在不小心 rm -rf ~之后,决定针对过去两年多在该系统环境中处理的所有东西,进行重装一遍,,因此此处进行记录一些必要的设置过程!!!@20191103
1、用户组、用户、权限目录设置
groupadd appadmin
cd / && mkdir app
chgrp -R appadmin /app/
useradd -g appadmin -d /home/appadmin appadmin
passwd appadmin
chown -R appadmin:appadmin /app
echo "appadmin ALL=(ALL:ALL) NOPASSWD: ALL" >> /etc/sudoers
su appadmin
mkdir aokay
2、mysql
su
rpm -qa | grep mariadb
rpm -e --nodeps mariadb-libs-5.5.60-1.el7_5.x86_64
vim /etc/selinux/config #把SELINUX=enforcing改为SELINUX=disabled后存盘退出重启机器;该项用以解决启动MySQL service服务报错:ERROR!The server quit without updating PID file
rpm -Uvh http://dev.mysql.com/get/mysql57-community-release-el7-7.noarch.rpm
service mysqld start #启动服务
cat /var/log/mysqld.log #或者使用vim查找,命令找到A temporary password is generated for root@localhost: qW/&5(2v7Q%g 读取root初始密码 qW/&5(2v7Q%g
mysql -uroot -p #输入密码qW/&5(2v7Q%g
SQL>set global validate_password_policy=0;
SQL>set global validate_password_length=4;
SQL>ALTER USER USER() IDENTIFIED BY 'mysql-root用户密码';
service start mysqld
mysql -uroot -p #使用新密码登录即可
SQL>GRANT ALL PRIVILEGES ON *.* TO 'root'@'%' IDENTIFIED BY 'mysql-root用户密码' WITH GRANT OPTION; #开启远程访问
exit
firewall-cmd --zone=public --add-port=3306/tcp --permanent #开放3306端口,若未开启防火墙则先执行命令 systemctl start firewalld 打开firewalld防火墙
firewall-cmd --reload #刷新防火墙端口
=》至此,mysql已安装且可以被远程连接;;;todo:新增独立的mysql用户并赋予权限
3、JDK
su appadmin
cd /app/ && mkdir software
#下载或者拷贝 jdk-8u231-linux-x64.tar.gz 至当前目录 #需要先通过可访问 oracle 官方的浏览器登录之后点击下载获取该实际授权的地址链接,然后在 wget 进行下载
tar -zxvf jdk-8u231-linux-x64.tar.gz
exit # for su 或者 su
which java
cd /usr/bin
ls -lrt java*
ln -snf /app/software/jdk1.8.0_231/bin/java java
ls -lrt java
ln -snf /app/software/jdk1.8.0_231/bin/jmap jmap
ls -lrt jmap
ln -snf /app/software/jdk1.8.0_231/bin/jstat jstat
ls -lrt jstat
ln -snf /app/software/jdk1.8.0_231/bin/jstack jstack
ls -lrt jstack
chmod -R 755 /app/software/jdk1.8.0_231/bin/
su appadmin
cd ~ && java -version
4、maven
su appadmin
vim ~/.bash_profile
export M2_HOME=/app/software/apache-maven-3.6.0
export PATH=$PATH:$M2_HOME/bin
source ~/.bash_profile
5、git
su
yum install curl-devel expat-devel gettext-devel openssl-devel zlib-devel
yum -y install git-core
git --version
6、nginx
su appadmin
cd /app/software
wget https://nginx.org/download/nginx-1.14.0.tar.gz
tar -zxvf nginx-1.14.0.tar.gz
su
yum install gcc-c++ openssl openssl-devel
yum install -y pcre pcre-deve zlib zlib-devel --setopt=protected_multilib=false
su appadmin
cd /app/software/nginx-1.14.0/
./configure --prefix=/app/software/nginx
make
make install
vim /app/software/nginx/conf/nginx.conf #=>将端口更改为8080,,1024端口以下的非root用户无法启动
su
firewall-cmd --zone=public --add-port=8080/tcp --permanent #开放8080端口,若未开启防火墙则先执行命令 systemctl start firewalld 打开firewalld防火墙
firewall-cmd --reload
su appadmin
/app/software/nginx/sbin/nginx
浏览器访问:ip:8080即可
firewall-cmd --zone=public --add-port=80/tcp --permanent
firewall-cmd --reload
7、redis
su
yum install gcc-c++ tcl
su appadmin
cd /app/software
wget http://download.redis.io/releases/redis-4.0.11.tar.gz
tar -zxvf redis-4.0.11.tar.gz
cd redis-4.0.11/src/
make
make test
注意: 执行make的时候,可能会出现异常
异常一:
make[2]: cc: Command not found
异常原因:没有安装gcc
解决方案:yum install gcc-c++
异常二:
zmalloc.h:51:31: error: jemalloc/jemalloc.h: No such file or directory
异常原因:一些编译依赖或原来编译遗留出现的问题
解决方案:make distclean。清理一下,然后再make。
在make成功以后,需要make test。在make test出现异常。
异常一:
couldn't execute "tclsh8.5": no such file or directory
异常原因:没有安装tcl
解决方案:yum install -y tcl
su
cd /usr/bin
ln -snf /app/software/redis-4.0.11/src/redis-server redis-server
ln -snf /app/software/redis-4.0.11/src/redis-cli redis-cli
ls -lrt redis*
su appadmin
cd /app/software && mkdir redis6379
mkdir ./redis6379/log & mkdir ./redis6379/run & mkdir ./redis6379/6379
cp redis-4.0.11/redis.conf ./redis6379/6379.conf
vim redis6379/6379.conf
修改redis.conf配置项如下:
daemonize yes
pidfile /app/software/redis6379/run/redis_6379.pid
logfile /app/software/redis6379/log/redis_6379.log
dir /app/software/redis6379/6379
redis-server /app/software/redis6379/6379.conf &
#设置远程访问
vim 6379.conf
#bind 127.0.0.1 #注释掉bind 127.0.0.1
bind 0.0.0.0 #添加bind 0.0.0.0
protected-mode no #将protected-mode yes修改为protected-mode no
#修改密码
vim 6379.conf
requirepass 你的密码 #设置密码,建议给予非常复杂的密码,redis有漏洞
#修改端口
vim 6379.conf
port 6380
mv 6379.conf /app/software/redis6379/6380.conf
redis-server /app/software/redis6379/6380.conf &
8、jumpserver - todo 根据官方最新文档(变化很大)重新安装
系统环境设置:
#设置防火墙
firewall-cmd --zone=public --add-port=80/tcp --permanent # nginx 端口
firewall-cmd --zone=public --add-port=2222/tcp --permanent # 用户SSH登录端口 coco
firewall-cmd --reload
#设置SELinux
/usr/sbin/sestatus -v #查看强制访问控制SELinux的状态,若是enabled继续执行下面两个命令,否则为disabled不需要继续执行下面两个命令
setenforce 0 #暂时关闭SELinux
sed -i "s/enforcing/disabled/g" `grep enforcing -rl /etc/selinux/config` #关闭SELinux
# 修改字符集,否则可能报 input/output error的问题,因为日志里打印了中文
localedef -c -f UTF-8 -i zh_CN zh_CN.UTF-8
export LC_ALL=zh_CN.UTF-8
echo 'LANG="zh_CN.UTF-8"' > /etc/locale.conf
python3 环境安装:
su appadmin
cd /app/software
wget https://www.python.org/ftp/python/3.6.9/Python-3.6.9.tar.xz
xz -d Python-3.6.9.tar.xz
tar xvf Python-3.6.9.tar
mkdir python3.6
cd Python-3.6.9 && ./configure --prefix=/app/software/python3.6
make
make install
su
cd /usr/bin
ln -snf /app/software/python3.6/bin/python3 python3.6
ls -lrt python*
chown -R appadmin:appadmin /opt
#建立python虚拟环境,因为 CentOS 6/7 自带的是 Python2,而 Yum 等工具依赖原来的 Python,为了不扰乱原来的环境我们来使用 Python 虚拟环境
su appadmin
cd /opt
python3.6 -m venv py3
source /opt/py3/bin/activate # 看到下面的提示符代表成功,以后运行 Jumpserver 都要先运行以上 source 命令,以下所有命令均在该虚拟环境中运行
(py3) [appadmin@aokayTech opt]$
#自动载入 Python 虚拟环境配置
#此项仅为懒癌晚期的人员使用,防止运行 Jumpserver 时忘记载入 Python 虚拟环境导致程序无法运行。使用autoenv
cd /opt
git clone https://github.com/kennethreitz/autoenv.git
echo 'source /opt/autoenv/activate.sh' >> ~/.bashrc
source ~/.bashrc
jumpserver 环境安装:
su appadmin
cd /opt/
git clone https://github.com/jumpserver/jumpserver.git
echo "source /opt/py3/bin/activate" > /opt/jumpserver/.env # 进入 jumpserver 目录时将自动载入 python 虚拟环境
# 首次进入 jumpserver 文件夹会有提示,按 y 即可
# Are you sure you want to allow this? (y/N) y
cd /opt/jumpserver/requirements
yum -y install $(cat rpm_requirements.txt) # 如果没有任何报错请继续
pip install --upgrade pip setuptools
pip install -r requirements.txt
#确保本地redis已安装且已启动,或者有远端可用的redis也行;Jumpserver 使用 Redis 做 cache 和 celery broke**
#确保本地mysql已安装且已启动,或者有远端可用的mysql也行;Jumpserver 使用 mysql存储数据
mysql -uroot
> create database jumpserver default charset 'utf8';
> grant all on jumpserver.* to 'jumpserver'@'127.0.0.1' identified by '复杂密码大小写字母数字特殊符号';
> flush privileges;
> quit
#修改 Jumpserver 配置文件
cd /opt/jumpserver
cp config_example.yml config.yml
vim config.yml
# 修改配置内容如下:
1、SECRET_KEY
2、DB
3、HTTP_LISTEN_PORT:9091
4、REDIS
5、BOOTSTRAP_TOKEN: tokenset
生成数据库表结构并初始化数据
cd /opt/jumpserver/utils
sh make_migrations.sh
运行 jumpserver
cd /opt/jumpserver
./jms start all # 后台运行使用 -d 参数./jms start all -d
# 新版本更新了运行脚本,使用方式./jms start|stop|status|restart all 后台运行请添加 -d 参数
开放 9091 端口
firewall-cmd --zone=public --add-port=9091/tcp --permanent
firewall-cmd --reload # 重新载入规则
运行不报错,请浏览器访问 http://ip:9091/默认账号: admin 密码: admin 页面显示不正常先不用处理,继续往下操作,后面搭建 nginx 代理后即可正常访问,原因是因为 django 无法在非 debug 模式下加载静态资源
coco 环境安装:
su appadmin && cd /opt
source /opt/py3/bin/activate
git clone https://github.com/jumpserver/coco.git
echo "source /opt/py3/bin/activate" > /opt/coco/.env # 进入 coco 目录时将自动载入 python 虚拟环境
# 首次进入 coco 文件夹会有提示,按 y 即可
# Are you sure you want to allow this? (y/N) y
cd /opt/coco/requirements
yum -y install $(cat rpm_requirements.txt)
pip install -r requirements.txt
coco 修改配置文件并运行
cd /opt/coco
mkdir keys logs
cp conf_example.yml conf.yml # 如果 coco 与 jumpserver 分开部署,请手动修改 conf.yml
vim conf.yml
# 修改配置内容如下:
1、NAME: aokayTechCoCo
1、CORE_HOST: http://127.0.0.1:9091
2、BOOTSTRAP_TOKEN: tokenset #需要与jumpserver中的BOOTSTRAP_TOKEN值保持一致
./cocod start # 后台运行使用 -d 参数./cocod start -d
# 新版本更新了运行脚本,使用方式./cocod start|stop|status|restart 后台运行请添加 -d 参数
启动成功后去Jumpserver 会话管理-终端管理([http://ip:9091/terminal/terminal/](http://ip:9091/terminal/terminal/))接受coco的注册!!
注意:::在web页面接收coco的注册的时候,填入的ip地址不能是127.0.0.1,需要是主机实际的外网ip地址
Web terminal 前端 Luna
下载地址:https://github.com/jumpserver/luna/releases
su appadmin && cd /opt
wget https://github.com/jumpserver/luna/releases/download/1.5.4/luna.tar.gz
tar -zxvf luna.tar.gz
nginx 配置反向代理:
firewall-cmd --zone=public --remove-port=9091/tcp --permanent
firewall-cmd --zone=public --add-port=9092/tcp --permanent
firewall-cmd --zone=public --add-port=8081/tcp --permanent
firewall-cmd --reload # 重新载入规则
开源堡垒机---jumpserver_han的技术博客_51CTO博客
???使用的呢!!!!
9、golang
su appadmin
cd ~ && wget https://dl.google.com/go/go1.4.linux-amd64.tar.gz #下载go1.4
tar -zxvf go1.4.linux-amd64.tar.gz #解压go1.4
cd go/src/ && ./all.bash #安装go1.4
mv go ~/go1.4 #安装好的go项目移动至~/go1.4
cd /app/ && wget https://studygolang.com/dl/golang/go1.13.4.linux-amd64.tar.gz
tar -zxvf go1.13.4.linux-amd64.tar.gz
cd go/src/ && ./all.bash
vim ~/.bash_profile
export GOROOT=/app/go
export GOPATH=/app/gopath
export GOBIN=${GOPATH}/bin
export PATH=${PATH}:${GOBIN}:${GOROOT}/bin
export GO111MODULE=on #开启或关闭模块支持
export GOPROXY=https://mirrors.aliyun.com/goproxy/,direct
cd /app/gopath &&mkdir pkg && mkdir bin && mkdir src
#校验go环境
source ~/.bash_profile
env | grep GO
echo $PATH
go version
mkdir -p $GOPATH/src/golang.org/x
cd $GOPATH/src/golang.org/x
git clone https://github.com/golang/net.git
10、nodejs
su appadmin && cd /app/projects
git clone https://github.com/nvm-sh/nvm.git .nvm
git checkout v0.35.1
vim ~/.bash_profile #新增
export NVM_DIR="/app/project/.nvm"
[ -s "$NVM_DIR/nvm.sh" ] && \. "$NVM_DIR/nvm.sh" # This loads nvm
[ -s "$NVM_DIR/bash_completion" ] && \. "$NVM_DIR/bash_completion" # This loads nvm bash_completion
export NVM_NODEJS_ORG_MIRROR=https://npm.taobao.org/mirrors/node
source ~/.bash_profile && cd ~
nvm ls
nvm install stable
nvm ls
npm install yarn -g
npm install gulp -g
npm install -g webpack
12、pipe
cd /app/projects
git clone codes
mkdir /app/gopath/src/github.com/b3log
ln -snf /app/projects/pipe /app/gopath/src/github.com/b3log/pipe
cd /app/projects/pipe && go build -i -v
cd /app/go/src && mkdir -p golang.org/x
cd golang.org/x && git clone https://github.com/golang/sys.git
cd /app/projects/pipe && go build -i -v
cd /app/projects/pipe/console && yarn install
!!!!配置https nginx反向代理时,,忘记防火墙开启443端口了!!!也是醉了
11、文件句柄数更改
su
ulimit -a =>查看open files
vim /etc/security/limits.conf
G
输入
* soft nofile 65535
* hard nofile 65535
退出shell重新登录shell窗口 ulimit -a =>查看opern files
欢迎来到这里!
我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。
注册 关于