Next Terminal | 开源 轻量 简单的堡垒机
演示:https://next.typesafe.cn/ 账号:test 密码:test
对比
类似的开源堡垒机有 Teleport,Jumpserver,Next Terminal等等。
Teleport 安全性最好,较轻量,但是对被管理资产不透明,纳管前需要双向认证,在资产设备上需额外操作,大公司,安全性要求高的适合,有商业版本。
Jumpserver 笨重,对被管理资产透明,其他 该有的都有,有商业版本。
Next Terminal 轻量,简单,对被管理资产透明,适合个人,支持RDP、SSH、VNC、TELNET等协议。
使用docker命令安装
XML/HTML代码
- # 安装 guacd
- docker run --restart=always --name guacd -d \
- -v /root/next-terminal/data:/usr/local/next-terminal/data \
- dushixiang/guacd:latest
- # 安装 next-terminal
- docker run --restart=always --name next-terminal -d \
- --link guacd \
- -p 8088:8088 \
- -v /root/next-terminal/data:/usr/local/next-terminal/data \
- -v /etc/localtime:/etc/localtime \
- -e DB=sqlite \
- -e GUACD_HOSTNAME=guacd \
- -e GUACD_PORT=4822 \
- dushixiang/next-terminal:latest
默认用户名 密码 admin/admin,登录进去以后切记切记开启MFA,如果不开启MFA,一旦密码被暴力破解,不仅内网被暴露到公网,你的资产更是直接暴露,直接登录。下载 Microsoft Authenticator 可以使用MFA认证。各大应用商店都有,支持安卓和IOS。
开启MFA流程:个人中心--双因素认证--去开启--Microsoft Authenticator 扫码--输入TOTP(APP显示的授权码)建议管理员和普通用户都开启更加安全。
然后把Next Terminal的登录页透传出去了,认证之后就可以无缝管理内网资源,添加一个Windows系统作为跳板机就更方便了。也可以使用Nginx反代,可以同步本地剪切板。
docker-compose.yml 安装
提示:国内用户可以使用阿里云镜像仓库
XML/HTML代码
- guacd registry.cn-beijing.aliyuncs.com/dushixiang/guacd
- next-terminal registry.cn-beijing.aliyuncs.com/dushixiang/next-terminal
使用 sqlite 存储数据:
在任意位置创建文件夹 next-terminal ,然后在此文件夹下创建 docker-compose.yml 并写入如下内容
XML/HTML代码
- version: '3.3'
- services:
- guacd:
- image: dushixiang/guacd:latest
- volumes:
- - ./data:/usr/local/next-terminal/data
- restart:
- always
- next-terminal:
- image: dushixiang/next-terminal:latest
- environment:
- DB: sqlite
- GUACD_HOSTNAME: guacd
- GUACD_PORT: 4822
- ports:
- - "8088:8088"
- volumes:
- - /etc/localtime:/etc/localtime
- - ./data:/usr/local/next-terminal/data
- restart:
- always
XML/HTML代码
- docker-compose up
XML/HTML代码
- docker-compose up -d
在任意位置创建文件夹 next-terminal ,然后在此文件夹下创建 docker-compose.yml 并写入如下内容:
XML/HTML代码
- version: '3.3'
- services:
- mysql:
- image: mysql:8.0
- environment:
- MYSQL_DATABASE: next-terminal
- MYSQL_USER: next-terminal
- MYSQL_PASSWORD: next-terminal
- MYSQL_ROOT_PASSWORD: next-terminal
- volumes:
- - ./data/mysql:/var/lib/mysql
- restart:
- always
- guacd:
- image: dushixiang/guacd:latest
- volumes:
- - ./data:/usr/local/next-terminal/data
- restart:
- always
- next-terminal:
- image: dushixiang/next-terminal:latest
- environment:
- DB: mysql
- MYSQL_HOSTNAME: mysql
- MYSQL_PORT: 3306
- MYSQL_USERNAME: next-terminal
- MYSQL_PASSWORD: next-terminal
- MYSQL_DATABASE: next-terminal
- GUACD_HOSTNAME: guacd
- GUACD_PORT: 4822
- ports:
- - "8088:8088"
- volumes:
- - /etc/localtime:/etc/localtime
- - ./data:/usr/local/next-terminal/data
- depends_on:
- - mysql
- restart:
- always
XML/HTML代码
- docker-compose up
XML/HTML代码
- docker-compose up -d
在任意位置创建文件夹 next-terminal ,然后在此文件夹下创建 docker-compose.yml 并写入如下内容:
XML/HTML代码
- version: '3.3'
- services:
- guacd:
- image: dushixiang/guacd:latest
- volumes:
- - ./data:/usr/local/next-terminal/data
- restart:
- always
- next-terminal:
- image: dushixiang/next-terminal:latest
- environment:
- DB: mysql
- # 请修改下面的 MySql 配置,需自行创建数据库和用户
- MYSQL_HOSTNAME: mysql
- MYSQL_PORT: 3306
- MYSQL_USERNAME: next-terminal
- MYSQL_PASSWORD: next-terminal
- MYSQL_DATABASE: next-terminal
- # 请修改上面的 MySql 配置,需自行创建数据库和用户
- GUACD_HOSTNAME: guacd
- GUACD_PORT: 4822
- ports:
- - "8088:8088"
- volumes:
- - /etc/localtime:/etc/localtime
- - ./data:/usr/local/next-terminal/data
- restart:
- always
前台启动命令
XML/HTML代码
- docker-compose up
后台启动命令
XML/HTML代码
- docker-compose up -d
以sqlite模式为例,修改 docker-compose.yml,增加 加粗 区域的配置
XML/HTML代码
- version: '3.3'
- services:
- guacd:
- image: dushixiang/guacd:latest
- volumes:
- - ./data:/usr/local/next-terminal/data
- restart:
- always
- next-terminal:
- image: dushixiang/next-terminal:latest
- environment:
- DB: sqlite
- GUACD_HOSTNAME: guacd
- GUACD_PORT: 4822
- SSHD_ENABLE: "true"
- ports:
- - "8088:8088"
- - "8089:8089"
- volumes:
- - /etc/localtime:/etc/localtime
- - ./data:/usr/local/next-terminal/data
- - ~/.ssh/id_rsa:/root/.ssh/id_rsa
- restart:
- always
XML/HTML代码
- ssh admin@127.0.0.1 -p 8089
XML/HTML代码
- docker-compose pull && docker-compose restart
反向代理
推荐使用 nginx 等web服务器反向代理 next-terminal 使用,一是可有效避免伪造 IP 绕过系统限制,二是开启 https 后可无缝同步系统粘贴板。
nginx 反向代理示例
XML/HTML代码
- location / {
- proxy_pass http://127.0.0.1:8088/;
- proxy_set_header Host $host;
- proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
- proxy_set_header X-Real-IP $remote_addr;
- proxy_set_header Upgrade $http_upgrade;
- proxy_set_header Connection $http_connection;
- }
开源堡垒机 TELEPORT
注:官方的docker镜像需要2个,如果使用一键安装或者在群晖爱快等非标准linux命令的设备上,可以使用二合一镜像。
拉取镜像:docker pull aaronlee/next-terminal:latest
简单应用:
如果使用openwrt或者爱快之类支持docker的路由系统,可以直接在路由行搭建,例如爱快路由。
首次使用
1、开启爱快的Docker功能(未开通的登录爱快云的插件管理开通Docker)
登录爱快-高级应用-插件管理- docker
Docker服务设置ON
2、服务设置
存储分区设置:选择手动创建的数据分区
镜像库URL:https://docker.1panel.live
3、接口管理
接口名称:创建一个接口给Docker用
IPv4地址:随便一个不冲突的网段给容器用
格式 :192.168.10.0/24
IPv4网关:自定义根据上面地址填写
创建容器
1、拉取镜像
镜像管理--添加--镜像库下载--输入你需要下载的镜像
堡垒机:aaronlee/next-terminal
网络监控:louislam/uptime-kuma
输入上面的信息点搜索,出现你需要的镜像,点下载,出现下载界面,直到下载完成。
2、创建容器
容器列表--添加 出现添加界面
容器名称:随意,自己能看懂就行
内存占用(M):根据实际一般占用不大,256M 512M都没问题
* 容器对宿主机内存最大占用值
选择镜像文件:选择你需要的镜像
选择网络接口:接口管理中创建的哪个
* 如需管理接口,请前往容器列表“接口管理”编辑
IPv4地址:手动填写固定IP或者不填写是自动IP
选填
IPv6地址:
选填
开机自启:重启爱快是否启动
3、启动镜像
根据镜像说明可以登录系统
例如上面的堡垒机登录地址:
http://ip:8088
用户名:admin 密码:admin
上面的uptime-kuma登录地址:
http://ip:3001
接入网关
ssh服务器:
tlze/debian-sshd
bimg/alpine-ssh
常用镜像库URL:
https://ckq4qobq.mirror.aliyuncs.com
针对上面的接入网关,其实就是一个ssh服务器,起到端口转发作用,用docker创建一个就可以,特别是 bimg/alpine-ssh 基于alpine的,体积才十几兆非常小,但是用途一样,只需要映射一个ssh端口,就可以通过堡垒机管理局域网的服务器,但是ssh允许用户登录,会有安全隐患,故可以创建一个 nologin 权限的账号,没有登录的权限,安全性会提高。
XML/HTML代码
- #创建一个nologin权限的账号aaa
- useradd -s /usr/sbin/nologin aaa
- #给账号设置一个密码
- echo "aaa:abcd1234" | chpasswd
ssh代理如果在一段时间内无访问的话会自动断线,可以修改本机的/etc/ssh/ssh_config文件,让ssh自动发送心跳保持连接状态。
XML/HTML代码
- # 每60秒像服务器发送一个心跳请求
- ServerAliveInterval 60
- # 超过3次心跳请求无回应则断开连接
- ServerAliveCountMax 3
导入离线镜像包:
如果网络有问题或者使用镜像库下载不成功,可以不用设置镜像库直接上传docker系统镜像包,直接导入离线包。
1、上传镜像包
系统设置 > 磁盘管理 > 文件管理
打开数据分区,直接上传镜像包或者建立一个目录上传
找到上传的镜像包,点击查看路径,复制文件路径
2、导入镜像包
高级应用 > 插件管理>Docker>镜像管理>添加
上传方式:引用镜像(默认)
镜像路径:粘贴文件路径
点击确认后,在镜像管理中可以看到上传的镜像包,就可以正常使用了。
JumpServer
Linux单机部署:
环境需求:(Debian/Ubuntu)
XML/HTML代码
- apt-get update
- apt-get install -y wget curl tar gettext iptables
在线安装:
XML/HTML代码
- #国外服务器
- curl -sSL https://github.com/jumpserver/jumpserver/releases/latest/download/quick_start.sh | bash
- #官方服务器
- https://resource.fit2cloud.com/jumpserver/jumpserver/releases/latest/download/quick_start.sh | bash
从飞致云社区下载最新的 linux/amd64 离线包, 并上传到部署服务器的 /opt 目录
XML/HTML代码
- cd /opt
- tar -xf jumpserver-ce-v4.8.0-x86_64.tar.gz
- cd jumpserver-ce-v4.8.0-x86_64
XML/HTML代码
- cd jumpserver-ce-v4.8.0-x86_64
- # 启动
- ./jmsctl.sh start
- # 停止
- ./jmsctl.sh down
- # 卸载
- ./jmsctl.sh uninstall
- # 帮助
- ./jmsctl.sh -h
安装成功后,通过浏览器访问登录 JumpServer
地址: http://JumpServer服务器IP地址
用户名: admin 密码: ChangeMe
XML/HTML代码
- docker volume create jsdata &> /dev/null
- docker volume create pgdata &> /dev/null
- docker run --name jms_all \
- -e SECRET_KEY=PleaseChangeMe \
- -e BOOTSTRAP_TOKEN=PleaseChangeMe \
- -v jsdata:/opt/data \
- -v pgdata:/var/lib/postgresql \
- -p 2222:2222 \
- -p 80:80 jumpserver/jms_all
默认账号: admin 默认密码: ChangeMe
