jumpserver一体化安装

Posted 2023-03-20

参考技术A 环境

系统: CentOS 7

IP: 192.168.52.132

参考官方文档 http://docs.jumpserver.org/zh/latest/step_by_step.html#windows ；如若安装过程中遇到问题，可以参考 http://docs.jumpserver.org/zh/docs/faq.html#id1 。

按照官方文档部署，不修改端口的话，jumpserver共涉及5个端口的服务：

3306端口的mysql运行 mariadb 服务

8080端口的Jumpserver 运行 jumpserver、redis 服务

2000端口的Coco 运行 coco 服务

8081端口的Guacamole 运行 docker 服务

80端口的nginx 代理运行 nginx 服务

输入locale查看字符集，如已是zh_CN.UTF-8，则直接执行source /etc/locale.conf使其生效；如不是则按下面的方法修改后执行source /etc/locale.conf。

执行source /opt/py3/bin/activate进入python3虚拟环境，因为jumpserver是基于python3开发。

运行不报错，如下：

请浏览器访问 http://192.168.244.144:8080/ (这里只是 Jumpserver, 没有 Web Terminal，所以访问 Web Terminal 会报错)

账号: admin 密码: admin

新建终端，别忘了source /opt/py3/bin/activate

新建终端测试连接，

1）如若报错容器名已被占用，The container name "/jms_guacamole" is already in use by container...执行以下命令删除并停止已有的容器后，再次执行上述命令：

2）如若报错网络故障，

解决办法：

验证，浏览器打开 http://192.168.52.132:8081/ ，能看到如下界面：

验证，浏览器打开 http://192.168.52.132:80/ ，能看到如下界面：

admin/admin登陆，打开会话管理>>web终端，能看到如下界面则Nginx配置正确且启动成功。

10、仍然出现Input/output error

打开资产管理>>资产列表，仍然出现OSError at /assets/asset/，[Errno 5] Input/output error。只能停止jumpserver主应用，检查字符集后重启。

1）关闭所有跟jumpserver及python3有关的进程

查看8080端口监听情况，jumpserver主应用确实已经停止

2）source /etc/locale.conf

3）启动jumpserver主应用

一体机支持使用硬件设备国密加密，JumpServer堡垒机v2.26.0发布

2022年9月19日，JumpServer开源堡垒机正式发布v2.26.0版本。基于该版本的JumpServer一体机支持使用硬件设备的国密加密。认证方面，新版本的JumpServer支持用户自定义认证逻辑，满足了一部分企业用户使用独特认证方式的需求。另外，在数据库代理连接方面（KoKo组件），新增支持MongoDB SSL/TLS以及Redis SSL/TLS的连接。

X-Pack增强包方面，针对短信服务，JumpServer除了支持腾讯云、阿里云和CMPP v2.0协议以外，这一版本还新增支持华为云短信服务。

同时，在“云同步”模块中，JumpServer新增支持腾讯云轻量应用服务器（TencentCloud Lighthouse）以及天翼云私有云同步。此前，JumpServer在多云资产纳管方面已经实现了对阿里云、腾讯云、华为云、百度云、京东云、AWS（中国）、AWS（国际）、Azure（中国）、Azure（国际）、谷歌云、VMware、青云私有云、华为私有云、OpenStack、Nutanix、Fusion Compute、局域网的支持，有效协助用户实现对私有云、公有云资产的统一纳管。

此外，在改密计划模块中，JumpServer新增支持MongoDB数据库改密（暂不支持MongoDB SSL/TLS改密），满足了用户对数据库密码的相关安全策略要求。目前已支持改密的数据库类型包括：MySQL、MariaDB、Oracle、PostgreSQL、SQL Server和MongoDB。

新增功能

1. JumpServer一体机支持使用硬件设备的国密加密

基于JumpServer v2.26.0版本的JumpServer一体机支持使用硬件设备的国密加密。国密算法是国家密码管理局制定的自主可控的国产算法，实现了数据的安全传输。为了保证数据的安全传输，JumpServer一体机新增支持使用硬件设备的国密加密。

2. 支持用户自定义认证逻辑

在JumpServer v2.26.0版本中，支持用户自定义认证逻辑。目前JumpServer已经支持的认证方式虽然众多，但是有一部分企业仍会采用自己独特的认证方式，这些认证方式不在业界标准之内。针对这一现实场景，JumpServer开放出一个标准接口来实现这个功能。

如果企业想在JumpServer服务中对接自己独特的认证方式，可以按照以下配置流程进行操作：

① 在/opt/jumpserver/core/data目录下创建一个auth目录，其中包含两个文件:

■ init.py；

■ main.py；

② init.py文件中不需要填写任何内容；

③ 在main.py文件中确定一个authentication方法（参考下面的main.py文件，认证的逻辑一般由用户方实现）；

④ 在config.txt配置文件中，配置AUTH_CUSTOM=true；

⑤在config.txt配置文件中，配置AUTH_CUSTOM_FILE_MD5=main.py文件的md5值；

⑥ 配置完成后，重启JumpServer服务。

注意事项：

■ 按照配置流程配置完成后启动服务，再修改
/opt/jumpserver/core/data/auth/main.py文件，新的认证逻辑不会生效，需要再次更新AUTH_CUSTOM_FILE_MD5的值并重启服务（从安全考虑角度），新的认证逻辑才会生效；

■ 只有AUTH_CUSTOM=true，并且AUTH_CUSTOM_FILE_MD5值正确的情况下，自定义认证方式才会被启用。

main.py文件代码示例：

""" Customize the authentication module """
  
  
def authenticate(username, password, **kwargs):
    """ Customize the authentication method
  
    :param username: Login user username
    :param password: Login user password
    :param kwargs: Login user other auth-info
  
    :returns:
        The return value type is dict.
        The return value must contain fields: `name`(str),`username`(str),`email`(str),
        Optional fields: `is_active`(bool)
  
        demo:
        
          'name': 'JumpServer',
          'username': 'jumpserver',
          'email': 'jumpserver@fit2cloud.com',
          'is_active': True
        
    """
    return 
        'name': 'JumpServer',
        'username': 'jumpserver',
        'email': 'jumpserver@fit2cloud.com',
        'is_active': True
    

3. KoKo组件支持MongoDB SSL/TLS、Redis SSL/TLS连接

在JumpServer v2.26.0版本中，数据库代理连接（KoKo组件）新增支持MongoDB SSL/TLS以及Redis SSL/TLS的连接。管理员通过选择“应用管理”→“数据库”，创建“MongoDB”或“Redis”数据库，在创建表单上启用SSL/TLS，并上传证书。

▲ 图1 创建MongoDB或Redis数据库，开启SSL/TLS，并上传证书

▲ 图2 测试连接MongoDB SSL/TLS，连接成功

▲ 图3 测试连接Redis SSL/TLS，连接成功

4. 短信服务支持华为云短信平台（X-Pack增强包内）

在JumpServer v2.26.0版本中，短信服务在腾讯云、阿里云和CMPP v2.0协议的基础上，新增支持华为云短信平台。

管理员选择“系统设置”→“短信设置”，选择“华为云”选项进行配置，并且启用SMS。用户在“个人信息”页面中，开启多因子（MFA）认证，同时启用短信认证。此后，用户在二次认证登录时，即可使用华为云短信服务进行短信验证码认证。

▲ 图4 华为云短信服务配置（X-Pack增强包内）

▲ 图5 用户在进行二次认证登录时，即可使用华为云短信服务进行短信验证码认证

5. 云同步支持腾讯云轻量应用服务器以及天翼云私有云同步（X-Pack增强包内）

在JumpServer v2.26.0版本中的“云同步”模块中，新增支持腾讯云轻量应用服务器（TencentCloud Lighthouse）以及天翼云私有云同步。

此前，JumpServer在多云资产纳管方面已经实现了对阿里云、腾讯云、华为云、百度云、京东云、AWS（中国）、AWS（国际）、Azure（中国）、Azure（国际）、谷歌云、VMware、青云私有云、华为私有云、OpenStack、Nutanix、Fusion Compute、局域网的支持，有效协助用户实现对私有云、公有云资产的统一纳管。

管理员通过选择“资产列表”→“云同步”，创建“腾讯云（轻量应用服务器）”或“天翼云”账号，并创建同步任务，即可将符合IP规则的云资产同步到JumpServer进行统一纳管。

▲ 图6 通过“资产列表”→“云同步”，创建“腾讯云（轻量应用服务器）”账号

▲ 图7 创建腾讯云轻量应用服务器同步任务

▲ 图8 同步成功后，在资产列表页面可查看同步过来的腾讯云轻量应用服务器资产

6. 改密计划新增支持MongoDB数据库改密（X-Pack增强包内）

在“改密计划”模块中，JumpServer新增支持MongoDB数据库改密（暂不支持MongoDB SSL改密），满足了用户对数据库密码的相关安全策略要求。

目前JumpServer已支持改密的数据库类型包括：MySQL、MariaDB、Oracle、PostgreSQL、SQL Server以及MongoDB。同时，在创建应用改密计划时，JumpServer提供了三种密码策略供管理员进行选择。

▲ 图9 选择“账号管理”→“改密计划”进行应用改密，创建MongoDB改密计划

▲图10 待改密计划任务触发后，在应用改密计划列表页面即可查看其执行次数

▲图11 在“改密计划详情”页面执行列表Tab中可查看改密任务执行详细日志

功能优化

■ 优化对OAuth 2.0认证协议的自定义注销功能；

■ 优化系统工具Ping或Telnet输出结果使用UTF-8编码；

■ 第三⽅⽤户登录时，支持⽤户登录规则；

■ 优化Web Terminal页面，点击Logo跳转至主界面；

■ 优化Luna页面，重连资产时不刷新整个页面；

■ 优化账号备份的执行速度（X-Pack增强包内）；

■ 优化工单列表的搜索过滤字段（X-Pack增强包内）；

■ 通过Web GUI方式连接PostgreSQL数据库时，支持自定义编码（X-Pack增强包内）。

Bug修复

■ 修复在线会话监控页面中布局部分被遮挡的问题；

■ 修复前端加密导致页面表单提交时偶尔报错的问题；

■ 修复批量更新资产时，页面加载速度慢的问题；

■ 修复配置MFA失效时间设置不生效的问题；

■ 修复设置了命令规则后，连接资产复制/粘贴多行命令执行时不能阻断的问题（KoKo组件）；

■ 修复数据库命令过滤导致会话连接断开的问题（Magnus组件）；

■ 修复服务长时间运行时会出现内存泄漏的问题（Magnus组件）；

■ 修复通过Windows 2008 R2连接资产时，不能录像的问题（Razor组件，X-Pack增强包内）；

■ 修复通过Linux XRDP连接资产时，没有录像和服务停止的问题（Razor组件，X-Pack增强包内）。