Centos下堡垒机Jumpserver V3.0环境部署完整记录（1）-安装篇

Centos下堡垒机Jumpserver V3.0环境部署完整记录（1）-安装篇

由于来源身份不明、越权操作、密码泄露、数据被窃、违规操作等因素都可能会使运营的业务系统面临严重威胁，一旦发生事故，如果不能快速定位事故原因，运维人员往往就会背黑锅。几种常见的运维人员背黑锅场景：
1）由于不明身份利用远程运维通道攻击服务器造成业务系统出现异常，但是运维人员无法明确攻击来源，那么领导很生气、后果很严重；
2）只有张三能管理的服务器，被李四登录过并且做了违规操作，但是没有证据是李四登录的，那么张三只能背黑锅了；
3）运维人员不小心泄露了服务器的密码。一旦发生安全事故，那么后果不堪设想；
4）某服务器的重要数据被窃。但是数据文件无法挽回，那么面临的是无法估量的经济损失；

运维人员背黑锅的原因：
其实运维工作，出现各种问题是在所难免的，不仅要有很好的分析处理能力，而且还要避免问题再次发生。要清楚认识到出现问题的真实原因：
1）没有规范管理，人与服务器之间的界限不清晰；
2）没有实名机制，登录服务器前没有实名验证；
3）没有密码托管，服务器的密码太多，很难做到定期修改，自己保管怕丢失；
4）没有操作预警，对高危、敏感的操作无法做到事前防御；
5）没有传输控制，对重要服务器无法控制文件传输；
6）没有回溯过程，不能完整还原运维过程；

解决背黑锅的必杀技
作为运维人员，如何摆脱以上背黑锅的尴尬局面呢？也许堡垒机是一个破解此局面的必杀技。

1）统一入口、规范管理
提供统一入口，所有运维人员只能登录堡垒机才能访问服务器，梳理“人与服务器”之间的关系，防止越权登录；

2）利用手机APP动态口令等验证机制（比如Google Authenticator）
采用手机APP动态口令、OTP动态令牌、USBKEY、短信口令等双因素身份实名鉴别机制，防止密码被暴力破解，解决访问身份模糊的问题。

3）托管服务器密码，实现自动改密
通过堡垒机定期自动修改服务器的密码，解决手工修改密码、密码泄露和记住密码的烦恼;
a.可自动修改Windows、Linux、Unix、网络设备等操作系统的密码;
b.可以设置周期或指定时间执行改密任务;
c.可设定密码的复杂度、随机密码、指定密码、固定密码格式等;
d.可通过邮件、SFTP、FTP方式自动发送密码文件给管理员;
e.提供密码容错机制：改密前自动备份、备份失败不改密、改密后自动备份、自动恢复密码等;

4）事中控制，防止违规操作
作为运维人员，如何摆脱以上背黑锅的尴尬局面呢？也许堡垒机是一个破解此局面的必杀技。
a.通过命令控制策略，拦截高危、敏感的命令
c.通过文件传输控制策略，防止数据、文件的泄露

5)精细化审计，追溯整个运维过程
堡垒机要做到文件记录、视频回放等精细化完整审计，快速定位运维过程：
a.不仅要对所有操作会话的在线监控、实时阻断、日志回放、起止时间、来源用户来源地址、目标地址、协议、命令、操作(如对文件的上传、下载、删除、修改等操作等)等行为记录;
b.还要能保存SFTP/FTP/SCP/RDP/RZ/SZ传输的文件为上传恶意文件、拖库、窃取数据等危险行为起到了追踪依据。

一、Jumpserver堡垒机介绍

Jumpserver是一款由python编写, Django开发的开源跳板机/堡垒机系统, 助力互联网企业高效 用户、资产、权限、审计 管理。jumpserver实现了跳板机应有的功能，基于ssh协议来管理，客户端无需安装agent。

Jumpserver特点：
1）完全开源，GPL授权
2）Python编写，容易再次开发
3）实现了跳板机基本功能，身份认证、访问控制、授权、审计 、批量操作等。
4）集成了Ansible，批量命令等
5）支持WebTerminal
6）Bootstrap编写，界面美观
7）自动收集硬件信息
8）录像回放
9）命令搜索
10）实时监控
11）批量上传下载

二、Jumpserver安装及功能使用做一记录:

安装jumpserver 3.0版本，相对于jumpserver 2.0版本，在新的版本3.0中取消了LDAP授权，取而代之的是ssh进行推送；界面也有所变化，功能更完善，安装更简单。

本案例操作系统是Centos7.4

1）关闭jumpserver部署机的iptables和selinux

cd /opt
systemctl stop firewalld
setenforce 0

2）安装依赖包

wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo
yum -y install epel-release gcc  git
yum clean all && yum makecache
yum -y update
yum -y install git python-pip mysql-devel gcc automake autoconf python-devel vim sshpass lrzsz readline-devel
tar -zvxf jumpserver3.0.tar.gz
cd jumpserver/

我们查看目录下文件都有多少

ls

connect.py  connect.pyc  docs  install  jasset  jlog  jperm  jumpserver  jumpserver.conf  juser  keys  LICENSE  logs  manage.py  README.md  run_websocket.py  service.sh  static  templates

我们进入install目录

cd install/

ls查看目录

ls

developer_doc.txt  initial_data.yaml  install.py  install.pyc  next.py  requirements.txt  zzjumpserver.sh

更改pip源

 mkdir ~/.pip
cd .pip/

vi pip.conf   ##进入添加
[global]
index-url=http://mirrors.aliyun.com/pypi/simple/
 
[install]
trusted-host=mirrors.aliyun.com

4）执行快速安装脚本

pip install -r requirements.txt            //如果一次执行失败，可以多尝试执行几次

会报错：

pip install -r requirements.txt -i https://pypi.tuna.tsinghua.edu.cn/simple

5）查看安装的包

# pip freeze

ansible==1.9.4
backports-abc==0.5
backports.ssl-match-hostname==3.4.0.2
certifi==2017.7.27.1
configobj==4.7.2
decorator==3.4.0
Django==1.6
django-bootstrap-form==3.2
django-crontab==0.6.0
ecdsa==0.13
iniparse==0.4
Jinja2==2.9.6
MarkupSafe==1.0
MySQL-python==1.2.5
paramiko==1.16.0
passlib==1.6.5
perf==0.1
psutil==3.3.0
pycrypto==2.6.1
pycurl==7.19.0
pygobject==3.14.0
pygpgme==0.3
pyinotify==0.9.6
pyliblzma==0.5.3
pyudev==0.15
pyxattr==0.5.1
PyYAML==3.12
singledispatch==3.4.0.3
six==1.10.0
slip==0.4.0
slip.dbus==0.4.0
tornado==4.3
urlgrabber==3.10
xlrd==0.9.4
XlsxWriter==0.7.7
yum-metadata-parser==1.1.4
You are using pip version 8.1.2, however version 9.0.1 is available.
You should consider upgrading via the 'pip install --upgrade pip' command.

6) 安装并启动MariaDB

yum -y install mariadb mariadb-server
systemctl start mariadb
systemctl enable mariadb

接下来进行MariaDB的相关简单配置，设置密码，会提示先输入密码

mysql_secure_installatio

#首先是设置密码，会提示先输入密码
    
Enter current password for root (enter for none):<–初次运行直接回车
    
#设置密码
    
Set root password? [Y/n] <– 是否设置root用户密码，输入y并回车或直接回车
New password: <– 设置root用户的密码
Re-enter new password: <– 再输入一次你设置的密码
    
#其他配置
Remove anonymous users? [Y/n] <– 是否删除匿名用户，回车
Disallow root login remotely? [Y/n] <–是否禁止root远程登录,回车,
Remove test database and access to it? [Y/n] <– 是否删除test数据库，回车
Reload privilege tables now? [Y/n] <– 是否重新加载权限表，回车
    
#初始化MariaDB完成，接下来测试登录

mysql -uroot -p123456

Welcome to the MariaDB monitor.  Commands end with ; or \g.
Your MariaDB connection id is 10
Server version: 5.5.56-MariaDB MariaDB Server
    
Copyright (c) 2000, 2017, Oracle, MariaDB Corporation Ab and others.
    
Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.
    
MariaDB [(none)]>     ##测试登录成功

MariaDB [(none)]> show databases;
+--------------------+
|