本文最后更新于:2023年12月5日 晚上
JumpServer 简介
跳板机 和 堡垒机
跳板机:跳板机就是一台服务器,维护人员在维护过程中,首先要统一登录到这台服务器上,然后从这台服务器再登录到目标设备进行维护。但跳板机没有实现对运维人员操作行为的控制和审计,此外,跳板机存在严重的安全风险,一旦跳板机系统被攻入,则将后端资源风险完全暴露无遗。安装 OpenVPN 的机器就是跳板机
堡垒机:跳板机的升级版,提供了认证、授权、审计、自动化运维等功能
可以同时配置 openvpn 和 jumpserver,运维自己通过 openvpn 连接,比较方便,开发测试等其他人员都通过 jumpserver 连接,便于管理
JumpServer 是全球首款完全开源的堡垒机,使用 Python / Django、Go 进行开发,符合 4A 标准
官方地址: http://www.jumpserver.org/
github 项目: https://github.com/jumpserver
特色优势:
- 开源
- 分布式
- 无插件:仅需浏览器,极致的 Web Terminal 使用体验;
- 多云系统:一套系统,同时管理不同云上面的资产;
- 云端存储
- 多租户:一套系统,多个子公司和部门同时使用。
功能列表
https://docs.jumpserver.org/zh/master/#_3,其中部分功能商业版才具有
JumpServer 组成
安装 JumpServer
文档只介绍了极速部署和负载均衡两种安装方式,其实以前的文档是很详细的,现在大大简化了,可能是为了让你买商业版吧
jumpserver 依赖 MySQL(5.7 及以上)和 Redis(5.0 及以上),这里为了方便,均使用 docker 安装
安装 MySQL
安装 Redis
部署 JumpServer
可以单独部署各个组件,为了方便,直接部署全部:jms_all
生成 key 和 token:
通过 80 端口登录:浏览器输入 10.0.0.118
默认账号密码都是 admin,第一次登录需要修改密码,修改密码为 123456
通过 2222 端口登录:另开一台虚拟机
使用 JumpServer
配置邮件
系统设置 -> 邮件设置:
用户管理
多因子认证
创建用户的时候,可以选择开启多因子认证功能,就是需要安装手机 APP 谷歌验证器,在登录的时候,打开谷歌验证器输入验证码,二次验证,加强安全性
注意:启用,未来用户可以自己关闭;强制启用,未来用户不可以强制关闭
注意:服务器的时间需要校准,否则谷歌验证器无法通过验证
统审计员
系统审计员即查看录像带的人,可以实时共享其他用户的终端,可以以录像的方式查看用户的操作历史
管理资产
jumpserver 内置了 ansible
注意:ubuntu 默认不能使用 root 进行 ssh 连接,需要修改 ssh 配置
管理用户
管理用户是资产(被控服务器)上的 root,或拥有 NOPASSWD: ALL sudo 权限的用户, JumpServer 使用该用户来 推送系统用户
、获取资产硬件信息
等。
系统用户
用户使用自己的用户名登录 JumpServer,JumpServer 使用系统用户登录资产和应用
命令过滤
只能是间接禁止,因为虽然禁止的命令不能使用,但是可以通过脚本执行
权限管理
资产授权
有了用户,有了资产,就需要将用户和资产关联起来
应用管理
数据库
以 mysql 为例:
- 应用管理 –> 数据库 –> 创建
- 权限管理 –> 系统用户 –> 创建,协议选 mysql
- 权限管理 –> 应用授权 –> 创建
注意:jumpserver2.5.3 版本有 bug,web 终端无法连接数据库,建议选择其他版本,v2.4.4 没有此 bug
会话管理
所有用户的所有行为都会被 jumpserver 以录像的形式记录下来,方便在将来出现问题的时候进行追责