JumpServer是飞致云推出的开源堡垒机,是一款符合规范的运维安全审计系统,帮助企业以更安全的方式管控和登录各种类型的资产。为方便大家了解,本文就以国内云服务器商腾讯云为例,为大家介绍使用宝塔面板在腾讯云轻量应用服务器上搭建JumpServer开源堡垒机的完整教程,仅供参考。
本文涉及到的热门服务及产品:
1、腾讯云服务器
腾讯云服务器提供云服务器、轻量应用服务器、GPU云服务器等热门产品,本文选择的是轻量应用服务器,它是新一代开箱即用、面向轻量应用场景的云服务器产品。
腾讯云轻量应用服务器提供中国内地地域、中国香港及其他境外地域可选,提供丰富的方案配置可选,其中入门配置为2核2GB、40GB SSD系统盘、20M带宽,价格低至30元/月。
《点击进入官网选购》
2、宝塔面板
宝塔面板是一款安全高效的服务器运维面板,支持一键LAMP/LNMP/集群/监控/网站/FTP/数据库/JAVA等100多项服务器管理功能。支持Windows和Linux系统,根据系统分为宝塔Windows面板和宝塔Linux面板。
《点击进入官网选购》
一、购买并创建腾讯云轻量应用服务器
1、进入腾讯云官网,注册并登录。
2、选择“产品”,选择“计算”,点击“轻量应用服务器”。
3、在以下页面点击“立即选购”,进入轻量应用服务器购买页面。
4、根据用户需求来进行配置。
5、确认无误后,点击立即购买。
6、核对配置信息后,单击提交订单,并根据页面提示完成支付。
7、成支付后,即可进入轻量应用服务器控制台查看用户的轻量应用服务器实例。
二、安装JumpServer开源堡垒机
1、创建好轻量应用服务器后,进入控制台重装系统,选择宝塔Linux面板镜像安装。
2、成功重装系统后,点击“应用管理”选项卡,根据提示获取宝塔面板的登录信息登录进宝塔面板,绑定宝塔账号。
3、进入宝塔面板的软件商店,安装下列依赖软件。
Nginx 1.20 MySQL 5.7 Docker管理器 Redis 6.2
4、回到腾讯云轻量应用服务器后台,找到网络信息——IP地址中的服务器内网IP。
5、打开redis软件的设置页面,将性能调整中的bind条目改为刚刚查看到的服务器内网IP。
6、打开宝塔面板的数据库选项卡,创建数据库。访问权限选择指定IP,并在后面的输入框中粘贴服务器内网IP。
7、进入文件管理,在 /www/wwwroot 目录下使用远程下载功能下载jumpserver代码包,完成下载后点击解压。
https://github.com/jumpserver/installer/releases/download/v2.20.2/jumpserver-installer-v2.20.2.tar.gz
8、打开/www/wwwroot/jumpserver-installer-v2.20.2/config-example.txt文件,参考官方文档根据自己的需要进行修改;
# 以下设置如果为空系统会自动生成随机字符串填入 ## 迁移请修改 SECRET_KEY 和 BOOTSTRAP_TOKEN 为原来的设置 ## 完整参数文档 https://docs.jumpserver.org/zh/master/admin-guide/env/ ## 安装配置, 可以使用华为云加速下载, arm64 用户需要注释掉 DOCKER_IMAGE_PREFIX # DOCKER_IMAGE_PREFIX=swr.cn-south-1.myhuaweicloud.com VOLUME_DIR=/www/wwwroot/jumpserver DOCKER_DIR=/var/lib/docker SECRET_KEY= BOOTSTRAP_TOKEN= LOG_LEVEL=ERROR ## MySQL 配置, USE_EXTERNAL_MYSQL=1 表示使用外置 MySQL, 请输入正确的 MySQL 信息 USE_EXTERNAL_MYSQL=1 DB_HOST=服务器内网IP DB_PORT=3306 DB_USER=jumpserver DB_PASSWORD= DB_NAME=jumpserver ## Redis 配置, USE_EXTERNAL_REDIS=1 表示使用外置 Redis, 请输入正确的 Redis 信息 USE_EXTERNAL_REDIS=1 REDIS_HOST=服务器内网IP REDIS_PORT=6379 REDIS_PASSWORD= ## Compose 项目设置, 如果 192.168.250.0/24 网段与你现有网段冲突, 请修改然后重启 JumpServer COMPOSE_PROJECT_NAME=jms COMPOSE_HTTP_TIMEOUT=3600 DOCKER_CLIENT_TIMEOUT=3600 DOCKER_SUBNET=192.168.250.0/24 ## IPV6 设置, 容器是否开启 ipv6 nat, USE_IPV6=1 表示开启, 为 0 的情况下 DOCKER_SUBNET_IPV6 定义不生效 USE_IPV6=0 DOCKER_SUBNET_IPV6=fc00:1010:1111:200::/64 ## Nginx 配置 HTTP_PORT=8080 SSH_PORT=2222 RDP_PORT=3389 ## HTTPS 配置, 参考 https://docs.jumpserver.org/zh/master/admin-guide/proxy/ 配置 # USE_LB=1 # HTTPS_PORT=443 # SERVER_NAME=your_domain_name # SSL_CERTIFICATE=your_cert # SSL_CERTIFICATE_KEY=your_cert_key ## Task 配置, 是否启动 jms_celery 容器, 单节点必须开启 USE_TASK=1 ## XPack, USE_XPACK=1 表示开启, 开源版本设置无效 USE_XPACK=0 ## Core 配置, Session 定义, SESSION_COOKIE_AGE 表示闲置多少秒后 session 过期, SESSION_EXPIRE_AT_BROWSER_CLOSE=true 表示关闭浏览器即 session 过期 # SESSION_COOKIE_AGE=86400 SESSION_EXPIRE_AT_BROWSER_CLOSE=true ## Koko Lion XRDP 组件配置 CORE_HOST=http://core:8080 ## Lion 开启字体平滑 JUMPSERVER_ENABLE_FONT_SMOOTHING=true ## Nginx 文件上传大小 CLIENT_MAX_BODY_SIZE=4096m ## 终端使用宿主 HOSTNAME 标识 SERVER_HOSTNAME=${HOSTNAME} ## 额外的配置 CURRENT_VERSION=
9、完成后回到腾讯云的控制台,使用远程连接功能进入服务器命令行,执行下面命令:
sudo su cd /www/wwwroot/jumpserver-installer-* ./jmsctl.sh install
10、根据脚本的提示做出回答即可。
11、出现下面提示时请输入上面宝塔自动生成的MySQL密码。
Please enter MySQL password (no default):
12、安装脚本会自动完成部署。
13、提示安装成功后,执行下面命令启动。
./jmsctl.sh start
在宝塔面板网站选项卡内创建一个网站,并设置反向代理。
14、点开配置文件,使用以下内容替换默认配置,否则web终端无法正常工作。
client_max_body_size 4096m; # 上传文件大小限制 location / { # 这里的 ip 是后端 JumpServer nginx 的 ip proxy_pass http://127.0.0.1:8080; proxy_http_version 1.1; proxy_buffering off; proxy_request_buffering off; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; proxy_set_header Host $host; proxy_set_header X-Forwarded-For $remote_addr; }
15、现在,用户就可以使用宝塔绑定的域名在浏览器中访问JumpServer了。
