jumpserver简介

jumpserver官网
jumpserver各个版本下载地址
GitHub下载jumpserver的地址
jumpserver社区版下载

jumpserver名为堡垒机俗称跳板机，是一类可作为跳板批量操作远程设备的网络设备，是系统管理员或运维人员常用的操作平台之一

官方对jumpserver的介绍

• JumpServer 是全球首款开源的堡垒机，使用 GNU GPL v3.0 开源协议，是符合 4A 规范的运维安全审计系统。

• JumpServer 使用 Python / Django 为主进行开发，遵循 Web 2.0 规范，配备了业界领先的 Web Terminal 方案，交互界面美观、用户体验好。

• JumpServer 采纳分布式架构，支持多机房跨区域部署，支持横向扩展，无资产数量及并发限制。

jumpserver的优点

• 开源：零门槛，线上快速获取和安装；
• 分布式：轻松支持大规模并发访问；
• 无插件：仅需浏览器，极致的 Web Terminal 使用体验；
• 多云支持：一套系统，同时管理不同云上面的资产；
• 云端存储：审计录像云端存储，永不丢失；
• 多租户：一套系统，多个子公司和部门同时使用；
• 多应用支持：数据库，Windows远程应用，Kubernetes。

jumpserver功能

这里说明一下:
X-Pack是什么？
X-Pack功能将跟随 JumpServer 版本迭代按月持续增加，企业版客户在服务期内无需支付额外费用就可以使用上新增功能。

1. 身份验证方面的功能

   1. 登录认证：资源统一登录和认证；LDAP / AD 认证；RADIUS 认证；实现单点登录（OpenID 认证、CAS 认证）；SSO 对接；扫码登录（企业微信认证、钉钉认证和飞书认证）；
   2. 多因⼦认证：1. MFA 二次认证 2. RADIUS 二次认证；短信（阿里云、腾讯云）二次认证；X-Pack
   3. 登录复核：用户登录 JumpServer 系统行为受管理员的监管与控制；X-Pack
   4. 登录限制：用户登录来源 IP 受管理员控制（支持黑 / 白名单）；

2. 授权控制方面的功能

   1. 多维度授权：可对用户、用户组、资产、资产节点、应用以及系统用户进行授权；
   2. 资产授权：资产树以树状结构进行展示；资产和节点均可灵活授权；节点内资产自动继承授权；子节点自动继承父节点授权；
   3. 数据库授权：支持 MySQL数据库应用授权；支持 Oracle、PostgreSQL、MariaDB 数据库应用授权；X-Pack
   4. 应用授权：实现更细粒度的应用级授权；
   5. Kubernetes 授权：支持用户通过 JumpServer 连接 Kubernetes 集群；
   6. RemoteApp 远程应用：针对 Windows 系统实现更细粒度的应用级授权，并对应用操作录像进行回放审计；X-Pack
   7. 动作授权：实现对授权资产的文件上传、下载以及连接动作的控制；支持剪切板复制 / 粘贴（Windows 资产）；
   8. 时间授权：实现对授权资源使用时间段的限制；
   9. 特权指令：实现对特权指令的使用，支持黑白名单；
   10. 命令过滤：实现对授权系统用户所执行的命令进行控制；
   11. 文件传输与管理：支持 SFTP 文件上传 / 下载；支持 Web SFTP 文件管理；
   12. 工单管理：支持对用户登录请求行为进行控制；支持授权工单申请；支持二级审批流程；X-Pack
   13. 组织管理：实现多租户管理与权限隔离；全局组织功能；X-Pack
   14. 访问控制：支持对通过 SSH 和 Telnet 协议登录的资产进行复核；X-Pack

3. 账号管理方面的功能

   1. 集中账号管理：系统用户管理（包含普通用户和特权用户）；
   2. 用户角色：支持超级管理员、超级审计员、普通用户三种角色；支持超级管理员、超级审计员、组织管理员、组织审计员、普通用户五种角色；X-Pack
   3. 统⼀密码管理：资产密码托管；⾃动⽣成密码；密码自动推送；密码过期设置；
   4. 改密计划：资产和数据库定期批量修改密码；生成随机密码；多种密码策略；X-Pack
   5. 多云资产纳管：对私有云、公有云资产⾃动统⼀纳管；X-Pack
   6. 收集⽤户：⾃定义任务定期收集主机⽤户；X-Pack
   7. 账号管理：统⼀对资产主机的⽤户密码进行查看、更新、测试等操作；X-Pack

4. 安全审计方面

   1. 登录审计：支持对用户登录到 JumpServer 系统的日志进行审计；支持将审计信息收集至 Syslog；
   2. 操作审计：用户操作行为审计；
   3. 会话审计：⽀持在线会话内容审计；历史会话内容审计；支持会话水印信息；
   4. 录像审计：支持对 Linux、Windows 等资产操作的录像进行回放审计；支持对 RemoteApp X-Pack、MySQL、Kubernetes 等应用操作的录像进行回放审计；支持将录像上传至公有云；
   5. 指令审计：支持对资产和应用等操作的命令进⾏审计；高危命令告警；
   6. ⽂件传输审计：⽀持对⽂件的上传 / 下载记录进⾏审计；
   7. 实时监控：支持管理员 / 审计员实时监控用户的操作行为，并可进行实时中断，以提升用户操作的安全性；

jumpserver安装部署

环境说明:

安装方式有两种

第一种：

1. 准备一台 2核4G （最低）且可以访问互联网的 64 位 Linux 主机；
2. 以 root 用户执行如下命令一键安装 JumpServer。
   GitHub有在线安装方法
   官网也有在线安装

下面以github为例

//点击搜索jumpserver

// 我们点击其他的119个版本

// 这里就有我们所要的在线安装

// 安装完成之后配置文件/opt/jumpserver/config/config.txt

cd /opt/jumpserver-installer-v2.20.3

// 启动
./jmsctl.sh start

// 关闭
./jmsctl.sh down

// 卸载
./jmsctl.sh uninstall

// 帮助
./jmsctl.sh -h

第二种离线安装
下载地址

// 下载安装包
[root@test opt]# ls
jumpserver-offline-installer-v2.20.3-amd64-21.tar.gz  //这里我已经下载好了自己安装即可

[root@test opt]# tar zxf jumpserver-2.20.3.tar.gz -C /usr/local/   //解压到/usr/local目录下

[root@test jumpserver-offline-installer-v2.20.3-amd64-21]# pwd
/usr/local/jumpserver-offline-installer-v2.20.3-amd64-21

[root@test local]# ln -s jumpserver-offline-installer-v2.20.3-amd64-21/ jumpserver  //这里为了方便操作建议做一个软连接


[root@test jumpserver]# cat config-example.txt //根据自己的实际情况进行安装
# 以下设置如果为空系统会自动生成随机字符串填入
## 迁移请修改 SECRET_KEY 和 BOOTSTRAP_TOKEN 为原来的设置
## 完整参数文档 https://docs.jumpserver.org/zh/master/admin-guide/env/

## 安装配置, 可以使用华为云加速下载, arm64 用户需要注释掉 DOCKER_IMAGE_PREFIX
# DOCKER_IMAGE_PREFIX=swr.cn-south-1.myhuaweicloud.com
VOLUME_DIR=/opt/jumpserver
DOCKER_DIR=/var/lib/docker
SECRET_KEY=
BOOTSTRAP_TOKEN=
LOG_LEVEL=ERROR

##  MySQL 配置, USE_EXTERNAL_MYSQL=1 表示使用外置 MySQL, 请输入正确的 MySQL 信息
USE_EXTERNAL_MYSQL=0
DB_HOST=mysql
DB_PORT=3306
DB_USER=root
DB_PASSWORD=
DB_NAME=jumpserver

##  Redis 配置, USE_EXTERNAL_REDIS=1 表示使用外置 Redis, 请输入正确的 Redis 信息
USE_EXTERNAL_REDIS=0
REDIS_HOST=redis
REDIS_PORT=6379
REDIS_PASSWORD=

## Compose 项目设置, 如果 192.168.250.0/24 网段与你现有网段冲突, 请修改然后重启 JumpServer
COMPOSE_PROJECT_NAME=jms
COMPOSE_HTTP_TIMEOUT=3600
DOCKER_CLIENT_TIMEOUT=3600
DOCKER_SUBNET=192.168.250.0/24

## IPV6 设置, 容器是否开启 ipv6 nat, USE_IPV6=1 表示开启, 为 0 的情况下 DOCKER_SUBNET_IPV6 定义不生效
USE_IPV6=0
DOCKER_SUBNET_IPV6=fc00:1010:1111:200::/64

## Nginx 配置
HTTP_PORT=80
SSH_PORT=2222
RDP_PORT=3389

## HTTPS 配置, 参考 https://docs.jumpserver.org/zh/master/admin-guide/proxy/ 配置
# USE_LB=1
# HTTPS_PORT=443
# SERVER_NAME=your_domain_name
# SSL_CERTIFICATE=your_cert
# SSL_CERTIFICATE_KEY=your_cert_key

## Task 配置, 是否启动 jms_celery 容器, 单节点必须开启
USE_TASK=1

## XPack, USE_XPACK=1 表示开启, 开源版本设置无效
USE_XPACK=0

## Core 配置, Session 定义, SESSION_COOKIE_AGE 表示闲置多少秒后 session 过期, SESSION_EXPIRE_AT_BROWSER_CLOSE=true 表示关闭浏览器即 session 过期
# SESSION_COOKIE_AGE=86400
SESSION_EXPIRE_AT_BROWSER_CLOSE=true

## Koko Lion XRDP 组件配置
CORE_HOST=http://core:8080

## Lion 开启字体平滑
JUMPSERVER_ENABLE_FONT_SMOOTHING=true

## Nginx 文件上传大小
CLIENT_MAX_BODY_SIZE=4096m

## 终端使用宿主 HOSTNAME 标识
SERVER_HOSTNAME=${HOSTNAME}

## 额外的配置
CURRENT_VERSION=

[root@test jumpserver]# ls
compose             config_init  LICENSE  quick_start.sh  scripts     utils
config-example.txt  jmsctl.sh    locale   README.md       static.env

//执行安装脚本
[root@test jumpserver]# ./jmsctl.sh install

// 启动jumpserver
[root@test jumpserver]# ./jmsctl.sh start

官网各种安装方式

// 在浏览器输入IP地址进行访问，用户名和密码都是admin

// 因为密码过于简单需要你修改密码

// 重新登录即可

// 登录成功之后出现如下界面表示成功