开源跳板机Jumpserver
相信各位对堡垒机(跳板机)不陌生，为了保证服务器安全，前面加个堡垒机，所有ssh连接都通过堡垒机来完成，堡垒机也需要有 身份认证，授权，访问控制，审计等功能，笔者用基本实现了上述功能。
后端主要技术是LDAP,配置了LDAP集中认证服务器， 所有服务器的认证都是由ldap完成的，我的做法是每个用户一个密码，把密码放到了中，当用户输入ip从跳板机登陆服务器的时候，跳板机取 出密码，并解密，通过pexpect模块将密码发送过去，来完成登录的。
登录界面和方法
用户登录跳板机，用的是秘钥认证，登录跳板机后会自动执行跳板机的系统
输入完整IP或者部分IP可以完成登录，如果输入的部分ip匹配的ip不是唯一，会有提示，没有权限的会提示没有权限
输入P/p可以查看自己拥有权限的服务器ip
输入E/E可以在几台服务器上执行同样的命令,IP直接以逗号分隔
日志记录用的是pexpect自带的日志记录，记录的日志既保存了命令又保存了命令的输出，也不小心讲发送的密码记录(不满意)，pexpect模 块处理有些难做，我的想法是将日志每天再处理一遍，将密码等去掉，日志保存在logs目录下面，文件名是 ip_日期_用户名 ps：用的chinaren登录的，提示窗口却是baidutest，这是由于我个人原因导致的。
对该项目感兴趣的朋友可以通过以下链接进行下载：
https://github.com/ibuler/jumpserver
以下是配置手册：
Centos6.5 mini , iptables, selinux关闭
jumpserver: 192.168.20.130
测试机testserver: 192.168.20.131
一. 部署ldapserver
1.1 安装ldapserver
# rpm -ivh http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm
# yum install -y vim automake autoconf gcc xz ncurses-devel \
patch python-devel git python-pip gcc-c++& # 安装基本环境，后面依赖
# yum install -y openldap openldap-servers openldap-clients openldap-devel
1.2 准备配置文件
# cp /usr/share/openldap-servers/slapd.conf.obsolete /etc/openldap/slapd.conf&&& ## 该文件是slapd的配置文件
# cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG&&&&&&& ## 数据库的配置文件
1.3 修改配置文件
# vim /etc/openldap/slapd.conf& ...& loglevel&&&&&&& 1& ...& suffix&&&&&&&&& &dc=jumpserver,dc=org&& rootdn&&&&&&&&& &cn=admin,dc=jumpserver,dc=org&& rootpw&&&&&&&&& secret234& ...& #说明：& loglevel：设置日志级别& suffix：其实就是BaseDN& rootdn: 超级管理员的dn& rootpw: 超级管理员的密码
1.4 修改系统日志配置文件
# vim /etc/rsyslog.conf& local4.*&&&&&&&&& /var/log/ldap.log&&
# local7.*下添加一行
# service rsyslog restart
1.5 启动slapd, 查看启动情况
# service slapd start
# rm -rf /etc/openldap/slapd.d/
# slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d
# chown -R ldap:ldap /etc/openldap/slapd.d/
# service slapd restart
# netstat -tulnp | grep slapd& #说明：第一次启动生会初始化ldap数据库，在/var/lib/ldap中，如果想删除ldap数据库就删除该目录，保留DB_CONFIG配置文件。新版的ldap使用的是/etc/openldap/slapd.d 下的配置文件，删除原来的配置文件，slaptest是重新生成新的配置文件
1.6 导入ldif数据库框架和测试用户，可以使用migrationtools导出框架，也可以用我导出好的.
base.ldif,group.ldif,passwd.ldif 将其中的dc=jumpserver,dc=org替换成你的baseDN,然后导入,密码是rootpw设置的 secret234
# ldapadd -x -W -D &cn=admin,dc=jumpserver,dc=org& -f base.ldif
# ldapadd -x -W -D &cn=admin,dc=jumpserver,dc=org& -f group.ldif
# ldapadd -x -W -D &cn=admin,dc=jumpserver,dc=org& -f passwd.ldif
#说明：测试用户是testuser 密码是testuser123
二. testserver部署ldapclient
& CentOS6设置 &
2.1 安装LDAP客户端
# yum -y install openldap openldap-clients nss-pam-ldapd pam_ldap
2.2 设置自动创建目录
# echo &session required pam_mkhomedir.so skel=/etc/skel umask=0077& && /etc/pam.d/system-auth
2.3 备份原来authconfig,然后设置使用LDAP认证
# authconfig --savebackup=auth.bak
# authconfig --enableldap --enableldapauth --enablemkhomedir --enableforcelegacy --disablesssd --disablesssdauth --ldapserver=192.168.20.130 --ldapbasedn=&dc=jumpserver,dc=org& --update
& CentOS5设置 &
2.1 安装LDAP客户端
# yum -y install openldap openldap-clients nss_ldap
2.2 设置自动创建目录
# echo &session required pam_mkhomedir.so skel=/etc/skel umask=0077& && /etc/pam.d/system-auth
2.3 设置使用LDAP认证
# authconfig --enableldap --enableldapauth --enablemkhomedir --ldapserver=192.168.20.130 --ldapbasedn=&dc=jumpserver,dc=org& --update
2.4 从jumpserver连接testuser测试# ssh testuser@192.168.20.131& # 密码是testuser123 如果连接成功则继续
生产中部署注意建立灾备账户这里就不再说明
三. LDAP负责sudo
3.1 拷贝sudo schema，centos版本不一样，可能sudo的版本不是1.8.6，其他的也可以
# cp /usr/share/doc/sudo-1.8.6p3/schema.OpenLDAP /etc/openldap/schema/sudo.schema
3.2 修改文件导入schema# vim /etc/openldap/slapd.conf　& include&&&&&&& /etc/openldap/schema/sudo.schema
3.3 重新生成配置文件，重启slapd
# rm -rf /etc/openldap/slapd.d/*
# slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d
# chown -R ldap:ldap /etc/openldap/slapd.d/*
# service slapd restart
3.4 导入sudo.ldif到ldapserver
# ldapadd -x -W -D &cn=admin,dc=jumpserver,dc=org& -f sudo.ldif& #说明：将sudo.ldif中的dc=jumpserver,dc=org换作你的baseDN
3.5 testserver设置sudo使用ldap
&说明: centos6上sudo-1.7.4p5的使用的ldap配置文件是 /etc/sudo-ldap.conf，sudo版本不同使用的配置文件可能也有所不同，sudo -V | grep &ldap.conf& 查看
# sudo -V | grep 'ldap.conf'
ldap.conf path: /etc/sudo-ldap.conf
# 已知有的版本是 /etc/nslcd.conf，下面应该做出对应改变..
& CentOS6 &
# echo -e &uri ldap://192.168.20.130\nSudoers_base ou=Sudoers,dc=jumpserver,dc=org& & /etc/sudo-ldap.conf
# echo &Sudoers: files ldap& &&
/etc/nsswitch.conf
& CentOS5 &
# echo &Sudoers_base ou=Sudoers,dc=jumpserver,dc=org& && /etc/ldap.conf
# echo &Sudoers: files ldap& && /etc/nsswitch.conf
3.6 测试sudo
# ssh testuser@192.168.20.131
#说明：密码是testuser123，sudo su如果不提示输入密码，则成功
四. 部署jumpserver
4.1 安装my，创建库
# yum -y install
mysql-server mysql-devel
# service mysqld start
mysql& create database jumpserver charset='utf8';
mysql& grant all on jumpserver.* to 'jumpserver'@'127.0.0.1' identified by 'mysql234';
4.2 下载最新Jumpserver项目
# git clone https://github.com/ibuler/jumpserver.git
# cd jumpserver
4.3 安装依赖模块
# cd /opt/jumpserver/docs
# pip install -r requirements.txt -i http://pypi.douban.com/simple
说明：如果报错请手动安装每个模块4.4 修改Jumpserver配置文件
# vim jumpserver.conf
#coding: utf8
ip = 192.168.20.130
key = 88aaaf7ffe3c6c04
host = 127.0.0.1
port = 3306
user = jumpserver
password = mysql234
database = jumpserver
ldap_enable = 1
host_url = ldap://127.0.0.1:389
base_dn = dc=jumpserver, dc=org
root_dn = cn=admin,dc=jumpserver,dc=org
root_pw = secret234
[websocket]
web_socket_host = 192.168.20.130:3000
email_host = smtp.exmail.qq.com
email_port = 25
email_host_user = noreply@jumpserver.org
email_host_password = jumpserver123
email_use_tls = False
# [base] ip, port是访问web的ip和端口号, key是用来加密的随机字符串，如果更改请确保是16位
# [db]里是数据库的设置，相信你看一眼就知道了
# [ldap] ldap_enable启用ldap, host_url是ldapserver的地址， base_dn root_dn root_pw与前面配置的ldapserver保持一致
# [websocket] websocket的地址，是允许node index.js程序的服务器地址，通常和web运行在一起，端口号默认是 3000
# [mail] 配置mail服务器，用来发送邮件，本版本添加用户会自动发邮件给用户的email
4.5 建立logs目录并修改权限
# cd /opt/jumpserver/
# chmod 777 logs
4.6 django sync db 到数据库
# python manage.py syncdb& Would you like to create one now? (yes/no): no
4.7 测试运行
# python manage.py runserver 0.0.0.0:80
# python log_handler.py& #说明：两个窗口分别打开
4.8 初始化jumpserver打开 http://192.168.1.209/install
显示安装成功测继续
五. 安装node.js
为了实现实时监控，使用了node.js来完成websocket
5.1 yum安装node.js
# yum -y install nodejs npm& # 好多依赖啊
# cd websocket
# npm install& #说明：可能下载需要几分钟，也可以使用我已经下载好的模块，将node_modules.tar.bz2 移动websocket目录解压即可& # tar xvf node_modules.tar.bz2 # 如果运行上面的install可以不解压提供的模块
5.2 测试启动websocket
# node index.js
六. 使用jumpserver
6.1 登陆 账号密码: admin admin
6.2 新建部门
6.3 新建用户
6.4 新建IDC
6.5 添加主机
6.6 建立用户组
6.7 建立主机组
6.8 将主机组授权给用户组
6.9 授权sudo
6.10 新建部门管理员
6.11 授权主机给部门
6.12 部门管理员登陆
6.13 部门管理员添加用户和授权
6.14 查看监控
6.15 查看统计
6.16 普通用户登录
7.1 修改sshd配置，禁止密码登录
# vim /etc/sshd/sshd_config& ...& PasswordAuthentication no& ...# service sshd restart
7.2 让用户登录jumpserver自动运行系统
# cd /opt/jumpserver/docs# # vim jumpserver.sh& ...& if [ $USER == 'guanghongwei' ];then&& # 修改特殊用户，结束后不退出& ...
# cp jumpserver.sh /etc/profile.d/
7.3 正常运行jumpserver系统
# cd /opt/jumpserver/
# ./service.sh start&&& #说明：如果想结束系统 ./service.&&& # 什么没有运行？ 那你有没有加执行权限？
八. 生产注意情况
8.1 每台服务器最好建立灾备用户，以防由于网络等情况连接不上ldap服务器导致影响维护
8.2 ldap server建立主从或者镜像, 这部分内容已超出本话题 客户端指定时需要写上两台的地址
--ldapserver=192.168.20.130,192.168.20.xxx
8.3 数据库备份或主从
8.4 nginx + uwsgi + django 运行，上面的server.sh是开发模式，只能单并发
本次更新Log
& 登录脚本 &
1.1 使用paramiko原生ssh协议登录后端主机(原来版本使用pexpect模拟登录）
1.2 新增使用别名或备注登录
1.3 新增主机分组查看，使用更方便
1.4 多线程批量执行命令
1.5 优化登录脚本
& web管理 &
1.6 Web界面更加美观漂亮
1.7 增加部门管理员负责管理本部门成员
1.8 增加仪表盘统计信息
1.9 增加部门， 用户组， 主机组
1.10 用户信息，主机信息更加详细
1.11 主机登录方式增加登录方式 map，用于登录不支持ldap的主机
1.12 主机授权，sudo授权改为组组之间授权
1.13 增加主机批量修改，批量添加
1.14 添加用户自动生成随机密码，然后自动发送邮件
1.15 添加各种搜索
1.16 增加普通用户web页面的授权申请
1.17 审计界面更加友好
1.18 主机添加过滤搜索功能
1.19 增加用户头像
1.20 上传批量上传
1.21 增加部门管理员页面
1.22 普通用户页面内容更加丰富
2.1 登陆页面
2.2 管理员主页
2.3 查看用户
2.4 查看资产
2.5 监控页面
2.6 命令统计
2.7 普通用户主页
2.8 普通用户个人信息
2.9文件上传
2.9 跳转界面多服务器如何管理？（视频教程加图文）
&&&&&&&&&大家好，我是小宇，今天我们来讲解一个相对比较大型的客户需要懂得的知识，多台服务器如何管理呢？小宇在无意进修过程中看到一个讲师MK老师说的，非常好，很棒，今天我给大家分享到这里来，大家都可以学习学习。课程题目：堡垒机和跳板机 同时可管理过万台服务器都是很轻松的事情。本节所讲内容：1、Jumpserver跳板机/堡垒机概述2、实戓1：在阿里于上搭建Jumpserver跳板机/堡垒机3、实戓2：使用Jumpserver管理“王者荣耀”数万台游戏服务器跳板机概述：跳板机就是一台服务器，开发戒运维人员在维护过程中首先要统一登录到这台服务器，然后再登录到目标设备迚行维护和操作；跳板机缺点：没有实现对运维人员操作行为的控制和审计，使用跳板机的过程中还是会出现误操作、远规操作导致的事故，一旦出现操作事故很难快速定位到原因和责任人；堡垒机概述：堡垒机，即在一个特定的网络环境下，为了保障网络和数据丌受来自外部和内部用户的入侵和破坏，而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活劢，以便集中报警、及时处理及审计定责。 总结： 堡垒机比跳板机多了实时收集、监控网络环境、集中报警等功能。Jumpserver概述：Jumpserver是一款使用Python Django开发的开源跳板机系统 为亏联网企业提供了认证，授权，审计，自劢化运维等功能。官方网址： http://www.jumpserver.orgJumpserver可以实现的功能：1、用户组/用户 ：添加组方便迚行授权用户是授权和登陆的主体.2、资产组/资产/IDC ： 主机信息简洁完整用户自定义备注登录支持自劢获取主页硬件信息.3、Sudo/系统用户/授权规则 ：支持sudo授权系统用户用亍登陆客户端授权是将用户、资产和系统用户关联起来.4、在线/登录历叱/命令记录/上传下载 ： 在线实时监控用户操作统计和录像回放用户操作内容阻断控制详细记录上传下载.5、上传/下载 ： 支持文件上传下载实现rzsz方式.6、默认设置 ： 默认管理用户 设置包括用户密码密钥，默认信息为了方便添加资产而设计.实戓1：搭建Jumpserver跳板机实验环境： centos7.41. 安装git[[email&＃160;protected] ~]# yum install git2. 下载jumpserver[[email&＃160;protected] ~]# cd /opt[[email&＃160;protected] opt]# git clone https://github.com/jumpserver/jumpserver.git[[email&＃160;protected] ~]# cd /opt/jumpserver/[[email&＃160;protected] jumpserver]# git checkout master分支 master 设置为跟踪来自 origin 的进程分支 master。切换到一个新分支 'master'3. 执行安装脚本[[email&＃160;protected] jumpserver]# cd jumpserver/install[[email&＃160;protected] install]# python install.py。。。注： 如果服务器上已经有mysql服务器了，可以选择N， 默认选择：Y默认用户名: jumpserver 默认密码: [email&＃160;protected]等一会，可以收到自己的邮件：请输入管理员用户名 [admin]:请输入管理员密码: [[email&＃160;protected]]: 123456请再次输入管理员密码: [[email&＃160;protected]]:123456Starting jumpserver service: [ 确定 ]安装成功，Web登录请访问http://ip:8000 祝你使用愉快。请访问 https://github.com/jumpserver/jumpserver/wiki 查看文档实戓2：使用Jumpserver管理“王者荣耀”数万台游戏服务器http://192.168.1.63:8000/启劢成功，页面访问： 用户名：admin 密码： [email&＃160;protected]登录后界面：注意： 在使用jumpserver过程中，有一步是系统用户推送，要推送成功，client（后端服务器）要满足以下条件： 1）后端服务器需要有python、sudo环境才能使用推送用户，批量命令等功能 2）后端服务器如果开启了selinux，请安装libselinux-python一、用户管理 1）添加用户 点击用户管理 —& 查看用户 —& 添加用户输入要添加的用户名，姓名，权限，Mail，并且发送邮件 —& 保存查看添加的用户查看用户邮件 邮件中包含了用户名，权限，web密码，ssh 密钥密码，以及密钥下载地址。2）添加用户组 点击用户管理 —& 查看用户组 —& 添加用户组添加新的小组 —& 运维小组查看刚才添加的组二、资产管理1）添加资产组点击资产管理 —& 查看资产组 —& 添加主机组输入组名称，并且输入描述组用途2）添加资产 点击资产管理 —& 查看资产 —& 添加资产输入主机名，主机IP，管理用户名（管理员用户，主机中必须存在的哦~ 可以是root），端口，资产组 —& 提交保存3）添加机房 点击资产管理 —& 查看机房 —& 添加机房输入机房名称，其他的可以选填 —& 保存把新增加的服务器，添加到机房里三、权限管理1）sudo点击权限管理 —& sudo —& 添加别名输入别名，系统命令，备注 —& 点击保存2）添加系统用户 点击授权管理 —& 系统用户 —& 添加系统用户注：先要有权限登录到跳板机，然后在跳板机的平台上，使用linux系统用户登录到我们的游戏服务器上，迚行管理输入用户名，密码，管理的sudo及备注 —& 单击保存创建好系统用户之后，单击推送，将用户名、密码、sudo的信息推送到服务器。即：将用户名和服务器绑定选择系统用户，资产组 —& 单击保存推送成功查看xuegod63上新添加的系统用户： [[email&＃160;protected] ~]# grep admin /etc/passwd admin:x:::/home/admin:/bin/bash3）授权规则 点击授权管理 —& 授权规则 —& 添加规则输入授权名称，用户/用户组，资产/资产组，系统用户，备注 —& 单击保存四、登录 使用jumpserver用户”mk123”通过web页面登录到堡垒机上，并实现跳转到服务器 192.168.1.63上。 1）通过web登录 http://192.168.1.63:8000/可以看到用户ID，用户名，权限，key，最后登录，用户组，授权主机数，以及主机信息。单击查看资产 —& 违接违接成功，可以对该主机迚行操作。 http://192.168.1.63:8000/terminal/?id=1&role=mk123 #已经可在web界面操作linux了2）通过ssh登录，通过ssh登录方法二：通过邮件中收到的地址，下载key密钥下载地址： http://192.168.1.63:8000/juser/key/down/?uuid=0904ba9bf1使用xshell 加载公钥，登录系统：注：公钥密码密钥的密码在邮箱中这样就可以以xshell的方式服务器了。扩展： 查被登录系统中的mk123 jumpserver用户[[email&＃160;protected] ~]# grep mk123 /etc/passwdmk123:x:::/home/mk123:/opt/jumpserver/init.sh 登录成功后，如下：Opt or ID&: 192.168.1.63 #登录192.168.1.63机器 Only match Host: game1.xuegod.cn-王者荣耀-华北区 Connecting game1.xuegod.cn-王者荣耀-华北区 ... Last login: Tue Sep 26 14:54:27 2017 from xuegod63.cn [[email&＃160;protected] ~]$ [[email&＃160;protected] ~]$ exit #退出 logout Opt or ID&: /63 #查询包括63的IP地址 [ID ] IP Port Hostname SysUser Comment [0 ] 192.168.1.63 22 game1.xuegod.cn-王者荣耀-华北区 [admin] Opt or ID&: g #显示您有权限的主机组[ID ] 组名 备注 [1 ] 王者荣耀-华北区-服务器组 Opt or ID&: q #退出总结：1、Jumpserver跳板机/堡垒机概述2、实戓1：在centos7.4上搭建Jumpserver跳板机/堡垒机3、实戓2：使用Jumpserver管理“王者荣耀”数万台游戏服务器看完了以上所有内容是不是感觉功能的强大呢？服务器再多也不怕了，只要有了堡垒机，跳板机，管理服务器那都是很轻松很简单的事情了！需要视频教程的可以找我，我的QQ：加Q说明来意！
阅读:&&&&评论:
COPYRIGHT (C) 2016Jumpserver是国内一款开源的轻便的跳板机系统，他们的官网：http://www.jumpserver.org/
使用这款软件意在提高公司内部登录生产环境服务器的便捷性，权限分配细化，以及后台管理的可视化，审计日志的WEB化(哪怕用户vi一个文件，在里面做了什么样的操作，都能审计)。本文档参考的使用说明，以及相关安装文档而修订
Jumpserver作为生产环境的主要入口，生产服务器的网络只打通到这台跳板机
我使用centos 7.1版本安装
8核8G内存40G硬盘
使用办公内网服务器比如（10.40.150.90）
jumpserver v0.3.0-2
内网的dnsmasq作一个解析地址：jumpserver.venic.com & 10.40.150.90
生产服务器的网络只打到这台跳板机，IPsec VPN的ACL作规则permit放行，jumpserver不放开外网访问进来权限。只允许内网访问，如有外网登录跳板的，建议其通地拨号VPN，先连办公网，再登录跳板。
基础环境配置
修改系统内核句柄
修改ulimit打开文件的大小
/etc/security/limits.conf &尾部添加两行
* soft&& nofile &&65536
* hard nofile 65536
关闭自动写入key的功能，在
/etc/ssh/ssh_config
StrictHostKeyChecking no
UserKnownHostsFile /dev/null
重启服务器
修改时钟同10.40.42.10 controller步为其它内网服务器，比如controller
vi /etc/hosts
10.40.42.10 controller
vi /etc/chrony.conf
server controller iburst
service chronyd start
安装数据库
yum install mariadb mariadb-server -y
修改数据库连接数
vi /etc/my.cnf
max_connections = 10000
vi /usr/lib/systemd/system/mariadb.service 或者vi&/usr/lib/systemd/system/mysqld.service
在以下增加红色字体部份
Type=simple
User=mysql
Group=mysql
LimitNOFILE=65535
LimitNPROC=65535
systemctl daemon-reload
systemctl restart&&mariadb
mysql_secure_installation
create database jumpserver DEFAULT CHARSET utf8 COLLATE utf8_general_
grant all on jumpserver .* to 'jumpserver '@'%' identified by 'jumpserver@123';
上jumpserver.org官网下载他们的git.zip
在电脑上解压使用SSHclient上传至服务器10.40.150.90（刚新创建空虚拟机）
将文件件移至/opt目录下
/opt/jumpserver-master/install目录
直接执行python install.py
它会自动下载数据库和依赖包和pip包
按提示操作
Successfully installed MySQL-python-1.2.5 ansible-1.9.4 argparse-1.4.0 backports-abc-0.4 certifi- django-1.6 django-bootstrap-form-3.2 django-crontab-0.6.0 django-smtp-ssl-1.0 paramiko-1.16.0 passlib-1.6.5 psutil-3.3.0 pycrypto-2.4.1 pyinotify-0.9.6 pyte-0.5.2 singledispatch-3.4.0.3 tornado-4.3 wcwidth-0.1.7 xlrd-0.9.4 xlsxwriter-0.7.7
开始关闭防火墙和selinux
setenforce: SELinux is disabled
请输入您服务器的IP地址，用户浏览器可以访问 [10.40.150.90]:
是否安装新的MySQL服务器? (y/n) [y]: n
请输入数据库服务器IP [127.0.0.1]:
请输入数据库服务器端口 [3306]:
请输入数据库服务器用户 [jumpserver]:
请输入数据库服务器密码: jumpserver@123
请输入使用的数据库 [jumpserver]:
连接数据库成功
请输入SMTP地址:
请输入SMTP端口 [25]:
请输入账户:
请输入密码:
please run connect() first
是否跳过(y/n) [n]? : y
& & & & 请登陆邮箱查收邮件, 然后确认是否继续安装
是否继续? (y/n) [y]: y
请输入管理员用户名 [admin]: admin
请输入管理员密码: [5Lov@wife]: venic8888
请再次输入管理员密码: [5Lov@wife]: venic8888
Starting jumpserver service:& & & & & & & & & & & & & & & &[& 确定& ]
安装成功，Web登录请访问http://ip:8000, 祝你使用愉快。
请访问 https://github.com/jumpserver/jumpserver/wiki 查看文档
[root@jumpserver install]#
[root@jumpserver install]# netstat -tunl
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address& & & & & &Foreign Address& & & & &State& & &
tcp& & & & 0& & & 0 0.0.0.0:10050& & & & & &0.0.0.0:*& & & & & & & &LISTEN& & &
tcp& & & & 0& & & 0 0.0.0.0:3306& & & & & & 0.0.0.0:*& & & & & & & &LISTEN& & &
tcp& & & & 0& & & 0 0.0.0.0:22& & & & & & & 0.0.0.0:*& & & & & & & &LISTEN& & &
tcp& & & & 0& & & 0 127.0.0.1:25& & & & & & 0.0.0.0:*& & & & & & & &LISTEN& & &
tcp& & & & 0& & & 0 0.0.0.0:8000& & & & & & 0.0.0.0:*& & & & & & & &LISTEN& & &
tcp6& & & &0& & & 0 :::10050& & & & & & & & :::*& & & & & & & & & & LISTEN& & &
tcp6& & & &0& & & 0 :::22& & & & & & & & & &:::*& & & & & & & & & & LISTEN& & &
tcp6& & & &0& & & 0 ::1:25& & & & & & & & & :::*& & & & & & & & & & LISTEN& & &
udp& & & & 0& & & 0 0.0.0.0:68& & & & & & & 0.0.0.0:*& & & & & & & & & & & & &
udp& & & & 0& & & 0 127.0.0.1:323& & & & & &0.0.0.0:*& & & & & & & & & & & & &
udp& & & & 0& & & 0 0.0.0.0:49683& & & & & &0.0.0.0:*& & & & & & & & & & & & &
udp6& & & &0& & & 0 ::1:323& & & & & & & & &:::*& & & & & & & & & & & & & & & &
udp6& & & &0& & & 0 :::48824& & & & & & & & :::*& & & &
&如果启动失败，请返回上层目录/opt/jumpserver-master，手动运行 python run_server.py 或 ./service.sh restart启动
./service.sh restart
问题记录一：
默认跳板机的上传文件有限制大小为256M,可以修改dropzone.js
vi /opt/jumpserver-master/static/js/dropzone/dropzone.js ，296 行
&& & & & & & & & & &maxFilesize: 5000,
还要安装一个nginx代理，以用来改善它的80端口访问和改善WEB大文件上传，加上一个http://jumpserver.venic.com/doc
来链接使用说明
[root@jumpserver http]# vi uploadbigfile.conf
& & & & listen& 80;
& & & & client_max_body_size 5g;
& & & & proxy_connect_timeout 300;
& & & & proxy_read_timeout 300;
& & & & proxy_send_timeout 300;
& & & & proxy_buffer_size 64k;
& & & & proxy_buffers 4 32k;
& & & & proxy_busy_buffers_size 64k;
& & & & proxy_temp_file_write_size 64k;
& & & & location ^~ /ws/ {
& & & & & & & & proxy_set_header X-Real-IP $remote_
& & & & & & & & proxy_set_header Host $
& & & & & & & & proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_
& & & & & & & & proxy_http_version 1.1;
& & & & & & & & proxy_set_header Upgrade $http_
& & & & & & & & proxy_set_header Connection "upgrade";
& & & & & & & & proxy_pass http://127.0.0.1:8000/ws/;
& & & & location / {
& & & & & & & & & & &proxy_pass http://127.0.0.1:8000;
& & & & location /file/upload/ {
& & & & & & & & & & &proxy_pass http://127.0.0.1:8083;
& & & & location ^~ /doc/ {
& & & & & & & & proxy_pass http://127.0.0.1:8088/;
& & & & listen& 8088;
& & & & location / {
& & & & & & root& &/opt/jumpserver-master/docs/;
& & & & & & index& index.html index.
由于多了一个8083端口，还要启动这个
cd /opt/jumpserver-master
python manage.py runserver 127.0.0.1:8083 &&
*************************************************
xshell工具的上传大小还没解决，以下是刚才修改配置的位置，但测试最终提示不超过2G的单文件。
上传文件有限制大小为256M,可以修改dropzone.js
vi /opt/jumpserver-master/static/js/dropzone/dropzone.js ，296 行
&& & & & & & & & & &maxFilesize: 5000,
./service.sh restart
加一些开机自启动
chkconfig mariadb on
vi /etc/rc.d/rc.local
/home/local/nginx1.9/sbin/nginx
/opt/jumpserver-master/service.sh restart
/bin/python /opt/jumpserver-master/manage.py runserver 127.0.0.1:8083 &
chmod +x&/etc/rc.d/rc.local
&问题记录二：
Web console登录机器，会产生过大的CPU，单开一个WEB console就消耗了44%的CPU，2核中占满一个。而使用Xshell公钥匙则没有问题
如果要禁用Web Console的话，修改Web前端，但我没有删掉
进入/opt/jumpserver-master/templates/jasset/asset_cu_list.html &-----修改130行 这个是修改普通用户界面的
进入/opt/jumpserver-master/templates/jasset/asset_list.html & &135行 & &--------这个是修改管理员界面的
比如我把它修改成跳转方式到其它网站连接去
&a value="{{ asset.id }}" class="conn btn btn-xs btn-warning"&连接&/a&
&a&href="http://jumpserver.venic.com/doc" class="conn btn btn-xs btn-warning"&连接&/a&
而我没有取消，是因我调高CPU配置为8核后，发现开了8个窗口，最终还是最多消耗2个核，所以我没有禁用web console
-------------------------------------------------------------------------------------------------------------
需求变更一：
修改web console的窗口宽一点
/opt/jumpserver-master/static/js/webterminal.js
改里面所有100值为160的值
修改webconsole 窗口，加个注释，禁用用户修改窗口大小
&div class="termChangBar"&
& & &input type="number" min="100" value="100" placeholder="col" id="term-col"/&
& & &input type="number" min="35" value="35" placeholder="row" id="term-row"/&
& & &button id="col-row"&修改窗口大小&/button&
修改弹窗的窗口体大小（非terminal），
进入/opt/jumpserver-master/templates/jasset/asset_cu_list.html &-----修改237行和249行 &这个是修改普通用户界面的
进入/opt/jumpserver-master/templates/jasset/asset_list.html & &248行和259 & &--------这个是修改管理员界面的
window.open(new_url+data, "_blank", 'width=1000, height=600');
------------------------------------------------------
需求变更二：
修改左侧导航栏的访问官网链接
进入/opt/jumpserver-master/templates/nav.html&& 52行和80行
&a href="http://jumpserver.venic.com/doc" target="_blank"&&i class="fa fa-database"&&/i& &span class="nav-label"&访问官网&/span&&/a&
上传一个用word文档写的“操作指引”到如下链接，
这个word文档转成html，我只是使用另存为html自己保存成2个新文件（index.files和index.htm）
然后我在htm文件的&head&&/head&标签中，添加了一个&style&&/style&如下标签，目的是让图片自动伸缩和居中
body{width:800
& & margin:
& & background-color:#FFFFFF;
img {max-width:800}
然后把这2个文件上传至服务器的/opt/jumpserver-master/docs目录下。所以才上面的nginx多一条跳转的配置
然后我们还要修改首页的前代码，让“连接使用说明”指到这个 http://jumpserver.venic.com/doc/
/opt/jumpserver-master/templates/nav.html
&测试跳转后的显示界面样式如下，
阅读(...) 评论()}