基于docker搭建jumpserver堡垒机
一、环境信息1、jumpserver 192.168.137.129 CentOS6.4 kernel版本为 3.10.5-3.el6.x86_64
2、客户机 dev01-04
3、docker镜像jiaxiangkong/jumpserver_docker:0.3.2
二、在129上准备基本环境
# yum install -y epel-release
# yum install -y curl
# service iptables stop
# 关闭selinux
升级内核到3.10.0以上(rpm包下载:http://pan.baidu.com/s/1cGrccQ)
# uname -r
3.10.5-3.el6.x86_64
安装docker
# yum install device-mapper-event-libs
# yum install -y https://get.docker.com/rpm/1.7.1/centos-6/RPMS/x86_64/docker-engine-1.7.1-1.el6.x86_64.rpm
# docker -v
Docker version 1.7.1, build 786b29d
三、安装mysql数据库
# yum install -y mysql
# service mysqld start
# mysql -e "create database jumpdb charset='utf8';"
# mysql -e "grant all on jumpdb.* to 'jumpdb'@'%' identified by 'jumppasswd';"
# mysql -e "flush privileges;"
# mysql -e "show databases;"
四、安装jumpserver
4.1拉取镜像
# docker pull jiaxiangkong/jumpserver_docker:0.3.2
4.2、配置启动脚本并启动
docker stop jms && docker rm jms
docker run --name jms \
-p 2222:22 \
-p 8888:80 \
-v /root/jumpserver/jms_data:/data \
-v /etc/localtime:/etc/localtime:ro \
-e USE_MYSQL=1 \
-e MYSQL_ENGINE=mysql \
-e MYSQL_HOST=192.168.137.129\
-e MYSQL_PORT=3306 \
-e MYSQL_USER=jumpdb \
-e MYSQL_PASS=jumppasswd \
-e MYSQL_NAME=jumpdb \
-e USE_MAIL=true \
-e MAIL_ENABLED=1 \
-e MAIL_HOST=smtp.126.com \
-e MAIL_PORT=25 \
-e MAIL_USER=88888@126.com \
-e MAIL_PASS='88888=' \
-e MAIL_USE_TLS=False \
-e MAIL_USE_SSL=False \
--restart=always \
-d jumpserver:0.3.2
docker exec -ti jms /bin/sh /data/script/input_ip.sh
start_jms.sh docker容器有被删除重启的可能,这里将重要的数据挂载到宿主机是为了数据的保存,下次启动时,直接用这些数据
(jms_data下载:http://pan.baidu.com/s/1cGrccQ)
# set url ip
ipaddr=$(ip a | grep "inet.*eth0" | awk -F '/' '{print $1}' | awk '{print $2}')
sed -i "s/url =/url = ${ipaddr}/" /jumpserver/jumpserver.conf
# set group link
rm -f /etc/group
ln -s /data/group /etc/group
input_ip.sh 容器启动后,将容器ip配置到jumpserver.conf中,并给group建立软链接
# docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
020843b328ca jiaxiangkong/jumpserver_docker:0.3.2 "/bin/sh -c /run.sh" 22 hours ago Up 3 hours 0.0.0.0:2222->22/tcp, 0.0.0.0:8888->80/tcp jms
4.3、访问 192.168.137.129:8888,密码默认都是admin
五、配置使用
5.1、配置跳板机
宿主机配置crontab任务,定时清理无效或超时的链接,这里设置的是3小时清理一次
#宿主机创建定时任务
* */3 * * * docker exec -i jms /usr/bin/python /jumpserver/manage.py crontab run 9956b75140f4453ab1dc4aeb62962a74 &
5.2、登录192.168.137.129:8888,admin/admin
创建用户组:运维、开发
创建用户,选择不发送邮件(认证有问题,异常),成功后记录下用户信息,包含登录web的用户名和密码,跳板机密钥密码。
设置客户端默认的管理用户密码(添加资产时可以选择默认管理用户,或者自行添加)
创建资产组:DEV
添加资产dev01-04,选择默认管理用户
设置sudo别名,别名包含的命令,能以root权限(sudo的形式)执行,如果命令中有su,说明能sudo到root用户下
添加系统用户并推送到dev01-04,如果客户端已经存在这个用户,不会改变用户当台,只会在$HOME/.ssh下添加跳板机生成的公钥)
添加授权规则:跳板机A用户(组)对应客户机A用户(组),一一对应授权,授权之后即可通过跳板机A用户(组)跳转到客户机的A用户(组)
用户→资产,用户→资产组,用户组→资产,用户组→用户组,可以指定多个系统用户
在宿主机上手动执行,解除默认账号锁定的状态
docker exec -ti jms sh /data/jms/script/open_shadow.sh kevin
docker exec -ti jms sh /data/jms/script/open_shadow.sh poke
#!/bin/sh
sed -i "s/^$1:\!/$1:/" /etc/shadow
open_shadow.sh 5.2、使用跳板机
根据创建用户时,返回的用户信息,下载密钥。
配置xshell,ip为宿主机ip,端口为2222
确认登录,返回操作界面
查看容器日志
OK
参考链接:https://github.com/jumpserver/jumpserver/wiki
页:
[1]