引言：为何选择JumpServer堡垒机？

在云计算与混合IT架构普及的今天，企业服务器资产分散于多云、私有云及本地环境，运维安全成为核心挑战。堡垒机作为运维审计的”守门人”，通过集中管理、权限控制和操作录像等功能，有效降低内部威胁风险。JumpServer作为全球首款完全开源的堡垒机系统，凭借其轻量级架构、多协议支持（SSH/RDP/VNC等）及活跃的社区生态，成为企业安全运维的首选方案。本文将聚焦离线安装场景，为无外网访问或高安全要求的用户提供全流程指导。

一、离线安装前的环境准备

1.1 硬件与系统要求

• 最低配置：2核CPU、4GB内存、20GB磁盘空间（生产环境建议4核8GB以上）
• 操作系统：CentOS 7/8、RHEL 7/8、Ubuntu 20.04 LTS（需验证内核版本≥3.10）
• 网络环境：封闭内网或指定IP段访问，建议配置独立管理网段

验证命令示例：

# 检查系统版本（以CentOS为例）
cat /etc/redhat-release
# 验证内存与CPU
free -h
lscpu | grep "Model name"

1.2 离线包准备

从有外网的机器下载以下组件：

1. JumpServer核心包：官网下载最新稳定版（如v2.28.0）的离线安装包
2. 依赖包：
   • MariaDB 10.5+（或MySQL 5.7+）
   • Redis 5.0+
   • Python 3.8+（需包含pip与setuptools）
   • 系统依赖：yum install -y gcc epel-release wget curl

推荐工具：使用yumdownloader或dnf download命令生成本地仓库：

# 创建本地YUM仓库（示例）
mkdir -p /opt/offline_repo/{base,epel}
yum install --downloadonly --downloaddir=/opt/offline_repo/base httpd mariadb redis
createrepo /opt/offline_repo

二、核心组件离线部署

2.1 数据库配置（MariaDB示例）

1. 安装数据库：

   cd /opt/offline_repo/base
   rpm -ivh *.rpm  # 批量安装下载的RPM包
   systemctl enable --now mariadb

2. 初始化配置：

   -- 安全加固
   mysql_secure_installation
   -- 创建JumpServer专用用户
   CREATE DATABASE jumpserver DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
   CREATE USER 'jumpserver'@'localhost' IDENTIFIED BY 'StrongPassword123!';
   GRANT ALL ON jumpserver.* TO 'jumpserver'@'localhost';
   FLUSH PRIVILEGES;

2.2 Redis缓存部署

# 解压并编译安装（若离线包无二进制）
tar -xzf redis-5.0.14.tar.gz
cd redis-5.0.14
make PREFIX=/opt/redis install
# 配置redis.conf
sed -i 's/^bind 127.0.0.1/bind 0.0.0.0/' /opt/redis/etc/redis.conf
systemctl daemon-reload
systemctl enable --now /opt/redis/etc/redis.service

2.3 JumpServer核心服务安装

1. 解压核心包：

   tar -xzf jumpserver-v2.28.0-offline.tar.gz -C /opt
   cd /opt/jumpserver

2. 修改配置文件：

   # config.txt 关键配置项
   SECRET_KEY=随机生成32位字符串
   BOOTSTRAP_TOKEN=初始化令牌
   DB_ENGINE=mysql
   DB_HOST=127.0.0.1
   DB_PORT=3306
   DB_USER=jumpserver
   DB_PASSWORD=StrongPassword123!
   DB_NAME=jumpserver
   REDIS_HOST=127.0.0.1
   REDIS_PORT=6379

3. 启动服务：

   # 使用supervisor管理（需提前安装）
   cp configs/supervisor.conf /etc/supervisord.d/jumpserver.ini
   supervisord -c /etc/supervisord.conf
   supervisorctl status

三、离线环境下的功能验证

3.1 初始化管理员账户

通过浏览器访问https://<服务器IP>:8443（HTTPS需提前配置证书），使用BOOTSTRAP_TOKEN完成初始化：

1. 创建管理员账户（admin@example.com）
2. 配置邮件服务器（用于密码重置）
3. 设置LDAP/AD集成（可选）

3.2 核心功能测试

• 资产接入：通过Web终端或客户端工具（如MobaXterm）测试SSH/RDP连接
• 权限审计：模拟违规操作（如rm -rf /），检查是否触发告警
• 录像回放：执行命令后，在”审计日志”中验证操作录像完整性

测试脚本示例：

# 测试SSH连接（使用JumpServer提供的临时密钥）
ssh -p 2222 admin@<服务器IP> -i /tmp/jumpserver_key
# 在会话中执行命令
whoami
exit

四、离线环境维护建议

1. 版本升级：保留旧版本备份，采用”差异包”升级方式减少数据迁移风险
2. 日志管理：配置logrotate定期轮转日志，避免磁盘占满

   # /etc/logrotate.d/jumpserver
   /opt/jumpserver/logs/*.log {
       daily
       rotate 7
       compress
       missingok
       notifempty
   }

3. 高可用方案：主从数据库+Redis集群部署（需额外节点）

五、常见问题解决方案

Q1：离线环境下Python依赖冲突如何处理？

• A：使用pip install --no-index --find-links=/opt/python_libs指定本地包路径

Q2：数据库初始化失败报错”Access denied”？

• A：检查/etc/my.cnf中skip-name-resolve配置，并确保用户权限包含%通配符（如需远程访问）

Q3：Web界面显示CSS/JS加载失败？

• A：检查Nginx配置中root路径是否指向/opt/jumpserver/data/static，并确认文件权限为755

结语：离线部署的价值与展望

JumpServer的离线安装模式不仅满足金融、政府等高安全行业的需求，更通过模块化设计降低了运维复杂度。未来，随着容器化部署（K8s Operator）的成熟，离线环境的交付效率将进一步提升。建议企业定期参与社区安全更新（建议每月一次），平衡稳定性与安全性需求。

附：离线安装包清单模板

/opt/offline_repo/
├── jumpserver/
│   ├── jumpserver-v2.28.0.tar.gz
│   └── configs/
├── databases/
│   ├── MariaDB-10.5.20.rpm
│   └── ...
└── dependencies/
    ├── python3.8.12.rpm
    └── redis-5.0.14.tar.gz

通过本文的详细步骤，开发者可在完全离线的环境中快速构建企业级堡垒机系统，为数字化转型提供可靠的安全底座。