jumpserver的官网:https://www.jumpserver.org/
jumpserver开源文档 官网:https://docs.jumpserver.org/zh/master/
jumpserver 的GitHub源代码的查询及关注:https://github.com/jumpserver/jumpserver
一、基本内容介绍
0.堡垒机
1)为什么使用堡垒机
企业完成国家等保的要求
2)使用对象
3) 堡垒机需要具备的四个核心能力
4) 堡垒机的历史
v2.0之后,重构了前段,更好地做好了前后端的分离。
1.基本介绍
JumpServer 是全球首款开源的堡垒机,使用 GNU GPL v2.0 开源协议,是符合 4A 规范的运维安全审计系统。
JumpServer 使用 Python / Django 为主进行开发,遵循 Web 2.0 规范,配备了业界领先的 Web Terminal 方案,交互界面美观、用户体验好。
JumpServer 采纳分布式架构,支持多机房跨区域部署,支持横向扩展,无资产数量及并发限制。
2.页面展示
3.特色优势
开源: 零门槛,线上快速获取和安装;
分布式: 轻松支持大规模并发访问;
无插件: 仅需浏览器,极致的 Web Terminal 使用体验;
多云支持: 一套系统,同时管理不同云上面的资产;
云端存储: 审计录像云端存储,永不丢失;
多租户: 一套系统,多个子公司和部门同时使用;
多应用支持: 数据库,Windows远程应用,Kubernetes。
1)完全解耦的分层次,分布式架构
2)针对资产多,并发大的场景
3)分散资产的部署方式
4.安全建议
Jumpserver 对外需要开放 80 443 和 2222 端口
JumpServer 所在服务器操作系统应该升级到最新
JumpServer 依赖的软件升级到最新版本
服务器、数据库、redis 等依赖组件请勿使用弱口令密码
不推荐关闭 firewalld 和 selinux
只开放必要的端口,必要的话请通过 vpn 或者 sslvpn 访问 JumpServer
如果必须开放到外网使用,你应该部署 web 应用防火墙做安全过滤
请部署 ssl 证书通过 https 协议来访问 JumpServer
JumpServer 不要使用弱口令密码,应立即改掉默认的 admin 密码
推荐开启 MFA 功能,避免因密码泄露导致的安全问题
5.功能列表
身份认证 Authentication |
登录认证 | 资源统一登录与认证 |
LDAP/AD 认证 | ||
RADIUS 认证 | ||
OpenID 认证(实现单点登录) | ||
CAS 认证 (实现单点登录) | ||
MFA认证 | MFA 二次认证(Google Authenticator) | |
RADIUS 二次认证 | ||
登录复核 | 用户登录行为受管理员的监管与控制 | |
账号管理 Account |
集中账号 | 管理用户管理 |
系统用户管理 | ||
统一密码 | 资产密码托管 | |
自动生成密码 | ||
自动推送密码 | ||
密码过期设置 | ||
批量改密 | 定期批量改密 | |
多种密码策略 | ||
多云纳管 | 对私有云、公有云资产自动统一纳管 | |
收集用户 | 自定义任务定期收集主机用户 | |
密码匣子 | 统一对资产主机的用户密码进行查看、更新、测试操作 | |
授权控制 Authorization |
多维授权 | 对用户、用户组、资产、资产节点、应用以及系统用户进行授权 |
资产授权 | 资产以树状结构进行展示 | |
资产和节点均可灵活授权 | ||
节点内资产自动继承授权 | ||
子节点自动继承父节点授权 | ||
应用授权 | 实现更细粒度的应用级授权 | |
MySQL 数据库应用、RemoteApp 远程应用 | ||
动作授权 | 实现对授权资产的文件上传、下载以及连接动作的控制 | |
时间授权 | 实现对授权资源使用时间段的限制 | |
特权指令 | 实现对特权指令的使用(支持黑白名单) | |
命令过滤 | 实现对授权系统用户所执行的命令进行控制 | |
文件传输 | SFTP 文件上传/下载 | |
文件管理 | 实现 Web SFTP 文件管理 | |
工单管理 | 支持对用户登录请求行为进行控制 | |
组织管理 | 实现多租户管理与权限隔离 | |
安全审计 Audit |
操作审计 | 用户操作行为审计 |
会话审计 | 在线会话内容审计 | |
历史会话内容审计 | ||
录像审计 | 支持对 Linux、Windows 等资产操作的录像进行回放审计 | |
支持对 RemoteApp、MySQL 等应用操作的录像进行回放审计 | ||
指令审计 | 支持对资产和应用等操作的命令进行审计 | |
文件传输 | 可对文件的上传、下载记录进行审计 | |
数据库审计 Database |
连接方式 | 命令方式 |
Web UI方式 | ||
支持的数据库 | MySQL | |
Oracle | ||
MariaDB | ||
PostgreSQL | ||
功能亮点 | 语法高亮 | |
SQL格式化 | ||
支持快捷键 | ||
支持选中执行 | ||
SQL历史查询 | ||
支持页面创建 DB, TABLE | ||
会话审计 | 命令记录 | |
录像回放 |
6.组件介绍
core:jumpserver的核心组件
Lina:前段,负责压面的展示
Luna:现在是web terminal的前段,后续可能会被Lina替代。
CoCo/Koko:连接linux相关的资产,将信息反馈给Lina Luna及core进行使用。koko及基于go语言开发的
guacamole:windows连接的二进制的组件,是Apache开发的一个项目
7.jumpserver的核心架构说明
8.使用的企业