jumpserver安裝（centos）-有解無憂

jumpserver安裝
#僅供參考，不具備商業使用
#有興趣的朋友可以加下面的群入群，新手上路，請多多關照~
QQ群：1135288585

一：環境要求
1、硬體配置
2 CPU及以上
2 memory及以上
50 G硬碟及以上
作業系統centos7x86_64 及以上

2、軟體配置
python 3.6及以上
mysql 5.6及以上
mariadb server 5.5.56及以上
redis
java
tomcat

二、環境準備
1、永久關閉防火墻
systemctl stop firewalld.service
systemctl disable firewalld

2、永久關閉 selinux
cat /etc/selinux/config |grep SELINUX
在這里插入圖片描述

sed -i s/enforcing/disabled/g /etc/selinux/config #修改成SELINUX=disabled
在這里插入圖片描述

三、準備 Python3 和 Python 虛擬環境
1、安裝依賴包
yum -y install wget sqlite-devel xz gcc automake zlib-devel openssl-devel epel-release git lrzsz unzip

2、原始碼包安裝Python3.6.1
（1）安裝python3.6.1依賴
yum -y install zlib-devel bzip2-devel openssl-devel ncurses-devel sqlite-devel readline-devel tk-devel gdbm-devel db4-devel libpcap-devel xz-devel

（2）下載python原始碼
wget https://www.python.org/ftp/python/3.6.1/Python-3.6.1.tgz

（3）安裝python3.6.1
tar -zxvf Python-3.6.1.tgz -C /opt/
cd /opt/Python-3.6.1
./configure --prefix=/usr/local/python3 --with-ssl --enable-optimizations
make && make install
ln -s /usr/local/python3/bin/python3 /usr/bin/python3

（4）將python加入PATH
vim ~/.bash_profile
#Python
PATH= P A T H : PATH: PATH:HOME/bin:/usr/local/python3/bin

（5）使環境變數生效
source ~/.bash_profile

（6）檢查Python3與pip
python3 -V
pip3 -V
在這里插入圖片描述

3、創建 Python 虛擬環境
cd /opt/Python-3.6.1
python3 -m venv py3

4、載入 Python 虛擬環境
#每次操作 JumpServer 都需要先載入 py3 虛擬環境
#注意是在解壓python3目錄下執行

cd /opt/Python-3.6.1 ; source /opt/Python-3.6.1/py3/bin/activate
在這里插入圖片描述

5、自動載入 Python 虛擬環境配置
#此項僅為懶癌晚期的人員使用，防止運行 Jumpserver 時忘記載入 Python 虛擬環境導致程式無法運行，使用autoenv

#下載
cd /opt
git clone https://github.com/kennethreitz/autoenv.git
或者下載zip包

#解壓
unzip autoenv-master.zip
find / -name activate.sh
echo ‘source /opt/autoenv-master/activate.sh’ >> ~/.bashrc
source ~/.bashrc

四、安裝 Jumpserver
1、下載或 Clone 專案
cd /opt/

wget https://github.com/jumpserver/jumpserver/releases/download/v2.2.2/jumpserver-v2.2.2.tar.gz
tar xf jumpserver-v2.2.2.tar.gz
mv jumpserver-v2.2.2 jumpserver

2、進入jumpserver 目錄時將自動載入 python 虛擬環境
echo “source /opt/Python-3.6.1/py3/bin/activate” > /opt/jumpserver/.env

3、首次進入 jumpserver 檔案夾會有提示，按 y 即可
在這里插入圖片描述

4、安裝依賴 RPM 包
cd /opt/jumpserver/requirements/
yum -y install $(cat rpm_requirements.txt)

5、安裝 Python 庫依賴
pip install -r requirements.txt

五、安裝 Redis, Jumpserver 使用 Redis 做 cache 和 celery broke
1、下載redis原始碼
wget http://download.redis.io/releases/redis-2.8.6.tar.gz

2、解壓并make安裝
tar xzf redis-2.8.6.tar.gz
cd redis-2.8.6
make

3、指定安裝位置，如果默認沒有指定安裝位置則安裝在/usr/local/bin/目錄下
make PREFIX=/usr/local/redis install

4、復制redis的組態檔到/usr/local/redis/etc/目錄下，方便管理
mkdir /usr/local/redis/etc/
cp ./redis.conf /usr/local/redis/etc/

5、修改組態檔
vim /usr/local/redis/etc/redis.conf
daemonize no 修改為yes #后臺啟動

6、啟動redis服務.
ln -s /usr/local/redis/bin/* /usr/local/bin/
redis-server /usr/local/redis/etc/redis.conf

六、安裝 MySQL

1、查詢mariadb和mysql，如果有就卸載
rpm -qa |grep mariadb
rpm -qa |grep mysql

#卸載方式
rpm -e --nodeps …

2、使用yum安裝MariaDB
yum -y install mariadb mariadb-server mariadb-devel -y

3、設定開啟自動mariadb
systemctl start mariadb
systemctl enable mariadb

4、配置MariaDB
在命令列執行mysql_secure_installation進行相關配置
首先會設定密碼，會提示先輸入密碼
(1)Enter current password for root //初次運行直接回車
(2)Set root password // 是否設定root用戶密碼，輸入y并回車或直接回車
(3)New password: //設定root用戶的密碼
(4)Re-enter new password //再輸入一次你設定的密碼
(5)Remove anonymous users //是否洗掉匿名用戶，回車
(6)Disallow root login remotely //是否禁止root遠程登錄,回車,
(7)Remove test database and access to it //是否洗掉test資料庫，回車
(8)Reload privilege tables now //是否重新加載權限表，回車

5、登錄MariaDB
mysql -uroot -proot123

6、創建資料庫 Jumpserver 并授權
（1）資料庫資料庫與字符集要求
create database jumpserver default charset ‘utf8’ collate ‘utf8_bin’;

grant all privileges on . to ‘jumpserver’@‘localhost’ identified by ‘root123’;

flush privileges;

7、修改 Jumpserver 組態檔
cd /opt/jumpserver
cp config_example.yml config.yml

vi config.yml

#SECURITY WARNING: keep the secret key used in production secret!
#加密秘鑰生產環境中請修改為隨機字串，請勿外泄, 可使用命令生成
#cat /dev/urandom | tr -dc A-Za-z0-9 | head -c 49;echo
SECRET_KEY: W5Ic3fMXNZ0p5RIy5DhJYJllppTfcfkW8Yuf94VBMfpcssbfu

#SECURITY WARNING: keep the bootstrap token used in production secret!
#預共享Token coco和guacamole用來注冊服務賬號，不在使用原來的注冊接受機制
BOOTSTRAP_TOKEN: zxffNymGjP79j6BN

#Development env open this, when error occur display the full process track, Production disable it
#DEBUG 模式開啟DEBUG后遇到錯誤時可以看到更多日志
DEBUG: false

#DEBUG, INFO, WARNING, ERROR, CRITICAL can set. See https://docs.djangoproject.com/en/1.10/topics/logging/
#日志級別
LOG_LEVEL: ERROR
#LOG_DIR:

#Session expiration setting, Default 24 hour, Also set expired on on browser close
#瀏覽器Session過期時間，默認24小時, 也可以設定瀏覽器關閉則過期
#SESSION_COOKIE_AGE: 86400
SESSION_EXPIRE_AT_BROWSER_CLOSE: true

#Database setting, Support sqlite3, mysql, postgres …
#資料庫設定
#See https://docs.djangoproject.com/en/1.10/ref/settings/#databases

#SQLite setting:
#使用單檔案sqlite資料庫
#DB_ENGINE: sqlite3
#DB_NAME:

#MySQL or postgres setting like:
#使用Mysql作為資料庫
DB_ENGINE: mysql
DB_HOST: localhost
DB_PORT: 3306
DB_USER: jumpserver
DB_PASSWORD: root123
DB_NAME: jumpserver

#When Django start it will bind this host and port
#./manage.py runserver 127.0.0.1:8080
#運行時系結埠
HTTP_BIND_HOST: 0.0.0.0
HTTP_LISTEN_PORT: 8080
WS_LISTEN_PORT: 8070

#Use Redis as broker for celery and web socket
#Redis配置
REDIS_HOST: localhost
REDIS_PORT: 6379
REDIS_PASSWORD:
#REDIS_DB_CELERY: 3
#REDIS_DB_CACHE: 4

#Use OpenID authorization
#使用OpenID 來進行認證設定
#BASE_SITE_URL: http://localhost:8080
#AUTH_OPENID: false # True or False
#AUTH_OPENID_SERVER_URL: https://openid-auth-server.com/
#AUTH_OPENID_REALM_NAME: realm-name
#AUTH_OPENID_CLIENT_ID: client-id
#AUTH_OPENID_CLIENT_SECRET: client-secret
#AUTH_OPENID_IGNORE_SSL_VERIFICATION: True
#AUTH_OPENID_SHARE_SESSION: True

#Use Radius authorization
#使用Radius來認證
#AUTH_RADIUS: false
#RADIUS_SERVER: localhost
#RADIUS_PORT: 1812
#RADIUS_SECRET:

#CAS 配置
#AUTH_CAS’: False,
#CAS_SERVER_URL’: “http://host/cas/”,
#CAS_ROOT_PROXIED_AS’: ‘http://jumpserver-host:port’,
#CAS_LOGOUT_COMPLETELY’: True,
#CAS_VERSION’: 3,

#LDAP/AD settings
#LDAP 搜索分頁數量
#AUTH_LDAP_SEARCH_PAGED_SIZE: 1000

#定時同步用戶
#啟用 / 禁用
#AUTH_LDAP_SYNC_IS_PERIODIC: True
#同步間隔 (單位: 時) (優先）
#AUTH_LDAP_SYNC_INTERVAL: 12
#Crontab 運算式
#AUTH_LDAP_SYNC_CRONTAB: * 6 * * *

#LDAP 用戶登錄時僅允許在用戶串列中的用戶執行 LDAP Server 認證
#AUTH_LDAP_USER_LOGIN_ONLY_IN_USERS: False

#LDAP 認證時如果日志中出現以下資訊將引數設定為 0 (詳情參見：https://www.python-ldap.org/en/latest/faq.html)
#In order to perform this operation a successful bind must be completed on the connection
#AUTH_LDAP_OPTIONS_OPT_REFERRALS: -1

#OTP settings
#OTP/MFA 配置
#OTP_VALID_WINDOW: 0
#OTP_ISSUER_NAME: Jumpserver

#Perm show single asset to ungrouped node
#是否把未授權節點資產放入到未分組節點中
#PERM_SINGLE_ASSET_TO_UNGROUP_NODE: false

#啟用定時任務
#PERIOD_TASK_ENABLE: True

#啟用二次復合認證配置
#LOGIN_CONFIRM_ENABLE: False

#Windows 登錄跳過手動輸入密碼
WINDOWS_SKIP_ALL_MANUAL_PASSWORD: True

#生成資料庫表結構和初始化資料(這塊做報錯可以忽略)
cd /opt/jumpserver/utils
bash make_migrations.sh

pip install psutil
pip install passlib

8、運行 Jumpserver
cd /opt/jumpserver
#后臺運行使用 -d 引數
./jms start all
./jms start -d
./jms start all -d

9、瀏覽器訪問
http://203.195.160.104:8080/
默認賬號: admin
密碼: admin
#頁面顯示不正常先不用處理，繼續往下操作，后面搭建 nginx 代理后即可正常訪問，原因是因為 django 無法在非 debug 模式下加載靜態資源

七、安裝 SSH Server 和 WebSocket Server: Coco
1、下載coco組件
wget https://github.com/jumpserver/koko/releases/download/v2.2.2/koko-v2.2.2-linux-amd64.tar.gz

tar -xf koko-v2.2.2-linux-amd64.tar.gz ; mv koko-v2.2.2-linux-amd64 koko
chown -R root:root koko ;cd koko ; cp -r kubectl /usr/local/bin

wget https://download.jumpserver.org/public/kubectl.tar.gz
tar -xf kubectl.tar.gz ; chmod 755 kubectl
mv kubectl /usr/local/bin/rawkubectl

2、進入 coco 目錄時將自動載入 python 虛擬環境
echo “source /opt/Python-3.6.1/py3/bin/activate” > /opt/koko/.env

#首次進入 coco 檔案夾會有提示，按 y 即可
在這里插入圖片描述

3、修改組態檔并運行
cd /opt/koko ; cp config_example.yml config.yml
vi config.yml

#專案名稱, 會用來向Jumpserver注冊, 識別而已, 不能重復
#NAME: {{ Hostname }}

#Jumpserver專案的url, api請求注冊會使用
CORE_HOST: http://127.0.0.1:8080

#Bootstrap Token, 預共享秘鑰, 用來注冊coco使用的service account和terminal
#請和jumpserver 組態檔中保持一致，注冊完成后可以洗掉
BOOTSTRAP_TOKEN: zxffNymGjP79j6BN

#啟動時系結的ip, 默認 0.0.0.0
#BIND_HOST: 0.0.0.0

#監聽的SSH埠號, 默認2222
#SSHD_PORT: 2222

#監聽的HTTP/WS埠號，默認5000
#HTTPD_PORT: 5000

#專案使用的ACCESS KEY, 默認會注冊,并保存到 ACCESS_KEY_STORE中,
#如果有需求, 可以寫到組態檔中, 格式 access_key_id:access_key_secret
#ACCESS_KEY: null

#ACCESS KEY 保存的地址, 默認注冊后會保存到該檔案中
#ACCESS_KEY_FILE: data/keys/.access_key

#設定日志級別 [DEBUG, INFO, WARN, ERROR, FATAL, CRITICAL]
LOG_LEVEL: ERROR

#SSH連接超時時間 (default 15 seconds)
#SSH_TIMEOUT: 15

#語言 [en,zh]
#LANG: zh

#SFTP的根目錄, 可選 /tmp, Home其他自定義目錄
#SFTP_ROOT: /tmp

#SFTP是否顯示隱藏檔案
#SFTP_SHOW_HIDDEN_FILE: false

#是否復用和用戶后端資產已建立的連接(用戶不會復用其他用戶的連接)
#REUSE_CONNECTION: true

#資產加載策略, 可根據資產規模自行調整. 默認異步加載資產, 異步搜索分頁; 如果為all, 則資產全部加載, 本地搜索分頁.
#ASSET_LOAD_POLICY:

#zip壓縮的最大額度 (單位: M)
#ZIP_MAX_SIZE: 1024M

#zip壓縮存放的臨時目錄 /tmp
#ZIP_TMP_PATH: /tmp

#向 SSH Client 連接發送心跳的時間間隔 (單位: 秒)，默認為30, 0則表示不發送
#CLIENT_ALIVE_INTERVAL: 30

#向資產發送心跳包的重試次數，默認為3
#RETRY_ALIVE_COUNT_MAX: 3

#會話共享使用的型別 [local, redis], 默認local
SHARE_ROOM_TYPE: redis

#Redis配置
REDIS_HOST: 127.0.0.1
REDIS_PORT: 6379
REDIS_PASSWORD:
#REDIS_CLUSTERS:
REDIS_DB_ROOM: 6

4、啟動koko
#后臺運行使用 -d 引數
./koko -d

八、部署Guacamole組件
#guacamole是一種HTML5 Web應用程式，可使用遠程桌面協議（例如VNC或RDP）提供對桌面環境的訪問

1、部署guacamole
cd /opt &&
wget -O docker-guacamole-v2.2.2.tar.gz https://github.com/jumpserver/docker-guacamole/archive/master.tar.gz

mkdir /opt/docker-guacamole &&
tar -xf docker-guacamole-v2.2.2.tar.gz -C /opt/docker-guacamole --strip-components 1 &&
rm -rf /opt/docker-guacamole-v2.2.2.tar.gz &&
cd /opt/docker-guacamole &&
wget http://download.jumpserver.org/public/guacamole-server-1.2.0.tar.gz &&
tar -xf guacamole-server-1.2.0.tar.gz &&
wget http://download.jumpserver.org/public/ssh-forward.tar.gz &&
tar -xf ssh-forward.tar.gz -C /bin/ &&
chmod +x /bin/ssh-forward

cd /opt/docker-guacamole/guacamole-server-1.2.0

#安裝依賴
#安裝依賴參考：http://guacamole.apache.org/doc/gug/installing-guacamole.html
yum install cairo-devel uuid-devel

./configure --with-init-dir=/etc/init.d &&
make &&
make install

2、配置java環境
（1）在服務器安裝指定版本JDK，執行命令
yum install java-1.8.0-openjdk* -y

（2）等待安裝完成,檢測是否成功
java -version

（3）配置JDK環境變數，編輯組態檔，增加以下幾行然后保存退出
vim /etc/profile
#java環境變數
export JAVA_HOME=/usr/lib/jvm/java
export CLASSPATH=.: J A V A H O M E / l i b / d t . j a r : JAVA_HOME/lib/dt.jar: JAVAH?OME/lib/dt.jar:JAVA_HOME/lib/tools.jar: J A V A H O M E / j r e / l i b / r t . j a r e x p o r t P A T H = JAVA_HOME/jre/lib/rt.jar export PATH= JAVAH?OME/jre/lib/rt.jarexportPATH=PATH:$JAVA_HOME/bin

（4）重繪生效
source /etc/profile

（5）需要先在當前環境配置好 Java
mkdir -p /config/guacamole /config/guacamole/extensions /config/guacamole/record /config/guacamole/drive &&
chown daemon:daemon /config/guacamole/record /config/guacamole/drive &&
cd /config

3、訪問此處下載最新的 Tomcat9
wget http://mirrors.tuna.tsinghua.edu.cn/apache/tomcat/tomcat-9/v9.0.36/bin/apache-tomcat-9.0.36.tar.gz

tar -xf apache-tomcat-9.0.36.tar.gz
mv apache-tomcat-9.0.36 tomcat9
rm -rf /config/tomcat9/webapps/*
sed -i ‘s/Connector port=“8080”/Connector port=“8081”/g’ /config/tomcat9/conf/server.xml
echo “java.util.logging.ConsoleHandler.encoding = UTF-8” >> /config/tomcat9/conf/logging.properties
wget http://download.jumpserver.org/release/v2.2.2/guacamole-client-v2.2.2.tar.gz
tar -xf guacamole-client-v2.2.2.tar.gz
rm -rf guacamole-client-v2.2.2.tar.gz
cp guacamole-client-v2.2.2/guacamole-.war /config/tomcat9/webapps/ROOT.war
cp guacamole-client-v2.2.2/guacamole-.jar /config/guacamole/extensions/
mv /opt/docker-guacamole/guacamole.properties /config/guacamole/
rm -rf /opt/docker-guacamole

4、設定 Guacamole 環境
export JUMPSERVER_SERVER=http://127.0.0.1:8080
echo “export JUMPSERVER_SERVER=http://127.0.0.1:8080” >> ~/.bashrc
export BOOTSTRAP_TOKEN=zxffNymGjP79j6BN
echo “export BOOTSTRAP_TOKEN=zxffNymGjP79j6BN” >> ~/.bashrc
export JUMPSERVER_KEY_DIR=/config/guacamole/keys
echo “export JUMPSERVER_KEY_DIR=/config/guacamole/keys” >> ~/.bashrc
export GUACAMOLE_HOME=/config/guacamole
echo “export GUACAMOLE_HOME=/config/guacamole” >> ~/.bashrc
export GUACAMOLE_LOG_LEVEL=ERROR
echo “export GUACAMOLE_LOG_LEVEL=ERROR” >> ~/.bashrc
export JUMPSERVER_ENABLE_DRIVE=true
echo “export JUMPSERVER_ENABLE_DRIVE=true” >> ~/.bashrc

#環境變數說明
JUMPSERVER_SERVER 指 core 訪問地址
BOOTSTRAP_TOKEN 為 Jumpserver/config.yml 里面的 BOOTSTRAP_TOKEN 值
JUMPSERVER_KEY_DIR 認證成功后 key 存放目錄
GUACAMOLE_HOME 為 guacamole.properties 組態檔所在目錄
GUACAMOLE_LOG_LEVEL 為生成日志的等級
JUMPSERVER_ENABLE_DRIVE 為 rdp 協議掛載共享盤

5、啟動Guacamole
/etc/init.d/guacd start
sh /config/tomcat9/bin/startup.sh

九、安裝Lina與LUNA
1、Lina組件部署
cd /opt ; wget https://github.com/jumpserver/lina/releases/download/v2.2.2/lina-v2.2.2.tar.gz
tar -xf lina-v2.1.1.tar.gz
mv lina-v2.1.1 lina
useradd nginx
chown -R nginx:nginx lina

2、Luna組件部署
cd /opt
#下載請自行百度
tar -xf luna-v2.2.2.tar.gz
mv luna-v2.2.2 luna
chown -R nginx:nginx luna

十、配置 Nginx 整合各組件
1、yum安裝nginx
yum install nginx

2、nginx創建一個新的組態檔
vim /etc/nginx/nginx.conf
#最后一行手動添加如下
include /etc/nginx/conf/vhost/*.conf;

mkdir /etc/nginx/conf/vhost -p

3、nginx配置jumpserver
vim /etc/nginx/conf/vhost/jumpserver.conf

server {
#監聽埠
listen 1314;
#默認即可
server_name localhost;
#錄像及檔案上傳大小限制
client_max_body_size 100m;

location /ui/ {
    try_files $uri / /index.html;
    alias /opt/lina/;
}

#luna 路徑,如果修改安裝目錄,此處需要修改
location /luna/ {
try_files $uri / /index.html;
alias /opt/luna/;
}

#錄像位置,如果修改安裝目錄,此處需要修改
location /media/ {
add_header Content-Encoding gzip;
root /opt/jumpserver/data/;
}

#靜態資源,如果修改安裝目錄,此處需要修改
location /static/ {
root /opt/jumpserver/data/;
}

#如果coco安裝在別的服務器,請填寫它的ip
location /koko/ {
proxy_pass http://localhost:5000;
proxy_buffering off;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection “upgrade”;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
access_log off;
}

#如果guacamole安裝在別的服務器,請填寫它的ip
location /guacamole/ {
proxy_pass http://localhost:8081/;
proxy_buffering off;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $http_connection;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
access_log off;
}

location /ws/ {
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header Host $host;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_pass http://localhost:8070;
    proxy_http_version 1.1;
    proxy_buffering off;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "upgrade";
}

location /api/ {
    proxy_pass http://localhost:8080;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header Host $host;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}

location /core/ {
    proxy_pass http://localhost:8080;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header Host $host;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}

location / {
    rewrite ^/(.*)$ /ui/$1 last;
}

}

4、檢查nginx組態檔并重啟nginx
nginx -t
nginx -s reload

#如果沒有netstat命令，請安裝
yum install net-tools

#查看nginx服務狀態
netstat -lntp
ps -ef |grep nginx

5、訪問jupserver服務器
#IP是nginx服務的IP
http://203.195.160.104:1314

#默認的用戶名：admin，密碼：admin

6、第一次登陸會顯示修改默認密碼
在這里插入圖片描述

7、到此為止jumpserver已安裝完畢，接下來，我們去學作為運維，我們應該怎么使用，有菜鳥一起學習的，下方留言呦~

轉載請註明出處，本文鏈接：https://www.uj5u.com/qita/34692.html

標籤：其他

上一篇：web前端介紹

下一篇：Redis 知識點總結