使用Docker搭建Jumpserver堡垒机

在Centos 7 上安装Docker请参照下方文章

https://hlynford.com/475.html

官方手册

https://jumpserver.readthedocs.io/zh/master/dockerinstall.html

安装并运行 JumpServer

# 生成随机加密秘钥, 勿外泄
$ if [ "$SECRET_KEY" = "" ]; then SECRET_KEY=`cat /dev/urandom | tr -dc A-Za-z0-9 | head -c 50`; echo "SECRET_KEY=$SECRET_KEY" >> ~/.bashrc; echo $SECRET_KEY; else echo $SECRET_KEY; fi
$ if [ "$BOOTSTRAP_TOKEN" = "" ]; then BOOTSTRAP_TOKEN=`cat /dev/urandom | tr -dc A-Za-z0-9 | head -c 16`; echo "BOOTSTRAP_TOKEN=$BOOTSTRAP_TOKEN" >> ~/.bashrc; echo $BOOTSTRAP_TOKEN; else echo $BOOTSTRAP_TOKEN; fi

$ docker run --name jms_all -d -p 80:80 -p 2222:2222 -e SECRET_KEY=$SECRET_KEY -e BOOTSTRAP_TOKEN=$BOOTSTRAP_TOKEN jumpserver/jms_all:latest

---

运行检查

容器运行正常的话，输入下方命令可以看到ID，端口，运行时间等信息

$ docker ps

使用如下命令，查看ens33网卡所获取的ip地址

ip addr

---

访问

• 浏览器访问: http://<宿主机IP>
• SSH 访问: ssh -p 2222 < 宿主机IP >
• XShell 等工具请添加 connection 连接, 默认 ssh 端口 2222
• 默认管理员账户 admin 密码 admin

---

基本配置

登录系统

浏览器输入 http://192.168.213.135，默认用户名和密码都是admin

成功登录后，运行页面如下

用户管理

新建用户和组，此处的组和用户是登录到Jumpserver的

点击“用户管理”-“用户组”-“新建用户组”

名称自定义，这边以“ops”为例，ops：运维的意思

点击“用户管理”-"用户列表-“创建用户"

根据需求填写对应信息，带*号为必填项，同时我们将此用户添加到ops组中

管理用户

添加资产前需要先新建一个用户，这个用户的意思就是我们登录到服务器时候的那个最高权限的用户名和密码，一般是root，Jumpserver会通过这个账户获取资产的一些配置，统计等信息

比如这边以Kali Linux为例，名称自定义，用户名密码为kali的最高权限账户，用户名和密码都是root( kali 2020后的默认密码不是toor，需要进入单用户模式修改 )

资产管理

点击“资产管理”-“资产列表”-“创建资产”

填写带*号的信息，主机名自定义，ip和平台填写对应的信息

Linux默认协议组，ssh为22，如果不是的话请修改

管理用户处选择刚刚我们创建好的用户

点击刚刚提交成功的设备进去，然后点击“更新硬件信息”，刷新以下资产列表，就可以看到资产的状态了

系统用户

• 这个系统用户不同于上方的管理用户，这个系统用户配合下面的那个资产授权，解决权限控制的问题，比如运维人员，给最高权限，开发人员，给普通用户权限
• 比如我们需要在多台资产上创建普通用户，可以通过系统用户去批量创建

名称自定义，用户名我们以“ops运维”为例，，用户名为终端登录进去后的用户名，协议默认

默认Sudo为：/bin/whoami，我们这边将权限改为su

资产授权

配置完成后，需要在Jumpserver中访问Web终端，那么需要镜像资产授权

名称自定义，资产选择刚刚添加的Linux，系统用户选择刚刚创建的ops

连接测试

• 注销或者打开另外一个窗口，以zhangsan这个用户登录到Jumpserver，点击左侧的web终端进入，我们可以看到刚刚创建的"系统用户"就是授权后登录进来的ops用户
• 我们创建系统用户时候给的权限是Sudo /bin/su，所以我们可以在终端内输入sudo su切换到root权限运行

---

会话管理

在admin用户状态下，我们可以进入"会话管理"-"在线会话",查看用户的登录状态

同时，在"命令记录"中，可以查看用户所使用的命令