环境搭建- -JumpServer

2023-01-10 2023-08-24 阅读次数：字数： 2.3k 时长 ≈ 2 分钟

JumpServer 是广受欢迎的开源堡垒机，是符合 4A 规范的专业运维安全审计系统。

简介

JumpServer 是广受欢迎的开源堡垒机，是符合 4A 规范的专业运维安全审计系统。

JumpServer 使用 Python 开发，配备了业界领先的 Web Terminal 方案，交互界面美观、用户体验好。

JumpServer 采纳分布式架构，支持多机房跨区域部署，支持横向扩展，无资产数量及并发限制。

安装配置

本文档通过离线安装方式进行部署。

安装部署

升级内核

由于 JumpServer 对系统内核版本有如下要求，需要针对相应系统进行内核升级。

此处为 Linux 系统的环境要求，Windows 版本暂不部署。

OS/Arch	Architecture	Linux Kernel	Soft Requirement	Minimize Hardware
linux/amd64	x86_64	>=4.0/td>	wget curl tar gettext iptables python	2Core/8GB RAM/60G HDD
linux/arm64	aarch64	>=4.0/td>	wget curl tar gettext iptables python	2Core/8GB RAM/60G HDD
linux/loong64	loongarch64	==4.19/td>	wget curl tar gettext iptables python	2Core/8GB RAM/60G HDD

可以从官方内核查看最新的内核版本。更新至 stable 最新的版本，编写此文档最新的版本为： 6.1.4。

如下为常见系统的内核版本升级方法。

Debian/Ubuntu
RedHat/CentOS

# 查看当前 Linux 内核版本
uname -r

# 通过

# 查看 yum 中可升级的内核版本
yum list kernel --showduplicates

# 导入 yum 公钥
rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org

# Centos7系统安装ELRepo
yum install https://www.elrepo.org/elrepo-release-7.el7.elrepo.noarch.rpm
# Centos8系统安装ELRepo
yum install https://www.elrepo.org/elrepo-release-8.el8.elrepo.noarch.rpm

# 查看ELRepo提供的内核版本
yum --disablerepo="*" --enablerepo="elrepo-kernel" list available
# kernel-lt：表示longterm，即长期支持的内核；
# kernel-ml：表示mainline，即当前主线的内核；

# 安装主线内核
yum --enablerepo=elrepo-kernel install kernel-ml.x86_64

# 查看系统可用内核，并设置启动项
sudo awk -F\' '$1=="menuentry " {print i++ " : " $2}' /etc/grub2.cfg

# 指定开机启动内核版本
grub2-set-default 0 # 0为安装的最新版本的数值
# grub2-set-default 'CentOS Linux (6.1.4-1.el7.elrepo.x86_64) 7 (Core)' 
#   CentOS Linux (6.1.4-1.el7.elrepo.x86_64) 7 (Core) 为文档编写时间的最新版本

# 生成 grub 配置文件
grub2-mkconfig -o /boot/grub2/grub.cfg

# 重启服务器
reboot

# 验证，显示为： 6.1.4-1.el7.elrepo.x86_64，则表示内核升级成功
uname -r

1 2	apt update apt install -y wget curl tar gettext iptables

1 2	yum update yum install -y wget curl tar gettext iptables

安装数据库

JumpServer 需要使用 MySQL 或 MariaDB 存储数据，使用 Redis 缓存数据。根据安全建议避免使用弱口令密码，直接使用 SSL 连接。

安装数据库
- mariadb10+： https://dlm.mariadb.com/2687943/MariaDB/mariadb-10.10.2/yum/centos/mariadb-10.10.2-rhel-7-x86_64-rpms.tar

负载均衡

安全建议

基本安全要求

* JumpServer 对外最低需要开放 80 443 2222 端口
* JumpServer 所在服务器操作系统应该升级到最新
* JumpServer 依赖的软件应该升级到最新版本
* 服务器、数据库、Redis 等依赖组件请勿使用弱口令密码
* 不推荐关闭 Firewalld 和 Selinux
* 只开放必要的端口，必要的话请通过 VPN 或者 SSLVPN 访问 JumpServer
* 如果必须开放到外网使用，你应该部署 Web 应用防火墙做安全过滤
* 请部署 SSL 证书通过 HTTPS 协议来访问 JumpServer
* JumpServer 应该在安全设置强密码规则，禁用用户使用弱口令密码
* 应该开启 JumpServer MFA 认证功能，避免因密码泄露导致的安全问题