CentOS7部署Jumpserver V1.4.3跳板机

2018-10-29

字数统计: 2.7k字 | 阅读时长≈ 13分

环境

IP：10.0.10.88
内存：≥4GB
数据库： 
      mysql 版本大于等于 5.6
      mariadb 版本大于等于 5.5.6
SELINUX: 关闭
Firewalld: stop + disable

注：不计划用它管理windows资产，故windows支持性组件未纳入部署范围。

字符集设置

# 修改字符集，否则可能报 input/output error的问题，因为日志里打印了中文
localedef -c -f UTF-8 -i zh_CN zh_CN.UTF-8
export LC_ALL=zh_CN.UTF-8
echo 'LANG=zh_CN.UTF-8' > /etc/sysconfig/i18n

准备Python3和Python虚拟环境

1 2	安装依赖包 yum -y install wget sqlite-devel xz gcc automake zlib-devel openssl-devel epel-release git

编译安装Python3

wget https://www.python.org/ftp/python/3.6.1/Python-3.6.1.tar.xz
tar xvf Python-3.6.1.tar.xz  && cd Python-3.6.1
./configure && make && make install

建立 Python 虚拟环境

cd /opt
python3 -m venv py3
source /opt/py3/bin/activate

# 看到下面的提示符代表成功
(py3) [root@localhost py3]

注：如果未配置自动载入 Python 虚拟环境设置，则以后运行 Jumpserver都要先运行以上 source 命令，以下所有命令均在该虚拟环境中运行

自动载入 Python 虚拟环境设置
cd /opt
git clone https://github.com/kennethreitz/autoenv.git
echo 'source /opt/autoenv/activate.sh' >> ~/.bashrc
source ~/.bashrc

安装jumpserver

下载jumpserver
cd /opt/
git clone https://github.com/jumpserver/jumpserver.git && cd jumpserver && git checkout master
echo "source /opt/py3/bin/activate" > /opt/jumpserver/.env  # 进入 jumpserver 目录时将自动载入 python 虚拟环境

1
2
3

安装依赖 RPM 包
cd /opt/jumpserver/requirements
yum -y install $(cat rpm_requirements.txt)

1 2	安装 Python 库依赖 pip install -r requirements.txt

安装redis

Jumpserver 使用 Redis 做 cache 和 celery broke
yum -y install redis
systemctl enable redis
systemctl start redis
systemctl status redis

安装MySQL

1
2
3

yum -y install mariadb mariadb-devel mariadb-server # centos7下安装的是mariadb
systemctl enable mariadb
systemctl start mariadb

创建数据库 Jumpserver 并授权

# mysql
> create database jumpserver default charset 'utf8';
> grant all on jumpserver.* to 'jumpserver'@'127.0.0.1' identified by 'weakPassword';
> flush privileges;

安装nginx

1
2
3

yum install -y nginx
systemctl enable nginx
systemctl start nginx

修改Jumpserver配置文件

1
2
3

cd /opt/jumpserver
cp config_example.py config.py
vim config.py

import os

BASE_DIR = os.path.dirname(os.path.abspath(__file__))


class Config:
    SECRET_KEY = os.environ.get('SECRET_KEY') or '9BY8IY9LpenB5M5fMcX0jYwmLWIlNVuZanQlkypbjgZ9t4rWoW'

    ALLOWED_HOSTS = ['*']

    DEBUG = os.environ.get("DEBUG") or False

    LOG_LEVEL = os.environ.get("LOG_LEVEL") or 'WARNING'
    LOG_DIR = os.path.join(BASE_DIR, 'logs')
    
    DB_ENGINE = os.environ.get("DB_ENGINE") or 'mysql'
    DB_HOST = os.environ.get("DB_HOST") or '127.0.0.1'
    DB_PORT = os.environ.get("DB_PORT") or 3306
    DB_USER = os.environ.get("DB_USER") or 'jumpserver'
    DB_PASSWORD = os.environ.get("DB_PASSWORD") or 'weakPassword'
    DB_NAME = os.environ.get("DB_NAME") or 'jumpserver'
    
    HTTP_BIND_HOST = '0.0.0.0'
    HTTP_LISTEN_PORT = 8080
    
    REDIS_HOST = os.environ.get("REDIS_HOST") or '127.0.0.1'
    REDIS_PORT = os.environ.get("REDIS_PORT") or 6379
    REDIS_PASSWORD = os.environ.get("REDIS_PASSWORD") or ''
    REDIS_DB_CELERY = os.environ.get('REDIS_DB') or 3
    REDIS_DB_CACHE = os.environ.get('REDIS_DB') or 4
    
        def __init__(self):
        pass

    def __getattr__(self, item):
        return None


class DevelopmentConfig(Config):
    pass


class TestConfig(Config):
    pass


class ProductionConfig(Config):
    pass


# Default using Config settings, you can write if/else for different env
config = DevelopmentConfig()

生成数据库表结构和初始化数据

1 2	cd /opt/jumpserver/utils bash make_migrations.sh

运行 Jumpserver

cd /opt/jumpserver
./jms start all        

注：后台运行命令： ./jms start all -d

运行不报错，请浏览器访问 http://10.0.10.88:8080/ 
默认账号: admin 密码: admin 

页面显示不正常先不用处理，继续往下操作，原因是因为 django 无法在非 debug 模式下加载静态资源, 后面搭建 nginx 代理后即可正常访问，

安装ssh server 和 websocket server: Coco

source /opt/py3/bin/activate
cd /opt
source /opt/py3/bin/activate
git clone https://github.com/jumpserver/coco.git && cd coco && git checkout master
echo "source /opt/py3/bin/activate" > /opt/coco/.env  #进入coco目录时将自动载入 python 虚拟环境

安装依赖
cd /opt/coco/requirements
yum -y  install $(cat rpm_requirements.txt)
pip install -r requirements.txt

修改coco配置文件
cd /opt/coco
mkdir keys logs
cp conf_example.py conf.py  # 如果 coco 与 jumpserver 分开部署，请手动修改 conf.py
vim conf.py

#!/usr/bin/env python3
# -*- coding: utf-8 -*-
#

import os

BASE_DIR = os.path.dirname(__file__)


class Config:
    """
    Coco config file, coco also load config from server update setting below
    """
    # 项目名称, 会用来向Jumpserver注册, 识别而已, 不能重复
    # NAME = "localhost"
    NAME = "coco"

    # Jumpserver项目的url, api请求注册会使用
    CORE_HOST = os.environ.get("CORE_HOST") or 'http://127.0.0.1:8080'

    # 启动时绑定的ip, 默认 0.0.0.0
    # BIND_HOST = '0.0.0.0'

    # 监听的SSH端口号, 默认2222
    # SSHD_PORT = 2222

    # 监听的HTTP/WS端口号，默认5000
    # HTTPD_PORT = 5000
    
    # 项目使用的ACCESS KEY, 默认会注册,并保存到 ACCESS_KEY_STORE中,
    # 如果有需求, 可以写到配置文件中, 格式 access_key_id:access_key_secret
    # ACCESS_KEY = None

    # ACCESS KEY 保存的地址, 默认注册后会保存到该文件中
    # ACCESS_KEY_STORE = os.path.join(BASE_DIR, 'keys', '.access_key')

    # 加密密钥
    # SECRET_KEY = None

    # 设置日志级别 ['DEBUG', 'INFO', 'WARN', 'ERROR', 'FATAL', 'CRITICAL']
    LOG_LEVEL = 'WARN'

    # 日志存放的目录
    # LOG_DIR = os.path.join(BASE_DIR, 'logs')

    # Session录像存放目录
    # SESSION_DIR = os.path.join(BASE_DIR, 'sessions')

    # 资产显示排序方式, ['ip', 'hostname']
    # ASSET_LIST_SORT_BY = 'ip'

    # 登录是否支持密码认证
    # PASSWORD_AUTH = True

    # 登录是否支持秘钥认证
    # PUBLIC_KEY_AUTH = True

    # SSH白名单
    # ALLOW_SSH_USER = 'all'  # ['test', 'test2']

    # SSH黑名单, 如果用户同时在白名单和黑名单，黑名单优先生效
    # BLOCK_SSH_USER = []

    # 和Jumpserver 保持心跳时间间隔
    # HEARTBEAT_INTERVAL = 5

    # Admin的名字，出问题会提示给用户
    # ADMINS = ''
    COMMAND_STORAGE = {
        "TYPE": "server"
    }
    REPLAY_STORAGE = {
        "TYPE": "server"
    }

    # SSH连接超时时间 (default 15 seconds)
    # SSH_TIMEOUT = 15

    # 语言 = en
    LANGUAGE_CODE = 'zh'

config = Config()

暂且不启动coco, 因为coco需要向jumpserver中注册，而jumpserver暂且还不能正常访问，需要先配置Nginx代理才行。因为jumpserver配置文件中启用了 DEBUG = False参数的缘故。

安装 Web Terminal 前端: Luna

1 2	Luna 需要Nginx来运行访问 Luna Releases: https://github.com/jumpserver/luna/releases

cd /opt
wget https://github.com/jumpserver/luna/releases/download/1.4.3/luna.tar.gz
tar xvf luna.tar.gz
chown -R root:root luna

配置 Nginx 整合各组件

1 2	前面已经安装了Nginx，故接下来直接配置配置文件。 vim /etc/nginx/conf.d/jumpserver.conf

server {
    listen 80;    #代理端口，以后将通过此端口进行访问，不再通过8080端口
    server_name jumpserver.xx.cn;  # 修改成你的域名

    client_max_body_size 100m;  #录像及文件上传大小限制

    location /luna/ {
        try_files $uri / /index.html;
        alias /opt/luna/;    #luna 路径，如果修改安装目录，此处需要修改
    }

    location /media/ {
        add_header Content-Encoding gzip;
        root /opt/jumpserver/data/;  #录像位置，如果修改安装目录，此处需要修改
    }

    location /static/ {
        root /opt/jumpserver/data/;  #静态资源，如果修改安装目录，此处需要修改
    }

    location /socket.io/ {
        proxy_pass       http://localhost:5000/socket.io/;  #如果coco安装在别的服务器，请填写它的ip
        proxy_buffering off;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header Host $host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        access_log off;
    }

    location /coco/ {
        proxy_pass       http://localhost:5000/coco/;  #如果coco安装在别的服务器，请填写它的ip
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header Host $host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        access_log off;
    }

    location / {
        proxy_pass http://localhost:8080;  #如果jumpserver安装在别的服务器，请填写它的ip
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header Host $host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}

1 2	nginx -t #检查nginx语法 systemctl restart nginx

Web正常访问jumpserver

1
2
3

windows配置host： 10.0.10.88 jumpserver.xx.cn
Web访问Jumpserver:  http://jumpserver.xx.cn。
账号和密码：admin

1
2
3

注：Jumpserver正常访问的前提是jumpserver服务正常启动。可以使用如下命令检查
cd /opt/jumpserver
./jms status  # 确定jumpserver已经运行，如果没有运行请重新启动jumpserver

接受Coco的API注册

启动coco服务
cd /opt/coco/
./cocod start    #此时界面基本无响应，不过暂且不用管它

注：新版本更新了运行脚本，使用方式./cocod start|stop|status|restart  后台运行请添加 -d 参数

#接受COCO的API注册请求：
(1)Web访问Jumpserver:  http://jumpserver.xx.cn。
(2)会话管理-终端管理, 这里会看到一个以配置文件中指定的COCO名字的条目，点击最后的接受即可。
(3)此时返回到服务器中，可以看到./cocod start命令正常启动了，可以看看5000和2222端口是否正常。

排坑

1 2	执行 ./cocod start 后提示 Failed register terminal xxxx exist already

解决方案：
这是由于 coco 注册未成功造成的，需要重新注册 (能正常访问 jumpserver 页面后再处理)
到 Jumpserver后台 会话管理-终端管理  删掉 coco 的注册
必须到 Jumpserver后台 会话管理-终端管理  删掉 coco 的注册
一定要先到 Jumpserver后台 会话管理-终端管理  删掉 coco 的注册
$ cd /opt/coco && ./cocod stop
$ rm /opt/coco/keys/.access_key  # coco, 如果你是按文档安装的，key应该在这里，如果不存在key文件直接下一步
$ ./cocod start -d  # 正常运行后到Jumpserver 会话管理-终端管理 里面接受coco注册

Jumpserver和coco服务开机启动

1
2
3

ls -lh /etc/rc.d/rc.local
chmod +x /etc/rc.d/rc.local

mkdir /var/scripts
cd /var/scripts

#cat jms.sh 
#!/bin/bash
source /opt/py3/bin/activate
/opt/jumpserver/jms start -d
/opt/jumpserver/jms status

#cat coco.sh 
#!/bin/bash
source /opt/py3/bin/activate
/opt/coco/cocod start -d
/opt/coco/cocod status

chmod +x jms.sh coco.sh

#开机启动Jumpserver
echo "/var/scripts/jms.sh >>/dev/null 2>&1" >>/etc/rc.d/rc.local

#开机启动Coco
echo "/var/scripts/coco.sh >>/dev/null 2>&1"  >>/etc/rc.d/rc.local

最后整体验证Jumpserver 服务

ssh admin@192.168.244.144 2222
sftp admin@192.168.244.144 2222
密码: admin
如果都能登陆代表部署成功

注：
sftp默认上传的位置在资产的 /tmp 目录下

排错

1	Web访问Luna(代理jumpserver) 502错误，这是因为SELINUX未从配置文件关闭，重启机器selinux又正常启动了。解决方法：关闭即可。

官方文档：https://jumpserver.readthedocs.io/zh/docs/step_by_step.html

本文作者： GaryWu
本文链接： https://garywu520.github.io/2018/10/29/CentOS7部署Jumpserver-V1-4-3跳板机/
版权声明： 本博客所有文章除特别声明外，均采用 MIT 许可协议。转载请注明出处！

jsonContent: meta: false pages: false posts: title: true date: true path: true text: false raw: false content: false slug: false updated: false comments: false link: false permalink: false excerpt: false categories: false tags: true