JumpServer常见问题汇总

走漏峰声

概述

本文章主要介绍在使用 JumpServer 过程中，可能会遇到的一些问题。
1、Jumpserver 堡垒机放置在防火墙中，需要开放的端口？

社区版用户：22（SSH 端口）、80（web http 端口）、443（web https 端口）、2222（KOKO SSH 端口）。
企业版用户：22（SSH 端口）、80（web http 端口）、443（web https 端口）、2222（KOKO SSH 端口）、3389（XRDP 端口）。
由于新版本中增加了 Magnus 组件，可以使用 Navicat 等连接数据库。所以需要根据纳管的数据库不同开放不同的端口。
例如：

• 纳管 MySQL 数据库需要开放33060端口。
  
• 纳管 PostgreSQL 数据库需要开放54320端口。
  
• 纳管 Redis 数据库需要开放63790端口。
  
• 其他数据库需要开放的端口请咨询开源群或者售后团队。
  

2、对资产或应用授权时，会提示无效？



1. 检查本机（ JumpServer ）部署的时间是否与显示时间相符。
2. 检查容器时间是否与真实时间相符
3. 检查授权时间是否包含在目前时间内
3、登录资产时显示“没有系统用户”？



账号与密码都没有错误的情况下，重点排查是不是资产协议和系统用户协议不匹配以及资产授权过程中系统用户的选择是否正确。
4、JumpServer的开机重启机制是什么样的？

默认情况下，系统重启之前，JumpServer 是启动的，重启之后，JumpServer 就会重新启动。
如果不需要开机自启，可在重启或关机之前执行 ./jmsctl.sh down
5、我的 JumpServer 已经运行一段时间了，我想把录像存储至外部，有哪些方法？

目前，JumpServer 支持的外部录像存储包含 S3、Ceph、Swift、OSS、Azure、OBS、COS。设置位置位于系统设置→终端设置→录像存储。切换存储不需要重启业务。切换以后，后续的录像都会存储在外部存储上，原本存储到本地服务器的录像不会自动迁移。
注：设置好录像存储后，需要在终端设置→终端管理中组件更新里面设置默认的录像存储，否则还是会放置在服务器中。
或者可以远程挂盘到 /opt/jumpserver/core/data/media/replay 目录，增加存储空间（注：操作之前需要先移走录像）


6、web登录时，Jumpserver 报错，“连接 websocket 失败”。

查看组件状态：docker ps -a 或者 ./jmstcl.sh status 或者 “系统设置”→“终端设置”→“组件监控”。查看是否是组件出现问题。
JumpServer 前面是否设置有 SLB 或者 nginx 反向代理。可参考 https://docs.jumpserver.org/zh/master/admin-guide/proxy/。
7、我想把 JumpServer 的会话录像存储到服务器的别的目录，可以吗？

目前的持久化目录默认为 /opt/jumpserver。修改可以在 config.txt 中修改，且只能修改 / opt/jumpserver 这一层目录，更细化的目录暂不可以修改。
可以尝试远程挂盘到 /opt/jumpserver/core/data 目录，可以提高存储。（但操作之前建议移走录像）。
8、我想修改 JumpServer Docker 安装时指定容器的网段，与本地有冲突？

修改地点在：/opt/jumpserver/config/config.txt。
9、我使用 Docker 安装 JumpServer 时，提前在本机（服务器）中安装了 Docker ，但在连接外部服务器时，总是连接不到数据库，但我的数据库连接又没有问题？

此问题与 Docker 服务本身有关，Docker 启动时会自动添加防火墙规则，如果没有添加或者这中途修改了宿主机网络的环境，都会影响容器与外部的连接。
解决方法：此时可选择重启 Docker 服务，刷新防火墙与 Docker 网络。
10、Web 登录时，出现错误提示“ server error occur，contact administrator ”。

分析：一般启用了外部的身份认证系统时会出现该报错，如 LDAP，OpenID 单点登录。可能的原因有，LDAP 服务连接失败，OpenID 认证连接失败。
排查：
1、查看 jumpserver.log，查找相应报错；
2、在Web 页面查看是否拥有同名的邮箱地址。
11、如何禁止“用户只通过 JumpServer 登录一次，下载服务器私钥或自己的公钥到服务器上”。

1、可以根据网络做策略，只允许堡垒机的 IP 进行登录。
2、在对应的服务器资产上，通过配置 hosts.allow 和 hosts.deny 进行限制。
12、2.22版本新增了 Redis使用外部客户端（例如：RDM ）进行连接，但 Redis5 以及之前版本不支持用户名，导致RDM连接时连接不到 Redis 数据库。

解决：2.22版本确实新增了 Redis 客户端进行连接。但用户名以及密码填写与正常填写有些差异。具体如下图：






13、从官网下载 JumpServer 客户端，安装之后没有图标，也没有快捷方式，如何使用？

答：JumpServer 客户端只要安装过程不出错，就是安装成功了。安装成功可以在控制面板的程序中找到。


客户端的使用，主要是会在数据库等进行连接时调用。
14、在创建命令过滤规则时，发现使用 ^mysql.* -p.* 正则表达式会出现 -p 后面加任何东西会被匹配到，但不加就不会被匹配到。

答：将正则表达式换成 ^mysql.* -p.* 。因为在此种情况下 * 是匹配零次或多次 + 是匹配一次或多次。
15、终端离线问题。我在使用 JumpServer 的过程中，经常会发现在站内信中提示终端已离线，或者在系统设置→终端设置→终端管理中显示终端已离线。这是为什么?



答：此问题出现可能是因为 JumpServer 进行了升级或重启，造成组件更新。可以查看 JumpServer 组件状态和 JumpServer 状态，如果组件状态没有问题的话，离线组件即可删除。
16、我的 JumpServer 传输文件老是很慢，我想了解一下 JumpServer 文件上传的速度是受什么限制？

JumpServer 文件上传的速度取决于本地客户端到堡垒机 JumpServer 的带宽。
17、我想了解一下文件上传的原理？

• Windows 资产文件上传是先将文件上传到堡垒机再上传到资产。
  
• Linux 资产上传文件时直接上传到资产。
  
• Windows 资产和 Linux 资产上传文件的大小均受 config.txt 中的“ CLIENT_MAX_BODY_SIZE=4096m “的限制，默认为 4G。
  

18、本地文件播放的时候，怎么判断是 Linux 会话还是 Windows 会话？



Windows 会话的后缀一般为 replay，Linux 会话以及 MySQL、MongoDB 等会话的后缀为 cast 。
19、网络开放问题

问题：我的服务器不能访问公网，但是又需求同步阿里云的资产到JumpServer，应该放开阿里云的哪个网站的访问权限？
解答：JumpServer调用阿里云的AK/SK，但阿里云的AK/SK是没有地址段的，阿里云的产品大多都是以固定的域名形式对外提供服务，例如：RAM服务的接入地址为https://ram.aliyuncs.com,这样后端IP无论怎么变化，对外提供的服务域名是固定的，不会影响用户使用；当我们的程序主动去调用AK/SK的时候，就是主动去访问阿里云的AK/SK，阿里云认为用户应该去限制谁能访问AK/SK，而不是反过来限制。