MyException - 我的异常网
当前位置:我的异常网» 项目管理 » 基于docker筹建jumpserver堡垒机

基于docker筹建jumpserver堡垒机

www.MyException.Cn  网友分享于:2013-09-19  浏览:0次
基于docker搭建jumpserver堡垒机

一、环境信息

  1、jumpserver 192.168.137.129 CentOS6.4   kernel版本为 3.10.5-3.el6.x86_64

  2、客户机 dev01-04

  3、docker镜像  jiaxiangkong/jumpserver_docker:0.3.2

二、在129上准备基本环境

  [root@localhost ~]# yum install -y epel-release

  [root@localhost ~]# yum install -y curl

  [root@localhost ~]# service iptables stop

  [root@localhost ~]# 关闭selinux

  升级内核到3.10.0以上(rpm包下载:http://pan.baidu.com/s/1cGrccQ)

  [root@localhost ~]# uname -r
  3.10.5-3.el6.x86_64

  安装docker

  [root@localhost ~]# yum install device-mapper-event-libs

  [root@localhost ~]# yum install -y https://get.docker.com/rpm/1.7.1/centos-6/RPMS/x86_64/docker-engine-1.7.1-1.el6.x86_64.rpm

  [root@localhost ~]# docker -v
  Docker version 1.7.1, build 786b29d

三、安装mysql数据库

  [root@localhost ~]# yum install -y mysql

  [root@localhost ~]# service mysqld start

  [root@localhost ~]# mysql -e "create database jumpdb charset='utf8';"

  [root@localhost ~]# mysql -e "grant all on jumpdb.* to 'jumpdb'@'%' identified by 'jumppasswd';"

  [root@localhost ~]# mysql -e "flush privileges;"

  [root@localhost ~]# mysql -e "show databases;"

四、安装jumpserver

  4.1拉取镜像

  [root@localhost ~]# docker pull jiaxiangkong/jumpserver_docker:0.3.2

  

  4.2、配置启动脚本并启动

  
 1 #!/bin/bash
 2 docker stop jms && docker rm jms
 3 docker run     --name jms \
 4         -p 2222:22 \
 5         -p 8888:80 \
 6         -v /root/jumpserver/jms_data/script:/data/jms/script \
 7         -v /root/jumpserver/jms_data/home:/data/home \
 8         -v /root/jumpserver/jms_data/bak:/data/jms/bak \
 9         -v /root/jumpserver/jms_data/tty:/data/logs/tty \
10         -v /root/jumpserver/jms_data/keys:/data/keys \
11         -v /etc/localtime:/etc/localtime:ro \
12         -e USE_MYSQL=1 \
13         -e MYSQL_ENGINE=mysql \
14         -e MYSQL_HOST=192.168.137.129 \
15         -e MYSQL_PORT=3306 \
16         -e MYSQL_USER=jumpdb \
17         -e MYSQL_PASS=jumppasswd \
18         -e MYSQL_NAME=jumpdb \
19         -e USE_MAIL=true \
20         -e MAIL_ENABLED=1 \
21         -e MAIL_HOST=smtp.126.com \
22         -e MAIL_PORT=25 \
23         -e MAIL_USER=88888@126.com \
24         -e MAIL_PASS=88888 \
25         -e MAIL_USE_TLS=False \
26         -e MAIL_USE_SSL=False \
27         --restart=always \
28         -d jiangxiangkong/jumpserver:0.3.2
29 docker exec -ti jms /bin/sh /data/jms/script/input_ip.sh
30 docker exec -ti jms /bin/sh /data/jms/script/set_config.sh
start_jms.sh

  docker容器有被删除重启的可能,这里将重要的数据挂载到宿主机是为了数据的保存,下次启动时,直接用这些数据

  (jms_data下载:http://pan.baidu.com/s/1cGrccQ)

  
ipaddr=$(ip a | grep "inet.*eth0" | awk -F '/' '{print $1}' | awk '{print $2}')
sed -i "s/url =/url = ${ipaddr}/" /jumpserver/jumpserver.conf
input_ip.sh

  容器启动后,将容器ip配置到jumpserver.conf中

  
#!/bin/sh

rm -f /etc/group 
rm -f /etc/passwd 
rm -f /etc/shadow
cp -f /data/jms/bak/userconfig/group /etc/group
cp -f /data/jms/bak/userconfig/passwd /etc/passwd
cp -f /data/jms/bak/userconfig/shadow /etc/shadow
set_config.sh

  将备份的历史用户数据导入/etc下,如果容器是第一次启动,可以忽略这个脚本

  [root@localhost ~]# docker ps
  CONTAINER ID        IMAGE                                  COMMAND                CREATED             STATUS              PORTS                                        NAMES
  020843b328ca        jiaxiangkong/jumpserver_docker:0.3.2   "/bin/sh -c /run.sh"   22 hours ago        Up 3 hours          0.0.0.0:2222->22/tcp, 0.0.0.0:8888->80/tcp   jms

  4.3、访问 192.168.137.129:8888,密码默认都是admin

  

  

五、配置使用

   5.1、配置跳板机

  宿主机配置crontab任务,将容器内的用户信息文件(group,passwd,shadow)作备份

  #宿主机创建定时任务
  */1 * * * * /bin/sh /root/jumpserver/jms_data/script/cron_work.sh &>/root/worklog.log  &
  
#!/bin/bash
docker exec -i jms sh /data/jms/script/get_config.sh
cron_work.sh
  
1 #!/bin/sh
2 /bin/rm -f /data/jms/bak/userconfig/group;/bin/cp -f /etc/group /data/jms/bak/userconfig/group
3 /bin/rm -f /data/jms/bak/userconfig/passwd;/bin/cp -f /etc/passwd /data/jms/bak/userconfig/passwd
4 /bin/rm -f /data/jms/bak/userconfig/shadow;/bin/cp -f /etc/shadow /data/jms/bak/userconfig/shadow
get_config.sh

  通过宿主机去调用脚本,将用户信息文件备份到挂载的目录

  5.2、登录192.168.137.129:8888,admin/admin

  创建用户组:运维、开发

  

  创建用户,选择不发送邮件(认证有问题,异常),成功后记录下用户信息,包含登录web的用户名和密码,跳板机密钥密码。

  

  设置客户端默认的管理用户密码(添加资产时可以选择默认管理用户,或者自行添加)

  

  创建资产组:DEV

  

  添加资产dev01-04,选择默认管理用户

  

  设置sudo别名,别名包含的命令,能以root权限(sudo的形式)执行,如果命令中有su,说明能sudo到root用户下

  

  添加系统用户并推送到dev01-04,如果客户端已经存在这个用户,不会改变用户当台,只会在$HOME/.ssh下添加跳板机生成的公钥)

  

  

  添加授权规则:跳板机A用户(组)对应客户机A用户(组),一一对应授权,授权之后即可通过跳板机A用户(组)跳转到客户机的A用户(组)

  用户→资产,用户→资产组,用户组→资产,用户组→用户组,可以指定多个系统用户

   

  在宿主机上手动执行,解除默认账号锁定的状态
        docker exec -ti jms sh /data/jms/script/open_shadow.sh kevin
        docker exec -ti jms sh /data/jms/script/open_shadow.sh poke

  
1 #!/bin/sh
2 sed -i "s/^$1:\!/$1:/" /etc/shadow
open_shadow.sh

5.2、使用跳板机

   根据创建用户时,返回的用户信息,下载密钥。

  配置xshell,ip为宿主机ip,端口为2222

  

  确认登录,返回操作界面

  

  查看容器日志

  

  OK

 

参考链接:https://github.com/jumpserver/jumpserver/wiki

 

文章评论

为啥Android手机总会越用越慢?
为啥Android手机总会越用越慢?
那些争议最大的编程观点
那些争议最大的编程观点
漫画:程序员的工作
漫画:程序员的工作
程序员必看的十大电影
程序员必看的十大电影
如何区分一个程序员是“老手“还是“新手“?
如何区分一个程序员是“老手“还是“新手“?
初级 vs 高级开发者 哪个性价比更高?
初级 vs 高级开发者 哪个性价比更高?
科技史上最臭名昭著的13大罪犯
科技史上最臭名昭著的13大罪犯
程序员应该关注的一些事儿
程序员应该关注的一些事儿
老程序员的下场
老程序员的下场
Java 与 .NET 的平台发展之争
Java 与 .NET 的平台发展之争
旅行,写作,编程
旅行,写作,编程
5款最佳正则表达式编辑调试器
5款最佳正则表达式编辑调试器
10个调试和排错的小建议
10个调试和排错的小建议
60个开发者不容错过的免费资源库
60个开发者不容错过的免费资源库
总结2014中国互联网十大段子
总结2014中国互联网十大段子
亲爱的项目经理,我恨你
亲爱的项目经理,我恨你
为什么程序员都是夜猫子
为什么程序员都是夜猫子
程序员的一天:一寸光阴一寸金
程序员的一天:一寸光阴一寸金
“肮脏的”IT工作排行榜
“肮脏的”IT工作排行榜
2013年中国软件开发者薪资调查报告
2013年中国软件开发者薪资调查报告
老美怎么看待阿里赴美上市
老美怎么看待阿里赴美上市
我跳槽是因为他们的显示器更大
我跳槽是因为他们的显示器更大
程序员和编码员之间的区别
程序员和编码员之间的区别
不懂技术不要对懂技术的人说这很容易实现
不懂技术不要对懂技术的人说这很容易实现
2013年美国开发者薪资调查报告
2013年美国开发者薪资调查报告
程序员眼里IE浏览器是什么样的
程序员眼里IE浏览器是什么样的
写给自己也写给你 自己到底该何去何从
写给自己也写给你 自己到底该何去何从
什么才是优秀的用户界面设计
什么才是优秀的用户界面设计
Java程序员必看电影
Java程序员必看电影
Google伦敦新总部 犹如星级庄园
Google伦敦新总部 犹如星级庄园
程序员的鄙视链
程序员的鄙视链
做程序猿的老婆应该注意的一些事情
做程序猿的老婆应该注意的一些事情
团队中“技术大拿”并非越多越好
团队中“技术大拿”并非越多越好
一个程序员的时间管理
一个程序员的时间管理
当下全球最炙手可热的八位少年创业者
当下全球最炙手可热的八位少年创业者
10个帮程序员减压放松的网站
10个帮程序员减压放松的网站
Web开发人员为什么越来越懒了?
Web开发人员为什么越来越懒了?
鲜为人知的编程真相
鲜为人知的编程真相
编程语言是女人
编程语言是女人
“懒”出效率是程序员的美德
“懒”出效率是程序员的美德
 程序员的样子
程序员的样子
聊聊HTTPS和SSL/TLS协议
聊聊HTTPS和SSL/TLS协议
程序员最害怕的5件事 你中招了吗?
程序员最害怕的5件事 你中招了吗?
我的丈夫是个程序员
我的丈夫是个程序员
中美印日四国程序员比较
中美印日四国程序员比较
看13位CEO、创始人和高管如何提高工作效率
看13位CEO、创始人和高管如何提高工作效率
如何成为一名黑客
如何成为一名黑客
十大编程算法助程序员走上高手之路
十大编程算法助程序员走上高手之路
要嫁就嫁程序猿—钱多话少死的早
要嫁就嫁程序猿—钱多话少死的早
软件开发程序错误异常ExceptionCopyright © 2009-2015 MyException 版权所有