Jumpserver堡垒机安装部署

JumpServer

• umpServer 是全球首款完全开源的堡垒机, 使用 GNU GPL v2.0 开源协议, 是符合 4A 的专业运维审计系统。
• JumpServer 使用 Python / Django 进行开发, 遵循 Web 2.0 规范, 配备了业界领先的 Web Terminal 解决方案, 交互界面美观、用户体验好。
• JumpServer 采纳分布式架构, 支持多机房跨区域部署, 中心节点提供 API, 各机房部署登录节点, 可横向扩展、无并发访问限制。
• JumpServer 现已支持管理 SSH、 Telnet、 RDP、 VNC 协议资产。

组件说明：

• Jumpserver 为管理后台，管理员可以通过Web页面进行资产管理、用户管理、资产授权等操作
• koko为SSH Server和Web Terminal Server。用户可以通过使用自己的账户登录SSH或者WebSocket 接口直接访问被授权的资产。不需要知道服务器的账户密码
• Lina 是 JumpServer 的前端 UI
• Luna为Web Terminal Server 前端页面，用户使用Web Terminal方式登录所需要的组件
• Guacamole为Windows组件，用户可以通过Web Terminal来连接 Windows资产 （暂时只能通过 Web Terminal 来访问）。Apache 跳板机项目，Jumpserver 使用其组件实现 RDP 功能，Jumpserver 并没有修改其代码而是添加了额外的插 件，支持 Jumpserver 调用

端口说明：

• Jumpserver 默认端口为 8080/tcp 配置文件在 jumpserver/config.py
• koko 默认SSH 端口为 2222/tcp ，默认Web Terminal 端口为 5000/tcp 配置文件在 coco/conf.py
• Guacamole 默认端口为 8081/tcp 在 docker run 时指定
• Nginx 默认端口为 80/tcp 配置在 nginx/nginx.conf 中指定

JumpServer功能

身份验证Authentication	登录认证	资源统一登录和认证；LDAP / AD 认证；RADIUS 认证；实现单点登录（OpenID 认证、CAS 认证）；SSO 对接；
多因⼦认证	MFA 二次认证（Google Authenticator）；RADIUS 二次认证；
登录复核（X-Pack）	用户登录行为受管理员的监控与控制；
授权控制Authorization	多维度授权	可对用户、用户组、资产、资产节点、应用以及系统用户进行授权；
资产授权	资产树以树状结构进行展示；资产和节点均可灵活授权；节点内资产自动继承授权；子节点自动继承父节点授权；
应用授权	实现更细粒度的应用级授权；
Kubernetes 授权	支持用户通过 JumpServer 连接 Kubernetes 集群；
RemoteApp 远程应用（X-Pack）	针对 Windows 系统实现更细粒度的应用级授权，并对应用操作录像进行回放审计；
动作授权	实现对授权资产的文件上传、下载以及连接动作的控制；支持剪切板复制 / 粘贴（Windows 资产）；
时间授权	实现对授权资源使用时间段的限制；
特权指令	实现对特权指令的使用，支持黑白名单；
命令过滤	实现对授权系统用户所执行的命令进行控制；
文件传输与管理	支持 SFTP 文件上传 / 下载；支持 Web SFTP 文件管理；
工单管理（X-Pack）	支持对用户登录请求行为进行控制；支持授权工单申请；
组织管理（X-Pack）	实现多租户管理与权限隔离；
账号管理Accounting	集中账号管理	管理⽤户管理；系统用户管理；
⽤户⻆⾊	支持超级管理员、超级审计员、组织管理员（X-Pack）、组织审计员（X-Pack）、普通用户五种角色；
统⼀密码管理	资产密码托管；⾃动⽣成密码；密码自动推送；密码过期设置；
改密计划（X-Pack）	Linux / Windows 定期批量修改密码；⽣成随机密码；多种密码策略；
多云资产纳管（X-Pack）	对私有云、公有云资产⾃动统⼀纳管；
收集⽤户（X-Pack）	⾃定义任务定期收集主机⽤户；
密码匣子（X-Pack）	统⼀对资产主机的⽤户密码进查看、更新、测试等操作；
安全审计Auditing	登录审计	支持对用户登录到 JumpServer 系统的日志进行审计；支持将审计信息收集至 Syslog；
操作审计	用户操作行为审计；
会话审计	⽀持在线会话内容审计；历史会话内容审计；
录像审计	支持对 Linux、Windows 等资产操作的录像进行回放审计；支持对 RemoteApp（X-Pack）、MySQL、Kubernetes 等应用操作的录像进行回放审计；支持将录像上传至公有云；
指令审计	支持对资产和应用等操作的命令进⾏审计；
⽂件传输审计	⽀持对⽂件的上传 / 下载记录进⾏审计；
实时监控	支持管理员 / 审计员实时监控用户的操作行为，并可进行实时中断，以提升用户操作的安全性；
数据库审计Database Auditing	连接方式	命令行方式；Web UI 方式（X-Pack）；
支持的数据库	MySQL 数据库；Oracle 数据库（X-Pack）；MariaDB 数据库（X-Pack）；PostgreSQL 数据库（X-Pack）；
功能亮点	语法高亮；SQL 格式化；支持快捷键；支持选择执行；SQL 历史查询；支持页面创建 DB、Table；
会话审计	命令记录；录像回放。

jumpserver部署

推荐使用 极速安装 快速部署，资产规模较大参考 分布式部署 进行部署
需要提前安装 Python3.6 MySQL Redis

1.配置国内镜像源

• yum源配置 ，详情见清华园官网 https://mirrors.tuna.tsinghua.edu.cn/help/centos/

  [wyhui]➜  ~ cp /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.bak
  [wyhui]➜  ~ vim /etc/yum.repos.d/CentOS-Base.repo
  name=CentOS-$releasever - Base
  baseurl=https://mirrors.tuna.tsinghua.edu.cn/centos/$releasever/os/$basearch/
  #mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=os
  enabled=1
  gpgcheck=1
  gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-7
  
  #released updates
  [updates]
  name=CentOS-$releasever - Updates
  baseurl=https://mirrors.tuna.tsinghua.edu.cn/centos/$releasever/updates/$basearch/
  #mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=updates
  enabled=1
  gpgcheck=1
  gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-7
  
  
  
  #additional packages that may be useful
  [extras]
  name=CentOS-$releasever - Extras
  baseurl=https://mirrors.tuna.tsinghua.edu.cn/centos/$releasever/extras/$basearch/
  #mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=extras
  enabled=1
  gpgcheck=1
  gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-7
  
  
  
  #additional packages that extend functionality of existing packages
  [centosplus]
  name=CentOS-$releasever - Plus
  baseurl