Skip to content

Latest commit

 

History

History
319 lines (208 loc) · 12.8 KB

README.md

File metadata and controls

319 lines (208 loc) · 12.8 KB

其他语言版本: English, 中文.

java版本webssh

java版本 webssh

License
简易在线ssh和sftp工具, 可在线敲命令和上传下载文件. 端口隧道、http代理tcp(待完成)

运行截图

avatar avatar

背景

由于所处特殊行业特殊原因,各地机房防火墙一般ssh协议(跨地域访问)都是封禁状态。 同时很多地方机房都不提供诸如堡垒机等形式的运维工具、方法, 造成跨地域的运维工作很难开展。故意尝试使用webssh方式。 go版本webssh standalone模式本来基本够用,但是有的机房甚至开启了http/https白名单模式,只开 放指定的http/https端口,为了简单起见,就需要webssh随业务一起打包启动。 由于业务、部署环境的特殊性,java目前市面上没有很合适的java版本的webssh可供使用. 故参照 go webssh 实现了一版java版本的webssh。

功能

实现的java版本的webssh。 业务代码依赖webssh-core和vue2-web,配置参数即可随业务一起开启webssh功能。

原理

+---------+     http     +--------+    ssh    +-----------+
| browser | <==========> | webssh | <=======> | ssh server|
+---------+   websocket  +--------+    ssh    +-----------+

主要功能

  1. 密码方式登录ssh.
  2. 私钥方式登录ssh.
  3. 文件上传下载.
  4. 独立部署.
  5. 独立的本地认证
  6. 端口转发(TODO)
  7. 打包到已有应用中部署适配。
  8. navicat http代理。 (TODO)

部署方式

docker独立部署

v1.26示例(windows):

docker run  -d -p 5132:5132 -p 5443:5443  --restart always  --name javawebssh -e JAVA_OPTS=“-Xmx1024M -Xms1024M” -e SPRING_BOOT_OPTS=“--spring.profiles.active=docker --webssh.allowedUsers=root:changeit@123![RANDOM]:%,test:test@123!:127.0.0.1” foylian/webssh:1.26

v1.26示例(linux):

docker run  -d -p 5132:5132 -p 5443:5443  --restart always  --name javawebssh -e JAVA_OPTS='-Xmx1024M -Xms1024M' -e SPRING_BOOT_OPTS='--spring.profiles.active=docker --webssh.allowedUsers=root:changeit@123![RANDOM]:%,test:test@123!:127.0.0.1' foylian/webssh:1.26

可能有网络问题,不行试试 --net=host 参数?

关键含义说明:

浏览器访问 http 5132 或者 https 5443 即可访问. 强烈建议自行修改其中"--webssh.allowedUsers=root:changeit@123![RANDOM]:%,test:test@123!:127.0.0.1"配置的账户密码,

其中"[RANDOM]"表示启动时随机产生字符串占位符,这里使用的默认账户配置, test用户为简单密码,生产环境一定要换掉或者去掉.(因为可以在本地启用nginx等反向代理,强行制造访问端ip为127.0.0.1跳过ip限制)

上面的"--webssh.allowedUsers="参数配置含义含义如下:

账户1:

账户账户名:root

账户密码:changeit@123! +(系统启动时会随机参数一串字符串),需要在控制台找最终的密码

允许登录ip:任意ip

账户2:

账户账户名:test

账户密码:test@123!

允许登录ip:只允许客户端ip为127.0.0.1的电脑登录

docker profile启动会在第一次启动时自动生成ssl证书文件,所以建议使用。 java内存默认设置1G,演示用,自由调整。 其他更多参数设置,见关键参数说明

独立部署

release v1.26 可以到上面对应的发布版本页面下载已经打包好的spring boot jar包。

或者自己编译包,参考如下步骤:

  1. 安装node等软件

  2. cmd 进入vue2-web\web, 执行npm run build,打包前端资源 (可选,dev分支会不定期提交编译好的前端代码。要保证最新,可以自己编译一下前端页面。)

  3. 修改vue2-sshserver\src\resources\application-prod.yml中webssh的参数,见关键参数说明 强烈建议修改--webssh.allowedUsers设置允许登录webssh的账号密码信息。

  4. cmd 进入项目根目录,mvn package

  5. copy vue2-sshserver\target\vue2-sshserver-1.26.jar到服务器, 使用 java -jar vue2-sshserver-1.26.jar --webssh.allowedUsers=root:changeit@123!:% 启动程序. 其中changeit@123!改为自己的密码。如果不设置webssh.allowedUsers,默认的root会产生一个随机密码,请注意观察控制台日志。

  6. 浏览器访问 http 5132 或者 https 5443 即可访问.

  7. 默认的standalone会开启https,5132会转跳到https://127.0.0.1:5443/webssh/index

  8. 可通过设置启动参数--spring.profiles.active=http使用http only模式。(不建议使用,webssh会直接操作系统,太敏感了)

  9. 建议发布生成环境时产生并使用自己的ssl证书。 自签名证书生成及配置示例: 例如,cd d:\执行命令:keytool -genkey -alias springboottomcat -storetype PKCS12 -keyalg RSA -keysize 2048 -keystore websshDefault.p12 -validity 3650 -dname "CN=webssh, OU=NoOU, O=NoO, L=Chendu, ST=Sichuan, C=cn" -storepass "webssh@Admin123!" -keypass "webssh@Admin123!"

其中alias,keystore,storepass,keypass按需要配置

完成后在d根目录很产生keystore配置文件名的.p12文件,copy到合适的位置

启动命令参考application-prod.yml,配置ssl文件名、路径、密码等信息,后续版本会考虑动态启动时动态生成ssl文件并配置

  1. 其他更多设置,见关键参数说明

包含到已有项目中

包含到已有项目后,主要问题就是认证的问题,下面假设已有项目都包含了webssh的全部前端、后端代码。 由于目前还在开发、测试阶段,执行下面操作时,请自安装webssh到本地(命令行执行mvn install)或者自己的私库。

[必选]项目依赖

webssh开发环境实在spring boot 2.5.14版本下,讲道理大于这个版本,小于3的版本都是支持的。 webssh必须依赖的组件包括springboot配套的websocket,validation两个模块,下面是项目依赖 的示例,请根据项目情况增减:

        <dependency>
            <groupId>org.lotus.carp.webssh</groupId>
            <artifactId>webssh-core</artifactId>
            <version>${project.version}</version>
        </dependency>
        <dependency>
            <groupId>org.lotus.carp.webssh</groupId>
            <artifactId>vue2-web</artifactId>
            <version>${project.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-websocket</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-validation</artifactId>
        </dependency>

同时,无论如何都需要把以下webssh api加入项目白名单:

/webssh/index

/webssh/check

/webssh/shouldVerifyToken

/webssh/projectHeader/params

/webssh/login

/webssh/logout

[可选1]只启用webssh认证

webssh端配置: 默认配置已经开启了webssh认证,只需要项目里面配置'webssh.allowedUsers:'参数即可。 由于只依赖webssh自己的认证,这里密码强度请注意设置足够复杂,并且请注意不要泄漏密码。

其他更多参数设置,见关键参数说明

项目端配置: 由于只启动webssh认证,项目端需要把/webssh/**加入项目自己的白名单中即可。

[可选2]使用项目认证方式认证webssh接口

实现WebSshProjectTokensApi.composeProjectHeaderTokens 方法,把对应用户后续请求需要带在header里面的参数设置上。 例如: SampleProjectHeaderController示里里面返回了一个"new ProjectHeaderParamVo("AUTH_COOKIE_TEST", RandomUtils.generatePassword(8))" webssh后续请求头里面就会有一个AUTH_COOKIE_TEST参数,参数值为这里设置的一个随机字符串。 实现时,这里获取当前用户的身份信息,返回一个项目使用的token,这样webssh请求都会经过项目的正常认证流程。

其他更多参数设置,见关键参数说明

配置webssh

最后把/webssh/index加入已有项目的正常菜单、权限管理即可。更详细的webssh按钮、功能权限后续规划中,敬请期待。

其他更多参数设置,见关键参数说明

关键参数说明

webssh.allowedUsers: webssh独立认证中的用户配置信息。格式"用户名:密码:允许登录的ip列表" ,默认值“root:changeit@123![RANDOM]:%,test:test@123!:127.0.0.1”

表示含义,

root:changeit@123![RANDOM]:%

允许登录用户名:root

密码:changeit@123!+系统随机产生的随机字符,

允许登录者的ip:允许任意ip登录。

test:test@123!:127.0.0.1

允许登录用户名:test

密码:test@123!

允许登录者的ip:127.0.0.1

强烈建议使用的时候自己配置这个参数,并且保密。 如果不想使用配置方式开启webssh认证,可设置webssh.forceCheckUserConfig2Prod=false, 并且自行实现WebSshLoginService接口。

webssh.shouldVerifyToken: 是否开启webssh页面及api的独立认证。默认值:true.

webssh默认包含一个token认证,为true时会有个独立登录页面, 认证页面会验证webssh.allowedUsers配置的用户,成功后会返回一个 token给前端,后续webssh的接口调用会带上这个token。

webssh.tokenExpiration: webssh独立认证token的过期时间。默认值:6,单位小时。

webssh.savePass: 前端"历史记录"中是否记住ssh的密码, 设置为true后会在前端的localstorage中存储ssh密码,不建议开启,默认值:false.

webssh.debugJsch2SystemError: 是否打开jsch的debug信息, 当需要调试源代码时可以开启。默认值:false

webssh.forceCheckUserConfig2Prod: 是否开启严格验证webssh.allowedUsers 配置的用户信息。默认值true. 开启后会验证账号的强度。

webssh.enableRandomPwd: 启动时,是否使用随机字符串替换掉webssh.allowedUsers配置中 [RANDOM]字段,并在控制台打印产生的密码信息。默认值true。

webssh.defaultConnectTimeOut: jsch连接远程ssh server是的默认超时时间. 默认值30*1000,表示30s

webssh.webSshTermPtyType: jsch连接server的ttype类型,默认值:xterm。可选:vt100等。 具体请查看SSH2的RFC。

webssh.sshPrivateKeyOnly: jsch连接远程server的时候,是否启用密码登录方式认证。 默认值:false. 表示密码和私钥都允许登录。 在特定环境时可以设置为true,表示只允许私钥方式登录远程服务器。

webssh.foreHttps: 是否强制开启webssh https。默认值:false 项目依赖模式,这里是关闭的了,配置随着主项目配置 standalone默认是true,因为webssh里面跑的信息都太敏感了,https能稍微加强一点安全性。 (强烈建议standalone模式的同学自己生成自己的ssl证书,不要用默认的配置)

webssh.underContainer: 应用使用的容器名称。默认值:"", 配合webssh.foreHttps=true的时候才有意义 项目依赖模式,这里默认值就是”“,即没有启用默认http转跳https的配置 standalone模式默认值这里是“tomcat",会启用TomcatHttpsConfig里面的配置, 启用http强制转跳https,具体配置参数vue2-sshserver模块

webssh.dateFormat: webssh页面上涉及到的日期格式。默认值:"yyyy-MM-dd HH:mm:ss"

webssh.maxSshShellTermCorePoolSize: webssh中能打开的最大控制台数量。默认值:1000

webssh.randomPwdWord: 默认值[RANDOM],启动时,密码中需要产生随机字符产生替换的字符串。

webssh api说明

/webssh/index  webssh主页
/webssh/check  检查ssh账号密码有效性
/webssh/shouldVerifyToken  拉取是否启用webssh独立认证
/webssh/projectHeader/params  拉取webssh api请求时需要的额外token
/webssh/login webssh独立认证登录接口
/webssh/logout webssh独立认证注销接口
/webssh/file/list 拉取对于终端的文件目录信息
/webssh/file/download 下载远程server指定的文件
/webssh/file/upload 上传指定文件到指定目录

websocket url(ws/wss):
 /webssh/term 建立xterm终端连接
 /webssh/file/progress 获取指定文件上传进度


其他开发相关

更多模块详情,请查看对应模块README描述

发布到私服: mvn deploy -Dmaven.test.skip=true

版本发布: see maven-release-plugin for more detail

预备:mvn release:prepare 发布:mvn release:perform