使用脚本一键部署堡垒机
部门领导要求研究一下堡垒机的使用,所以花了两天时间研究了一下开源堡垒机的部署和使用。因为官方文档中有些已经有了部分错误,现在以官方的CentOS8版本的安装文档为蓝本把部署过程以脚本的形式备份一下。 其中,主要的变化是使用了官方源的nginx、修改了python安装的几个组件的版本、部署了堡垒机jms服务、koko服务和guacamole服务的systemd自启动脚本。
#!/bin/bash
# 2020.01.15
# sujx@live.cn
# 安装依赖包
yum update -y
yum -y install wget gcc epel-release git telnet openssh-clients dnf-utils vim
yum update -y
# 下载 Jumpserver
cd /opt/
git clone --depth=1 https://github.com/jumpserver/jumpserver.git
# 防火墙 与 selinux 设置说明, 如果已经关闭了 防火墙 和 Selinux 的用户请跳过设置
systemctl s ...
基于CentOS8快速部署iTop
iTop是一个用PHP编写的基于ITIL理念打造的开源ITSM系统。本次将在CentOS8的虚机上安装部署一套iTOP系统。
系统准备 首先是准本LAMP环境,使用系统默认的Apache2.4.3、PHP7.2、Mariadb10.3.
yum update -y
yum install -y cmake make autoconf gcc gcc-g++ unzip graphviz libzip-devel libzip-tools
yum install -y httpd php php-fpm php-ldap php-soap
yum install -y php-xmlrpc php-gd php-opcache php-mysqlnd php-json php-devel
yum install -y libmcrypt libmcrypt-devel php-pecl-apcu mhash
yum install -y php-odbc php-mbstring php-snmp
yum install -y mariadb mariadb-server
firew ...
Zabbix的集中式部署
Zabbix是一种高效、快速、开源的企业级监控系统。本文将基于Zabbix4.4和CentOS8来实现集中式部署一台监控主站点。
主机部署
首先部署两台CentOS8(Zabbix:10.30.2.67、MySQL:10.30.2.68)主机,并安装epel-release源和zabbix源,其中建议使用[1]。
dnf upgrade -y
dnf install -y epel-release
rpm -Uvh https://repo.zabbix.com/zabbix/4.4/rhel/8/x86_64/zabbix-release-4.4-1.el8.noarch.rpm
dnf upgrade -y
Zabbix服务部署
登录Zabbix服务器,安装主程序
dnf -y upgrade
dnf -y install httpd php php-fpm
dnf -y install zabbix-server-mysql zabbix-web-mysql zabbix-apache-conf zabbix-agent
#修改启动项
systemctl enable ...
建立本地RPM包仓库
随着国内使用Linux的氛围日渐浓郁,各个大厂的源也如雨后春笋一般纷纷出现,下载速度也是越来越快。不过,在我司内部因为安全制度的限制,生产环境是不能直接连接互联网的,因此需要建立本地的源服务器。
建立服务环境软件镜像需要通过HTTP/HTTPS环境来提供服务。
# 系统更新
yum update -y
# 安装RPM相关包
yum install -y zlib-devel openssl-devel gcc perl-devel pam-devel make autoconf
yum install -y rpm-build unzip rsync createrepo
# 安装HTTP服务器
yum install -y httpd mod_security
# 修改配置文件
touch /etc/httpd/conf.d/repos.conf
cat>>/etc/httpd/conf.d/repos.conf<<EOF
Alias /repos /var/www/repos
<directory /var/www/repos>
Options ...
升级CentOS8的OpenSSH版本
虽然说CentOS8的Openssl和OpenSSH的版本已经算是比较新的了,但是因为公司的信息安全建设的要求,在经过商业漏洞扫描软件扫描之后,还是需要进行升级操作(由于CentOS8的Openssl已经是比较新的1.1.1版本了,此次就不升级它了)。
安装包准备# 配置编译环境
cd
yum update -y
yum install rpm-build zlib-devel openssl-devel gcc perl-devel pam-devel unzip -y
mkdir -p ~/rpmbuild/{SOURCES,SPECS}
# 下载安装包
wget https://openbsd.hk/pub/OpenBSD/OpenSSH/portable/openssh-8.1p1.tar.gz
wget http://ftp.riken.jp/Linux/momonga/6/Everything/SOURCES/x11-ssh-askpass-1.2.4.1.tar.gz
cp openssh-8.1p1.tar.gz x11-ssh-askpass-1. ...
CentOS的免密登录
实现CentOS的免密登录还是挺简单的。
密钥的产生
ssh-keygen -t rsa
在用户家目录下的.ssh目录下产生id_rsa和id_rsa.pub两个密钥文件。其中,.pub为公钥。
公钥的上传
ssh-copy-id -i ~/.ssh/id_rsa.pub root@target_IP
使用ssh-copy-id来实现自动的上传、修改配置。
增加主机配置文件
vim ~/.ssh/config
————————————————————
Host target0 //主机名称
Hostname 192.168.174.148 //主机IP或解析记录
Port 22 //SSH端口号
User root //SSH用户名
Host target1
Hostname 192.168.174.149
Port 22
User root
————————————————————
测试
[root@ansible_server ~]# ssh target0
Last login: Fri Dec 20 14:59:11 2019 from ...
内网搭建KMS服务器
在局域网环境中,我们可以使用开源的KMS服务来实现Windows系统和Office软件的激活工作。下面我们将在CentOS8之上来部署实施相关服务。
环境部署yum install -y epel-release git
yum update -y
yum install -y supervisord
systemctl enable supervisord --now
firewall-cmd --permanent --add-port=1688/tcp
firewall-cmd --reload
拉取代码cd /opt
git clone https://github.com/SystemRage/py-kms.git
cat> /etc/supervisord.d/kms.ini <<EOF
[program:kms]
# command=python /opt/py-kms/py-kms/pykms_Server.py //注意python的版本
command=python3 /opt/py-kms/py-kms/pykms_Server.py ...
使用Xshell免费版远程调用图形界面
使用Xshell套装可以通过Xshell调用Xmanager来实现Linux图形界面的ssh转发,从而实现Linux的GUI界面的远程调用。但对于使用edu账号申请下来的免费版Xshell就没有这个功能了。那么,我们就需要使用xshell+xming来实现类似功能。
SSHD配置# 要打开SSH服务的X11转发功能
sed -i "s/#X11Forwarding yes/X11Forwarding yes/g"
sed -i "s/#X11DisplayOffset 10/X11DisplayOffset 10/g"
sed -i "s/#X11UseLocalhost yes/X11UseLocalhost yes/g"
安装Xming我们下载好[1]之后,执行安装。需要配置的只有两项:
取消安装自带的putty
指定接受的端口10
配置Xshell在xshell中配置客户端,在”SSH”-“隧道”中选择”转发x11连接到:’XDisplay:localhost:10.0’”
测试在本地xshell客户端上调用远程GUI程序,比如gparted.