基于docker搭建jumpserver堡垒机

一、环境信息

　　1、jumpserver 192.168.137.129 CentOS6.4   kernel版本为 3.10.5-3.el6.x86_64

　　2、客户机 dev01-04

　　3、docker镜像  jiaxiangkong/jumpserver_docker:0.3.2

二、在129上准备基本环境

　　[root@localhost ~]# yum install -y epel-release

　　[root@localhost ~]# yum install -y curl

　　[root@localhost ~]# service iptables stop

　　[root@localhost ~]# 关闭selinux

　　升级内核到3.10.0以上（rpm包下载：http://pan.baidu.com/s/1cGrccQ）

　　[root@localhost ~]# uname -r
　　3.10.5-3.el6.x86_64

　　安装docker

　　[root@localhost ~]# yum install device-mapper-event-libs

　　[root@localhost ~]# yum install -y https://get.docker.com/rpm/1.7.1/centos-6/RPMS/x86_64/docker-engine-1.7.1-1.el6.x86_64.rpm

　　[root@localhost ~]# docker -v
　　Docker version 1.7.1, build 786b29d

三、安装mysql数据库

　　[root@localhost ~]# yum install -y mysql

　　[root@localhost ~]# service mysqld start

　　[root@localhost ~]# mysql -e "create database jumpdb charset='utf8';"

　　[root@localhost ~]# mysql -e "grant all on jumpdb.* to 'jumpdb'@'%' identified by 'jumppasswd';"

　　[root@localhost ~]# mysql -e "flush privileges;"

　　[root@localhost ~]# mysql -e "show databases;"

四、安装jumpserver

　　4.1拉取镜像

　　[root@localhost ~]# docker pull jiaxiangkong/jumpserver_docker:0.3.2

　　

　　4.2、配置启动脚本并启动

　　

 docker stop jms && docker rm jms
 docker run     --name jms \
         -p : \
         -p : \
         -v /root/jumpserver/jms_data:/data \
         -v /etc/localtime:/etc/localtime:ro \
         -e USE_MYSQL= \
         -e MYSQL_ENGINE=mysql \
         -e MYSQL_HOST=192.168.137.129\
         -e MYSQL_PORT= \
         -e MYSQL_USER=jumpdb \
         -e MYSQL_PASS=jumppasswd \
         -e MYSQL_NAME=jumpdb \
         -e USE_MAIL=true \
         -e MAIL_ENABLED= \
         -e MAIL_HOST=smtp..com \
         -e MAIL_PORT= \
         -e MAIL_USER=@.com \
         -e MAIL_PASS='88888=' \
         -e MAIL_USE_TLS=False \
         -e MAIL_USE_SSL=False \
         --restart=always \
         -d jumpserver:0.3.
 docker exec -ti jms /bin/sh /data/script/input_ip.sh

start_jms.sh

　　docker容器有被删除重启的可能，这里将重要的数据挂载到宿主机是为了数据的保存，下次启动时，直接用这些数据

　　（jms_data下载：http://pan.baidu.com/s/1cGrccQ）

　　

 # set url ip
 ipaddr=$(ip a | grep "inet.*eth0" | awk -F '/' '{print $1}' | awk '{print $2}')
 sed -i "s/url =/url = ${ipaddr}/" /jumpserver/jumpserver.conf
 # set group link
 rm -f /etc/group
 ln -s /data/group /etc/group

input_ip.sh

　　容器启动后，将容器ip配置到jumpserver.conf中，并给group建立软链接

　　[root@localhost ~]# docker ps
　　CONTAINER ID        IMAGE                                  COMMAND                CREATED             STATUS              PORTS                                        NAMES
　　020843b328ca        jiaxiangkong/jumpserver_docker:0.3.2   "/bin/sh -c /run.sh"   22 hours ago        Up 3 hours          0.0.0.0:2222->22/tcp, 0.0.0.0:8888->80/tcp   jms

　　4.3、访问 192.168.137.129:8888，密码默认都是admin

　　

　　

五、配置使用

　　5.1、配置跳板机

　　宿主机配置crontab任务，定时清理无效或超时的链接，这里设置的是3小时清理一次

　　#宿主机创建定时任务
　　* */3 * * * docker exec -i jms /usr/bin/python /jumpserver/manage.py crontab run 9956b75140f4453ab1dc4aeb62962a74 &

　　5.2、登录192.168.137.129:8888，admin/admin

　　创建用户组：运维、开发

　　

　　创建用户，选择不发送邮件（认证有问题，异常），成功后记录下用户信息，包含登录web的用户名和密码，跳板机密钥密码。

　　

　　设置客户端默认的管理用户密码（添加资产时可以选择默认管理用户，或者自行添加）

　　

　　创建资产组：DEV

　　

　　添加资产dev01-04，选择默认管理用户

　　

　　设置sudo别名，别名包含的命令，能以root权限（sudo的形式）执行，如果命令中有su，说明能sudo到root用户下

　　

　　添加系统用户并推送到dev01-04，如果客户端已经存在这个用户，不会改变用户当台，只会在$HOME/.ssh下添加跳板机生成的公钥）

　　

　　

　　添加授权规则：跳板机A用户（组）对应客户机A用户（组），一一对应授权，授权之后即可通过跳板机A用户（组）跳转到客户机的A用户（组）

　　用户→资产，用户→资产组，用户组→资产，用户组→用户组，可以指定多个系统用户

　　

　　在宿主机上手动执行,解除默认账号锁定的状态
        docker exec -ti jms sh /data/jms/script/open_shadow.sh kevin
        docker exec -ti jms sh /data/jms/script/open_shadow.sh poke

　　

 #!/bin/sh
 sed -i "s/^$1:\!/$1:/" /etc/shadow

open_shadow.sh

5.2、使用跳板机

　　根据创建用户时，返回的用户信息，下载密钥。

　　配置xshell，ip为宿主机ip，端口为2222

　　

　　确认登录，返回操作界面

　　

　　查看容器日志

　　

　　OK

参考链接：https://github.com/jumpserver/jumpserver/wiki