jumpserver的官網:https://www.jumpserver.org/
jumpserver開源文檔 官網:https://docs.jumpserver.org/zh/master/
jumpserver 的GitHub源代碼的查詢及關注:https://github.com/jumpserver/jumpserver
一、基本內容介紹
0.堡壘機
1)為什么使用堡壘機
企業完成國家等保的要求
2)使用對象
3) 堡壘機需要具備的四個核心能力
4) 堡壘機的歷史
v2.0之后,重構了前段,更好地做好了前后端的分離。
1.基本介紹
JumpServer 是全球首款開源的堡壘機,使用 GNU GPL v2.0 開源協議,是符合 4A 規范的運維安全審計系統。
JumpServer 使用 Python / Django 為主進行開發,遵循 Web 2.0 規范,配備了業界領先的 Web Terminal 方案,交互界面美觀、用戶體驗好。
JumpServer 采納分布式架構,支持多機房跨區域部署,支持橫向擴展,無資產數量及並發限制。
2.頁面展示
3.特色優勢
- 開源: 零門檻,線上快速獲取和安裝;
- 分布式: 輕松支持大規模並發訪問;
- 無插件: 僅需瀏覽器,極致的 Web Terminal 使用體驗;
- 多雲支持: 一套系統,同時管理不同雲上面的資產;
- 雲端存儲: 審計錄像雲端存儲,永不丟失;
- 多租戶: 一套系統,多個子公司和部門同時使用;
- 多應用支持: 數據庫,Windows遠程應用,Kubernetes。
1)完全解耦的分層次,分布式架構
2)針對資產多,並發大的場景
3)分散資產的部署方式
4.安全建議
- Jumpserver 對外需要開放 80 443 和 2222 端口
- JumpServer 所在服務器操作系統應該升級到最新
- JumpServer 依賴的軟件升級到最新版本
- 服務器、數據庫、redis 等依賴組件請勿使用弱口令密碼
- 不推薦關閉 firewalld 和 selinux
- 只開放必要的端口,必要的話請通過 vpn 或者 sslvpn 訪問 JumpServer
- 如果必須開放到外網使用,你應該部署 web 應用防火牆做安全過濾
- 請部署 ssl 證書通過 https 協議來訪問 JumpServer
- JumpServer 不要使用弱口令密碼,應立即改掉默認的 admin 密碼
- 推薦開啟 MFA 功能,避免因密碼泄露導致的安全問題
5.功能列表
| 身份認證 Authentication |
登錄認證 | 資源統一登錄與認證 |
| LDAP/AD 認證 | ||
| RADIUS 認證 | ||
| OpenID 認證(實現單點登錄) | ||
| CAS 認證 (實現單點登錄) | ||
| MFA認證 | MFA 二次認證(Google Authenticator) | |
| RADIUS 二次認證 | ||
| 登錄復核 | 用戶登錄行為受管理員的監管與控制 | |
| 賬號管理 Account |
集中賬號 | 管理用戶管理 |
| 系統用戶管理 | ||
| 統一密碼 | 資產密碼托管 | |
| 自動生成密碼 | ||
| 自動推送密碼 | ||
| 密碼過期設置 | ||
| 批量改密 | 定期批量改密 | |
| 多種密碼策略 | ||
| 多雲納管 | 對私有雲、公有雲資產自動統一納管 | |
| 收集用戶 | 自定義任務定期收集主機用戶 | |
| 密碼匣子 | 統一對資產主機的用戶密碼進行查看、更新、測試操作 | |
| 授權控制 Authorization |
多維授權 | 對用戶、用戶組、資產、資產節點、應用以及系統用戶進行授權 |
| 資產授權 | 資產以樹狀結構進行展示 | |
| 資產和節點均可靈活授權 | ||
| 節點內資產自動繼承授權 | ||
| 子節點自動繼承父節點授權 | ||
| 應用授權 | 實現更細粒度的應用級授權 | |
| MySQL 數據庫應用、RemoteApp 遠程應用 | ||
| 動作授權 | 實現對授權資產的文件上傳、下載以及連接動作的控制 | |
| 時間授權 | 實現對授權資源使用時間段的限制 | |
| 特權指令 | 實現對特權指令的使用(支持黑白名單) | |
| 命令過濾 | 實現對授權系統用戶所執行的命令進行控制 | |
| 文件傳輸 | SFTP 文件上傳/下載 | |
| 文件管理 | 實現 Web SFTP 文件管理 | |
| 工單管理 | 支持對用戶登錄請求行為進行控制 | |
| 組織管理 | 實現多租戶管理與權限隔離 | |
| 安全審計 Audit |
操作審計 | 用戶操作行為審計 |
| 會話審計 | 在線會話內容審計 | |
| 歷史會話內容審計 | ||
| 錄像審計 | 支持對 Linux、Windows 等資產操作的錄像進行回放審計 | |
| 支持對 RemoteApp、MySQL 等應用操作的錄像進行回放審計 | ||
| 指令審計 | 支持對資產和應用等操作的命令進行審計 | |
| 文件傳輸 | 可對文件的上傳、下載記錄進行審計 | |
| 數據庫審計 Database |
連接方式 | 命令方式 |
| Web UI方式 | ||
| 支持的數據庫 | MySQL | |
| Oracle | ||
| MariaDB | ||
| PostgreSQL | ||
| 功能亮點 | 語法高亮 | |
| SQL格式化 | ||
| 支持快捷鍵 | ||
| 支持選中執行 | ||
| SQL歷史查詢 | ||
| 支持頁面創建 DB, TABLE | ||
| 會話審計 | 命令記錄 | |
| 錄像回放 |
6.組件介紹
core:jumpserver的核心組件
Lina:前段,負責壓面的展示
Luna:現在是web terminal的前段,后續可能會被Lina替代。
CoCo/Koko:連接linux相關的資產,將信息反饋給Lina Luna及core進行使用。koko及基於go語言開發的
guacamole:windows連接的二進制的組件,是Apache開發的一個項目
7.jumpserver的核心架構說明
8.使用的企業
