JumpServer
- umpServer 是全球首款完全开源的堡垒机, 使用 GNU GPL v2.0 开源协议, 是符合 4A 的专业运维审计系统。
- JumpServer 使用 Python / Django 进行开发, 遵循 Web 2.0 规范, 配备了业界领先的 Web Terminal 解决方案, 交互界面美观、用户体验好。
- JumpServer 采纳分布式架构, 支持多机房跨区域部署, 中心节点提供 API, 各机房部署登录节点, 可横向扩展、无并发访问限制。
- JumpServer 现已支持管理 SSH、 Telnet、 RDP、 VNC 协议资产。
组件说明:
- Jumpserver 为管理后台,管理员可以通过Web页面进行资产管理、用户管理、资产授权等操作
- koko为SSH Server和Web Terminal Server。用户可以通过使用自己的账户登录SSH或者WebSocket 接口直接访问被授权的资产。不需要知道服务器的账户密码
- Lina 是 JumpServer 的前端 UI
- Luna为Web Terminal Server 前端页面,用户使用Web Terminal方式登录所需要的组件
- Guacamole为Windows组件,用户可以通过Web Terminal来连接 Windows资产 (暂时只能通过 Web Terminal 来访问)。Apache 跳板机项目,Jumpserver 使用其组件实现 RDP 功能,Jumpserver 并没有修改其代码而是添加了额外的插 件,支持 Jumpserver 调用
端口说明:
- Jumpserver 默认端口为 8080/tcp 配置文件在 jumpserver/config.py
- koko 默认SSH 端口为 2222/tcp ,默认Web Terminal 端口为 5000/tcp 配置文件在 coco/conf.py
- Guacamole 默认端口为 8081/tcp 在 docker run 时指定
- Nginx 默认端口为 80/tcp 配置在 nginx/nginx.conf 中指定
JumpServer功能
| 身份验证Authentication | 登录认证 | 资源统一登录和认证;LDAP / AD 认证;RADIUS 认证;实现单点登录(OpenID 认证、CAS 认证);SSO 对接; |
|---|---|---|
| 多因⼦认证 | MFA 二次认证(Google Authenticator);RADIUS 二次认证; | |
| 登录复核(X-Pack) | 用户登录行为受管理员的监控与控制; | |
| 授权控制Authorization | 多维度授权 | 可对用户、用户组、资产、资产节点、应用以及系统用户进行授权; |
| 资产授权 | 资产树以树状结构进行展示;资产和节点均可灵活授权;节点内资产自动继承授权;子节点自动继承父节点授权; | |
| 应用授权 | 实现更细粒度的应用级授权; | |
| Kubernetes 授权 | 支持用户通过 JumpServer 连接 Kubernetes 集群; | |
| RemoteApp 远程应用(X-Pack) | 针对 Windows 系统实现更细粒度的应用级授权,并对应用操作录像进行回放审计; | |
| 动作授权 | 实现对授权资产的文件上传、下载以及连接动作的控制;支持剪切板复制 / 粘贴(Windows 资产); | |
| 时间授权 | 实现对授权资源使用时间段的限制; | |
| 特权指令 | 实现对特权指令的使用,支持黑白名单; | |
| 命令过滤 | 实现对授权系统用户所执行的命令进行控制; | |
| 文件传输与管理 | 支持 SFTP 文件上传 / 下载;支持 Web SFTP 文件管理; | |
| 工单管理(X-Pack) | 支持对用户登录请求行为进行控制;支持授权工单申请; | |
| 组织管理(X-Pack) | 实现多租户管理与权限隔离; | |
| 账号管理Accounting | 集中账号管理 | 管理⽤户管理;系统用户管理; |
| ⽤户⻆⾊ | 支持超级管理员、超级审计员、组织管理员(X-Pack)、组织审计员(X-Pack)、普通用户五种角色; | |
| 统⼀密码管理 | 资产密码托管;⾃动⽣成密码;密码自动推送;密码过期设置; | |
| 改密计划(X-Pack) | Linux / Windows 定期批量修改密码;⽣成随机密码;多种密码策略; | |
| 多云资产纳管(X-Pack) | 对私有云、公有云资产⾃动统⼀纳管; | |
| 收集⽤户(X-Pack) | ⾃定义任务定期收集主机⽤户; | |
| 密码匣子(X-Pack) | 统⼀对资产主机的⽤户密码进查看、更新、测试等操作; | |
| 安全审计Auditing | 登录审计 | 支持对用户登录到 JumpServer 系统的日志进行审计;支持将审计信息收集至 Syslog; |
| 操作审计 | 用户操作行为审计; | |
| 会话审计 | ⽀持在线会话内容审计;历史会话内容审计; | |
| 录像审计 | 支持对 Linux、Windows 等资产操作的录像进行回放审计;支持对 RemoteApp(X-Pack)、MySQL、Kubernetes 等应用操作的录像进行回放审计;支持将录像上传至公有云; | |
| 指令审计 | 支持对资产和应用等操作的命令进⾏审计; | |
| ⽂件传输审计 | ⽀持对⽂件的上传 / 下载记录进⾏审计; | |
| 实时监控 | 支持管理员 / 审计员实时监控用户的操作行为,并可进行实时中断,以提升用户操作的安全性; | |
| 数据库审计Database Auditing | 连接方式 | 命令行方式;Web UI 方式(X-Pack); |
| 支持的数据库 | MySQL 数据库;Oracle 数据库(X-Pack);MariaDB 数据库(X-Pack);PostgreSQL 数据库(X-Pack); | |
| 功能亮点 | 语法高亮;SQL 格式化;支持快捷键;支持选择执行;SQL 历史查询;支持页面创建 DB、Table; | |
| 会话审计 | 命令记录;录像回放。 |
jumpserver部署
推荐使用 极速安装 快速部署,资产规模较大参考 分布式部署 进行部署
需要提前安装 Python3.6 MySQL Redis
1.配置国内镜像源
- yum源配置 ,详情见清华园官网 https://mirrors.tuna.tsinghua.edu.cn/help/centos/
[wyhui]➜ ~ cp /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.bak [wyhui]➜ ~ vim /etc/yum.repos.d/CentOS-Base.repo name=CentOS-$releasever - Base baseurl=https://mirrors.tuna.tsinghua.edu.cn/centos/$releasever/os/$basearch/ #mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=os enabled=1 gpgcheck=1 gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-7 #released updates [updates] name=CentOS-$releasever - Updates baseurl=https://mirrors.tuna.tsinghua.edu.cn/centos/$releasever/updates/$basearch/ #mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=updates enabled=1 gpgcheck=1 gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-7 #additional packages that may be useful [extras] name=CentOS-$releasever - Extras baseurl=https://mirrors.tuna.tsinghua.edu.cn/centos/$releasever/extras/$basearch/ #mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=extras enabled=1 gpgcheck=1 gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-7 #additional packages that extend functionality of existing packages [centosplus] name=CentOS-$releasever - Plus baseurl

本文详细介绍了JumpServer堡垒机的安装部署过程,包括配置国内镜像源、Redis安装、MySQL设置、Python环境搭建、Jumpserver及组件的安装与配置,以及Nginx的整合。JumpServer是一款开源的运维审计系统,支持SSH、Telnet、RDP、VNC等协议,采用Django开发,提供Web Terminal功能。
最低0.47元/天 解锁文章
350

被折叠的 条评论
为什么被折叠?



