0%

环境搭建- -JumpServer

JumpServer 是广受欢迎的开源堡垒机,是符合 4A 规范的专业运维安全审计系统。

简介

JumpServer 是广受欢迎的开源堡垒机,是符合 4A 规范的专业运维安全审计系统。

JumpServer 使用 Python 开发,配备了业界领先的 Web Terminal 方案,交互界面美观、用户体验好。

JumpServer 采纳分布式架构,支持多机房跨区域部署,支持横向扩展,无资产数量及并发限制。

安装配置

本文档通过离线安装方式进行部署。

安装部署

升级内核

由于 JumpServer 对系统内核版本有如下要求,需要针对相应系统进行内核升级。

此处为 Linux 系统的环境要求,Windows 版本暂不部署。

OS/Arch Architecture Linux Kernel Soft Requirement Minimize Hardware
linux/amd64 x86_64 >=4.0/td> wget curl tar gettext iptables python 2Core/8GB RAM/60G HDD
linux/arm64 aarch64 >=4.0/td> wget curl tar gettext iptables python 2Core/8GB RAM/60G HDD
linux/loong64 loongarch64 ==4.19/td> wget curl tar gettext iptables python 2Core/8GB RAM/60G HDD

可以从官方内核查看最新的内核版本。更新至 stable 最新的版本,编写此文档最新的版本为: 6.1.4。

如下为常见系统的内核版本升级方法。

1
2
3
4
5
# 查看当前 Linux 内核版本
uname -r

# 通过

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
# 查看 yum 中可升级的内核版本
yum list kernel --showduplicates

# 导入 yum 公钥
rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org

# Centos7系统安装ELRepo
yum install https://www.elrepo.org/elrepo-release-7.el7.elrepo.noarch.rpm
# Centos8系统安装ELRepo
yum install https://www.elrepo.org/elrepo-release-8.el8.elrepo.noarch.rpm

# 查看ELRepo提供的内核版本
yum --disablerepo="*" --enablerepo="elrepo-kernel" list available
# kernel-lt:表示longterm,即长期支持的内核;
# kernel-ml:表示mainline,即当前主线的内核;

# 安装主线内核
yum --enablerepo=elrepo-kernel install kernel-ml.x86_64

# 查看系统可用内核,并设置启动项
sudo awk -F\' '$1=="menuentry " {print i++ " : " $2}' /etc/grub2.cfg

# 指定开机启动内核版本
grub2-set-default 0 # 0为安装的最新版本的数值
# grub2-set-default 'CentOS Linux (6.1.4-1.el7.elrepo.x86_64) 7 (Core)'
# CentOS Linux (6.1.4-1.el7.elrepo.x86_64) 7 (Core) 为文档编写时间的最新版本

# 生成 grub 配置文件
grub2-mkconfig -o /boot/grub2/grub.cfg

# 重启服务器
reboot

# 验证,显示为: 6.1.4-1.el7.elrepo.x86_64,则表示内核升级成功
uname -r

更新软件仓库&.安装依赖软件

1
2
apt update
apt install -y wget curl tar gettext iptables
1
2
yum update 
yum install -y wget curl tar gettext iptables

安装数据库

JumpServer 需要使用 MySQL 或 MariaDB 存储数据,使用 Redis 缓存数据。根据安全建议避免使用弱口令密码,直接使用 SSL 连接。


负载均衡


安全建议

基本安全要求

1
2
3
4
5
6
7
8
9
10
* JumpServer 对外最低需要开放 80 443 2222 端口
* JumpServer 所在服务器操作系统应该升级到最新
* JumpServer 依赖的软件应该升级到最新版本
* 服务器、数据库、Redis 等依赖组件请勿使用弱口令密码
* 不推荐关闭 Firewalld 和 Selinux
* 只开放必要的端口,必要的话请通过 VPN 或者 SSLVPN 访问 JumpServer
* 如果必须开放到外网使用,你应该部署 Web 应用防火墙做安全过滤
* 请部署 SSL 证书通过 HTTPS 协议来访问 JumpServer
* JumpServer 应该在安全设置强密码规则,禁用用户使用弱口令密码
* 应该开启 JumpServer MFA 认证功能,避免因密码泄露导致的安全问题