MFA)认证,同时启用短信认证。此后,用户在二次认证登录时,即可使用华为云短信服务进行短信验证码认证。
▲ 图4 华为云短信服务配置(X-Pack增强包内)
▲ 图5 用户在进行二次认证登录时,即可使用华为云短信服务进行短信验证码认证
- 云同步支持腾讯云轻量应用服务器以及天翼云私有云同步(X-Pack增强包内)
在JumpServer v2.26.0版本中的“云同步”模块中,新增支持腾讯云轻量应用服务器(TencentCloud Lighthouse)以及天翼云私有云同步。
此前,JumpServer在多云资产纳管方面已经实现了对阿里云、腾讯云、华为云、百度云、京东云、AWS(中国)、AWS(国际)、Azure(中国)、Azure(国际)、谷歌云、VMware、青云私有云、华为私有云、OpenStack、Nutanix、Fusion Compute、局域网的支持,有效协助用户实现对私有云、公有云资产的统一纳管。
管理员通过选择“资产列表”→“云同步”,创建“腾讯云(轻量应用服务器)”或“天翼云”账号,并创建同步任务,即可将符合IP规则的云资产同步到JumpServer进行统一纳管。
▲ 图6 通过“资产列表”→“云同步”,创建“腾讯云(轻量应用服务器)”账号
▲ 图7 创建腾讯云轻量应用服务器同步任务
▲ 图8 同步成功后,在资产列表页面可查看同步过来的腾讯云轻量应用服务器资产
- 改密计划新增支持MongoDB数据库改密(X-Pack增强包内)
在“改密计划”模块中,JumpServer新增支持MongoDB数据库改密(暂不支持MongoDB SSL改密),满足了用户对数据库密码的相关安全策略要求。
目前JumpServer已支持改密的数据库类型包括:MySQL、MariaDB、Oracle、PostgreSQL、SQL Server以及MongoDB。同时,在创建应用改密计划时,JumpServer提供了三种密码策略供管理员进行选择。
▲ 图9 选择“账号管理”→“改密计划”进行应用改密,创建MongoDB改密计划
▲图10 待改密计划任务触发后,在应用改密计划列表页面即可查看其执行次数
▲图11 在“改密计划详情”页面执行列表Tab中可查看改密任务执行详细日志
功能优化
■ 优化对OAuth 2.0认证协议的自定义注销功能;
■ 优化系统工具Ping或Telnet输出结果使用UTF-8编码;
■ 第三⽅⽤户登录时,支持⽤户登录规则;
■ 优化Web Terminal页面,点击Logo跳转至主界面;
■ 优化Luna页面,重连资产时不刷新整个页面;
■ 优化账号备份的执行速度(X-Pack增强包内);
■ 优化工单列表的搜索过滤字段(X-Pack增强包内);
■ 通过Web GUI方式连接PostgreSQL数据库时,支持自定义编码(X-Pack增强包内)。
Bug修复
■ 修复在线会话监控页面中布局部分被遮挡的问题;
■ 修复前端加密导致页面表单提交时偶尔报错的问题;
■ 修复批量更新资产时,页面加载速度慢的问题;
■ 修复配置MFA失效时间设置不生效的问题;
■ 修复设置了命令规则后,连接资产复制/粘贴多行命令执行时不能阻断的问题(KoKo组件);
■ 修复数据库命令过滤导致会话连接断开的问题(Magnus组件);
■ 修复服务长时间运行时会出现内存泄漏的问题(Magnus组件);
■ 修复通过Windows 2008 R2连接资产时,不能录像的问题(Razor组件,X-Pack增强包内);
■ 修复通过Linux XRDP连接资产时,没有录像和服务停止的问题(Razor组件,X-Pack增强包内)。
以上是关于jumpserver一体化安装的主要内容,如果未能解决你的问题,请参考以下文章
一体机支持使用硬件设备国密加密,JumpServer堡垒机v2.26.0发布