JumpServer堡垒机在Kali Linux上的部署修正指南

近期自学《网络与信息安全管理员（三级）》，按照考试实训教材原版内容开展堡垒机部署实训，这里先点明一个教材隐性大坑：教材仅笼统要求准备Linux虚拟机，默认适配标准Debian/Ubuntu原生Linux系统，并未说明考试实操环境统一使用Kali Linux虚拟机。

直接照搬书本原版命令在Kali Linux中部署JumpServer堡垒机，全程接连遇到Docker境外源无法访问404、安装包网页解析失败、本地端口访问URL校验报错、端口修改后无法登录、默认密码对不上等一系列问题。

排查过程中发现核心痛点：Docker官方源属于境外地址，国内环境直接访问全部超时无法连通；同时Kali滚动版系统代号和官方源不匹配，教材通用命令完全不适配Kali环境。本篇整理全部实操踩坑点+完整可直接复制的部署脚本，纠正教材错误命令，考证同学可直接照搬，如有表述错误欢迎大佬评论区指正！

#网络与信息安全管理员 #JumpServer堡垒机 #Kali部署 #Docker部署 #安全运维 #考证实训避坑

一、部署基础环境

本次全程实操无阉割，贴合考试实训真实环境，硬件与软件版本如下：

• 操作系统：Kali Linux（Debian滚动版 kali-rolling）

• 堡垒机版本：JumpServer v4.10.16

• Docker版本：29.5.3

• 本机物理网卡IP：192.168.253.133（仅使用eth0真实网卡，Docker自带虚拟网卡docker0、br-xxx全部忽略，无需配置）

• 前置端口约束：服务器80端口预留给Pikachu国产漏洞靶场，不可占用，本次堡垒机全程改用8080端口提供服务

二、教材原生命令三大致命坑点（全网通用报错原因）

坑点1：官方Docker源直接404，境外网页无法访问

报错现场：执行教材原版Docker安装命令后，curl访问docker官方密钥地址、docker源地址，系统直接提示这是一个境外网页，当前无法访问；同时JumpServer国内安装包链接出现网页解析失败，后续本地访问8080地址还提示URL拼写校验异常，再加上apt update之后源直接404，整套书本命令在Kali环境完全无法运行。

根因分析：Kali Linux是滚动发行版，系统自动识别代号为kali-rolling，但是Docker官方Debian源没有收录该系统代号，教材直接通用Debian源命令，必然404；且官方源为境外地址，国内网络环境天生无法连通。

根治方案：抛弃系统自动识别的滚动版代号，手动指定Debian稳定版trixie版本代号，强制适配源地址。

坑点2：版本迭代默认密码变更，新旧版本混用导致登录失败

很多旧版教程和教材依旧沿用旧版初始密码，不同版本密码差异极大：

• JumpServer v3及更早旧版本：初始管理员密码 admin

• JumpServer v4.10.16（本次实操版本）：初始管理员密码 ChangeMe

坑点3：只改服务端口，不同步域名参数，触发CSRF安全拦截

大部分同学部署时，仅仅修改堡垒机访问端口为8080，但是没有同步修改DOMAINS域名绑定参数，系统会判定为跨域非法访问，直接触发内置CSRF安全防护，输入正确账号密码也永远无法登录后台。

核心解决规则：HTTP_PORT访问端口和DOMAINS绑定地址端口必须完全一致。

三、Kali专属适配版Docker完整安装脚本（直接复制可用）

规避境外源访问失败问题，全部命令针对Kali滚动版做适配，逐条复制执行即可：

# 1. 更新本地软件源索引 sudo apt-get update

# 2. 安装https通信依赖与证书工具 sudo apt-get install ca-certificates curl

# 3. 创建docker密钥存放目录，配置权限0755 sudo install -m 0755 -d /etc/apt/keyrings

# 4. 导入Docker官方GPG密钥（解决源信任报错）

sudo curl -fsSL https://download.docker.com/linux/debian/gpg -o /etc/apt/keyrings/docker.asc

# 5. 【全网最关键修改】手动指定debian trixie版本，完美适配Kali滚动版，解决404报错

echo "deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.asc] https://download.docker.com/linux/debian trixie stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null

# 6. 刷新docker新源，安装全套docker组件

sudo apt-get update sudo apt-get install docker-ce docker-ce-cli containerd.io docker-compose-plugin

# 7. 设置docker开机自启并即刻启动服务 sudo systemctl enable --now docker

# 8. 校验docker安装结果，输出版本号即安装成功 docker --version

四、JumpServer v4.10.16 一键部署流程（国内镜像无超时）

规避GitHub下载超时问题，直接使用Fit2cloud国内官方镜像下载安装包，无需科学上网，下载速度稳定：

# 1. 进入系统opt公共安装目录（行业统一安装目录） cd /opt

# 2. 国内镜像下载安装包，规避境外Github下载超时问题

sudo wget https://resource.fit2cloud.com/jumpserver/installer/releases/download/v4.10.16/jumpserver-installer-v4.10.16.tar.gz

# 3. 解压安装压缩包

sudo tar -xf jumpserver-installer-v4.10.16.tar.gz

# 4. 必须进入解压后的安装目录，否则jmsctl命令失效 cd jumpserver-installer-v4.10.16

# 5. 执行官方一键安装脚本，全程默认回车即可 sudo ./jmsctl.sh install

五、核心配置：修改8080端口+同步DOMAINS解决CSRF拦截

因为80端口预留给Pikachu靶场，必须修改堡垒机端口，端口修改后必须同步域名参数，缺一不可：

# 1. 先停止正在运行的jumpserver服务 sudo ./jmsctl.sh stop

# 2. 编辑堡垒机核心配置文件 sudo vi /opt/jumpserver/config/config.txt

进入文件后，修改以下两行参数，端口和本机IP严格对应，不要照抄网上其他IP地址：

HTTP_PORT=8080 DOMAINS=192.168.253.133:8080

# 3. 保存退出配置文件，重启服务让配置生效

sudo ./jmsctl.sh restart

六、日常运维常用命令（考试+日常维护直接收藏）

⚠️ 重要提醒：所有jmsctl.sh命令必须在/opt/jumpserver-installer-v4.10.16目录下执行，其他目录执行会提示命令不存在。

sudo ./jmsctl.sh start

# 启动堡垒机服务

sudo ./jmsctl.sh stop

# 停止堡垒机服务

sudo ./jmsctl.sh restart

# 修改配置后必执行，重启服务生效

sudo ./jmsctl.sh status

# 查看堡垒机全部组件运行状态

sudo ./jmsctl.sh logs

# 查看运行日志，排查启动报错

七、后台访问地址与初始账号密码

• 访问URL：http://192.168.253.133:8080（务必替换为自己Kali本机的eth0网卡IP）

• 管理员账号：admin

• 初始密码：ChangeMe

✅ 登录后台后第一时间修改初始密码，避免堡垒机裸机暴露存在安全风险。

八、部署关键注意事项（避坑最后一道防线）

1. 80端口严禁占用：本机80端口固定留给Pikachu漏洞靶场及Apache服务，堡垒机全程使用8080端口，不要随意更改端口规划。

2. 忽略Docker虚拟网卡：docker0、br-开头、veth开头均为容器内部虚拟网卡，外网访问全部使用物理eth0网卡IP即可，无需额外配置网桥。

3. 命令执行路径限制：jmsctl.sh脚本存在路径绑定，脱离安装目录无法执行，运维前务必切回对应文件夹。

4. 端口同步铁律：只要修改HTTP_PORT访问端口，DOMAINS参数必须同步修改，端口不一致100%触发CSRF拦截，无法登录后台。

九、全文总结

网络与信息安全管理员考试教材存在两处关键脱节：一是仅笼统要求Linux虚拟机，未明确考场实操统一使用Kali Linux虚拟机；二是全书部署命令全部基于标准Debian稳定版编写，完全没有适配Kali Linux滚动版系统特性，这也是大部分考证同学第一步就部署失败的核心原因。

本次部署三大核心修正点，记住即可避开全部坑点：

1. 修改Docker源版本代号，解决境外源404无法访问问题；

2. 区分新旧版本JumpServer初始密码，不再被旧文档误导；

3. 改端口必同步DOMAINS参数，解决CSRF拦截登录失败问题。

希望本篇内容可以帮助同样备考网络与信息安全管理员的同学，少走重复弯路，一次部署成功！

💡 有部署报错、命令执行异常的问题，欢迎评论区留言交流~