-
AlmaLinux 9.3下离线部署开源jumpserver堡垒机 JumpServer开源堡垒机简单介绍 JumpServer 是广受欢迎的开源堡垒机,是符合 4A 规范的专业运维安全审计系统。JumpServer 帮助企业以更安全的方式管控和登录所有类型的资产,实现事前授权、事中监察、事后审计,满足等保合规要求。 (图片点击放大查看) JumpServer 堡垒机支持的资产类型包括: SSH (Linux / Unix / 网络设备 等) Windows (Web 方式连接 / 原生 RDP 连接) 数据库 (MySQL / MariaDB / 等) NoSQL (Redis / MongoDB 等) GPT (ChatGPT 等) 云服务 (Kubernetes / VMware vSphere 等) Web 站点 (各类系统的 Web 管理后台) 应用 (通过 Remote App 连接各类应用) AlmaLinux 9.3下离线安装开源堡垒机JumpServer 本文参考JumpServer官方文档进行安装部署 (图片点击放大查看) https://docs.jumpserver.org/zh/v3/installation/setup_linux_standalone/offline_install/ 一、先准备操作系统+MySQL基础环境 AlmaLinux9.3 操作系统 /data目录建议空间留大点 上传MySQL的安装包与JumpServer的离线安装包 (图片点击放大查看) 1、基础环境yum安装 yum install -y wget curl tar gettext iptables (图片点击放大查看) (图片点击放大查看) 2、安装MySQL8.0.36 tar -xvf mysql-8.0.36-1.el9.x86_64.rpm-bundle.tar -C /opt cd /opt yum localinstall mysql-community-*.rpm (图片点击放大查看) vim /etc/my.cnf中mysql数据存储路径 (图片点击放大查看) 修改为/data/mysql mkdir -p /data/mysql mysqld --initialize chown -R mysql:mysql /data/mysql systemctl start mysqld systemctl enable mysqld firewall-cmd --permanent --znotallow=public --add-port=3306/tcp firewall-cmd --reload cat /var/log/mysqld.log | grep password mysql -u root -p登录数据库后修改密码 ALTER USER 'root'@'localhost' IDENTIFIED WITH mysql_native_password BY 'MySQLServer_2024!'; 创建jumpserver的用户 (图片点击放大查看) (图片点击放大查看) CREATE USER 'jumpserver'@'%' IDENTIFIED BY 'Jump_2024!'; GRANT ALL PRIVILEGES ON jumpserver.* TO 'jumpserver'@'%' WITH GRANT OPTION; FLUSH PRIVILEGES; create database jumpserver default charset 'utf8'; 二、安装部署jumpserver tar -zxvf jumpserver-offline-installer-v3.10.5-amd64.tar.gz -C /opt/ cd /opt/jumpserver-offline-installer-v3.10.5-amd64/ vim config-example.txt 修改数据库的连接信息,当然也可以./jmsctl.sh install时自定义 DB_HOST=192.168.31.54 DB_PORT=3306 DB_USER=jumpserver DB_PASSWORD=Jump_2024! DB_NAME=jumpserver (图片点击放大查看) ./jmsctl.sh install (图片点击放大查看) (图片点击放大查看) (图片点击放大查看) 启动jumpserver服务 cd /opt/jumpserver-offline-installer-v3.10.5-amd64/ ./jmsctl.sh start (图片点击放大查看) 三、JumpServer使用初体验 (图片点击放大查看) 首次登录需要修改默认的初始账号密码admin/admin (图片点击放大查看) (图片点击放大查看) 添加主机资产与录入账号信息 (图片点击放大查看) 配置授权策略 (图片点击放大查看) 切换至工作台(普通用户的工作台界面) (图片点击放大查看) (图片点击放大查看) 目前支持安装客户端工具调起本地的SSH工具与SFTP工具 以及数据库工具 (图片点击放大查看) (图片点击放大查看) (图片点击放大查看) 安装单点登录工具后配置SecureCRT为默认应用 (图片点击放大查看) (图片点击放大查看) (图片点击放大查看) (图片点击放大查看) (图片点击放大查看) 调用SecureCRT登录的效果 (图片点击放大查看) SSH运维端口2222登录后的效果 实时审计效果(可以看到水印) -
开源堡垒机JumpServer的日志接入到Graylog并实现钉钉机器人告警 关于JumpServer的日志如何进行Syslog外发参考如下两个链接 https://docs.jumpserver.org/zh/v3/guide/storages/?h=syslog#31-syslog https://kb.fit2cloud.com/?p=123 (图片点击放大查看) 一、Graylog日志接入配置简单介绍 1、新建用于存JumpServer日志的Indices索引 (图片点击放大查看) (图片点击放大查看) 2、新建Syslog UDP类型的Inputs (图片点击放大查看) (图片点击放大查看) (图片点击放大查看) firewall-cmd --permanent --znotallow=public --add-port=2514/udp firewall-cmd --reload 3、创建JumpServer单独的Stream Index Set要选上面创建的存JumpServer日志的Indices索引 要勾选Remove matches from ‘Default Stream’ (图片点击放大查看) Stream Rules 选择Type为 match input (图片点击放大查看) (图片点击放大查看) 二、JumpServer后台开启Syslog 1、修改 JumpServer 的配置文件 JumpServer 的配置文件的默认存储位置位于:/opt/jumpserver/config/config.txt JumpServer 中需要添加的配置项如下所示: #配置 syslog SYSLOG_ENABLE=true SYSLOG_ADDR=192.168.31.194:2514 # Syslog 服务器的IP以及端口 SYSLOG_FACILITY=local2 #根据 Syslog 配置文件的配置 2、重启 JumpServer 修改 JumpServer 配置文件后需要重启 JumpServer 以加载配置项。 jmsctl restart 3、登录 JumpServer 服务生成一条登录日志,查看 Syslog 服务器中是否有输出 (图片点击放大查看) (图片点击放大查看) (图片点击放大查看) (图片点击放大查看) 三、配置Graylog Extractor实现字段提取 1、在Stream日志查询界面,message右键Create Extractor 类型可以为Split&Index Split by 设置为 - { Target Index 1 Store as field :jumpserver_log_type (图片点击放大查看) (图片点击放大查看) (图片点击放大查看) (图片点击放大查看) (图片点击放大查看) 2、同样再创建一个Split&Index类型的Extractor 用于提取后半段json格式日志 (图片点击放大查看) 效果如下 (图片点击放大查看) 3、接下来针对提取到的日志进行json格式的提取 jumpserver_log_jsonmessage字段进行json提取 (图片点击放大查看) (图片点击放大查看) (图片点击放大查看) (图片点击放大查看) (图片点击放大查看) 效果如下 (图片点击放大查看) (图片点击放大查看) 四、配合PrometheusAlert实现钉钉告警 场景如下:例如执行rm -rf 这样的命令虽然已经堡垒机使用命令过滤的方式拦截掉了,这时如果能钉钉告警通知运维管理人员这样更高效 运维管理员不用实时去审计台查看命令审计情况 (图片点击放大查看) 配置步骤就不详细截图了 PrometheusAlert上的告警模板内容,可以参考解决 ## [堡垒机告警信息](.check_result.Event.Source) ### <font color=#FF0000>告警描述:{{.event_definition_description}}</font> {{ range $k,$v:=.backlog }} ##### <font color=#67C23A>告警产生时间</font>:{{GetCSTtime $v.timestamp}} ##### <font color=#67C23A>告警详细描述</font>:<font color=#FF0000>堡垒机账号:{{$v.fields.user}} </font>登录服务器<font color=#FF0000>{{$v.fields.asset}}</font>执行了可能为高危的命令,若为正常操作,请忽略此条告警! ##### <font color=#67C23A>用户登录IP</font>:<font color=#FF0000>{{$v.fields.remote_addr}}</font> ##### <font color=#67C23A>具体操作命令</font>:<font color=#FF0000>{{$v.fields.input}}</font> ##### <font color=#67C23A>堡垒机采取的动作</font>:<font color=#FF0000>{{$v.fields.risk_level_label}}</font> ##### <font color=#67C23A>告警服务器名称</font>:<font color=#FF0000>{{$v.fields.asset}}</font> ##### <font color=#67C23A>告警原始日志</font>:{{$v.fields.jumpserver_log_jsonmessage}} {{end}} (图片点击放大查看) (图片点击放大查看) (图片点击放大查看) 最终钉钉机器人的告警效果如下 (图片点击放大查看)