jumpserver开源堡垒机
jumpserver开源堡垒机jumpserver简介jumpserver简介
·
jumpserver简介
jumpserver官网
jumpserver各个版本下载地址
GitHub下载jumpserver的地址
jumpserver社区版下载
jumpserver名为堡垒机俗称跳板机,是一类可作为跳板批量操作远程设备的网络设备,是系统管理员或运维人员常用的操作平台之一
官方对jumpserver的介绍
-
JumpServer 是全球首款开源的堡垒机,使用 GNU GPL v3.0 开源协议,是符合 4A 规范的运维安全审计系统。
-
JumpServer 使用 Python / Django 为主进行开发,遵循 Web 2.0 规范,配备了业界领先的 Web Terminal 方案,交互界面美观、用户体验好。
-
JumpServer 采纳分布式架构,支持多机房跨区域部署,支持横向扩展,无资产数量及并发限制。
jumpserver的优点
- 开源:零门槛,线上快速获取和安装;
- 分布式:轻松支持大规模并发访问;
- 无插件:仅需浏览器,极致的 Web Terminal 使用体验;
- 多云支持:一套系统,同时管理不同云上面的资产;
- 云端存储:审计录像云端存储,永不丢失;
- 多租户:一套系统,多个子公司和部门同时使用;
- 多应用支持:数据库,Windows远程应用,Kubernetes。
jumpserver功能
这里说明一下:
X-Pack是什么?
X-Pack功能将跟随 JumpServer 版本迭代按月持续增加,企业版客户在服务期内无需支付额外费用就可以使用上新增功能。
-
身份验证方面的功能
- 登录认证:资源统一登录和认证;LDAP / AD 认证;RADIUS 认证;实现单点登录(OpenID 认证、CAS 认证);SSO 对接;扫码登录(企业微信认证、钉钉认证和飞书认证);
- 多因⼦认证:1. MFA 二次认证 2. RADIUS 二次认证;短信(阿里云、腾讯云)二次认证;X-Pack
- 登录复核:用户登录 JumpServer 系统行为受管理员的监管与控制;X-Pack
- 登录限制:用户登录来源 IP 受管理员控制(支持黑 / 白名单);
-
授权控制方面的功能
- 多维度授权:可对用户、用户组、资产、资产节点、应用以及系统用户进行授权;
- 资产授权:资产树以树状结构进行展示;资产和节点均可灵活授权;节点内资产自动继承授权;子节点自动继承父节点授权;
- 数据库授权:支持 MySQL数据库应用授权;支持 Oracle、PostgreSQL、MariaDB 数据库应用授权;X-Pack
- 应用授权:实现更细粒度的应用级授权;
- Kubernetes 授权:支持用户通过 JumpServer 连接 Kubernetes 集群;
- RemoteApp 远程应用:针对 Windows 系统实现更细粒度的应用级授权,并对应用操作录像进行回放审计;X-Pack
- 动作授权:实现对授权资产的文件上传、下载以及连接动作的控制;支持剪切板复制 / 粘贴(Windows 资产);
- 时间授权:实现对授权资源使用时间段的限制;
- 特权指令:实现对特权指令的使用,支持黑白名单;
- 命令过滤:实现对授权系统用户所执行的命令进行控制;
- 文件传输与管理:支持 SFTP 文件上传 / 下载;支持 Web SFTP 文件管理;
- 工单管理:支持对用户登录请求行为进行控制;支持授权工单申请;支持二级审批流程;X-Pack
- 组织管理:实现多租户管理与权限隔离;全局组织功能;X-Pack
- 访问控制:支持对通过 SSH 和 Telnet 协议登录的资产进行复核;X-Pack
-
账号管理方面的功能
- 集中账号管理:系统用户管理(包含普通用户和特权用户);
- 用户角色:支持超级管理员、超级审计员、普通用户三种角色;支持超级管理员、超级审计员、组织管理员、组织审计员、普通用户五种角色;X-Pack
- 统⼀密码管理:资产密码托管;⾃动⽣成密码;密码自动推送;密码过期设置;
- 改密计划:资产和数据库定期批量修改密码;生成随机密码;多种密码策略;X-Pack
- 多云资产纳管:对私有云、公有云资产⾃动统⼀纳管;X-Pack
- 收集⽤户:⾃定义任务定期收集主机⽤户;X-Pack
- 账号管理:统⼀对资产主机的⽤户密码进行查看、更新、测试等操作;X-Pack
-
安全审计方面
- 登录审计:支持对用户登录到 JumpServer 系统的日志进行审计;支持将审计信息收集至 Syslog;
- 操作审计:用户操作行为审计;
- 会话审计:⽀持在线会话内容审计;历史会话内容审计;支持会话水印信息;
- 录像审计:支持对 Linux、Windows 等资产操作的录像进行回放审计;支持对 RemoteApp X-Pack、MySQL、Kubernetes 等应用操作的录像进行回放审计;支持将录像上传至公有云;
- 指令审计:支持对资产和应用等操作的命令进⾏审计;高危命令告警;
- ⽂件传输审计:⽀持对⽂件的上传 / 下载记录进⾏审计;
- 实时监控:支持管理员 / 审计员实时监控用户的操作行为,并可进行实时中断,以提升用户操作的安全性;
jumpserver安装部署
环境说明:
安装方式有两种
第一种:
- 准备一台 2核4G (最低)且可以访问互联网的 64 位 Linux 主机;
- 以 root 用户执行如下命令一键安装 JumpServer。
GitHub有在线安装方法
官网也有在线安装
下面以github为例
//点击搜索jumpserver
// 我们点击其他的119个版本
// 这里就有我们所要的在线安装
// 安装完成之后配置文件/opt/jumpserver/config/config.txt
cd /opt/jumpserver-installer-v2.20.3
// 启动
./jmsctl.sh start
// 关闭
./jmsctl.sh down
// 卸载
./jmsctl.sh uninstall
// 帮助
./jmsctl.sh -h
第二种离线安装
下载地址
// 下载安装包
[root@test opt]# ls
jumpserver-offline-installer-v2.20.3-amd64-21.tar.gz //这里我已经下载好了自己安装即可
[root@test opt]# tar zxf jumpserver-2.20.3.tar.gz -C /usr/local/ //解压到/usr/local目录下
[root@test jumpserver-offline-installer-v2.20.3-amd64-21]# pwd
/usr/local/jumpserver-offline-installer-v2.20.3-amd64-21
[root@test local]# ln -s jumpserver-offline-installer-v2.20.3-amd64-21/ jumpserver //这里为了方便操作建议做一个软连接
[root@test jumpserver]# cat config-example.txt //根据自己的实际情况进行安装
# 以下设置如果为空系统会自动生成随机字符串填入
## 迁移请修改 SECRET_KEY 和 BOOTSTRAP_TOKEN 为原来的设置
## 完整参数文档 https://docs.jumpserver.org/zh/master/admin-guide/env/
## 安装配置, 可以使用华为云加速下载, arm64 用户需要注释掉 DOCKER_IMAGE_PREFIX
# DOCKER_IMAGE_PREFIX=swr.cn-south-1.myhuaweicloud.com
VOLUME_DIR=/opt/jumpserver
DOCKER_DIR=/var/lib/docker
SECRET_KEY=
BOOTSTRAP_TOKEN=
LOG_LEVEL=ERROR
## MySQL 配置, USE_EXTERNAL_MYSQL=1 表示使用外置 MySQL, 请输入正确的 MySQL 信息
USE_EXTERNAL_MYSQL=0
DB_HOST=mysql
DB_PORT=3306
DB_USER=root
DB_PASSWORD=
DB_NAME=jumpserver
## Redis 配置, USE_EXTERNAL_REDIS=1 表示使用外置 Redis, 请输入正确的 Redis 信息
USE_EXTERNAL_REDIS=0
REDIS_HOST=redis
REDIS_PORT=6379
REDIS_PASSWORD=
## Compose 项目设置, 如果 192.168.250.0/24 网段与你现有网段冲突, 请修改然后重启 JumpServer
COMPOSE_PROJECT_NAME=jms
COMPOSE_HTTP_TIMEOUT=3600
DOCKER_CLIENT_TIMEOUT=3600
DOCKER_SUBNET=192.168.250.0/24
## IPV6 设置, 容器是否开启 ipv6 nat, USE_IPV6=1 表示开启, 为 0 的情况下 DOCKER_SUBNET_IPV6 定义不生效
USE_IPV6=0
DOCKER_SUBNET_IPV6=fc00:1010:1111:200::/64
## Nginx 配置
HTTP_PORT=80
SSH_PORT=2222
RDP_PORT=3389
## HTTPS 配置, 参考 https://docs.jumpserver.org/zh/master/admin-guide/proxy/ 配置
# USE_LB=1
# HTTPS_PORT=443
# SERVER_NAME=your_domain_name
# SSL_CERTIFICATE=your_cert
# SSL_CERTIFICATE_KEY=your_cert_key
## Task 配置, 是否启动 jms_celery 容器, 单节点必须开启
USE_TASK=1
## XPack, USE_XPACK=1 表示开启, 开源版本设置无效
USE_XPACK=0
## Core 配置, Session 定义, SESSION_COOKIE_AGE 表示闲置多少秒后 session 过期, SESSION_EXPIRE_AT_BROWSER_CLOSE=true 表示关闭浏览器即 session 过期
# SESSION_COOKIE_AGE=86400
SESSION_EXPIRE_AT_BROWSER_CLOSE=true
## Koko Lion XRDP 组件配置
CORE_HOST=http://core:8080
## Lion 开启字体平滑
JUMPSERVER_ENABLE_FONT_SMOOTHING=true
## Nginx 文件上传大小
CLIENT_MAX_BODY_SIZE=4096m
## 终端使用宿主 HOSTNAME 标识
SERVER_HOSTNAME=${HOSTNAME}
## 额外的配置
CURRENT_VERSION=
[root@test jumpserver]# ls
compose config_init LICENSE quick_start.sh scripts utils
config-example.txt jmsctl.sh locale README.md static.env
//执行安装脚本
[root@test jumpserver]# ./jmsctl.sh install
// 启动jumpserver
[root@test jumpserver]# ./jmsctl.sh start
// 在浏览器输入IP地址进行访问,用户名和密码都是admin
// 因为密码过于简单需要你修改密码
// 重新登录即可
// 登录成功之后出现如下界面表示成功
更多推荐
已为社区贡献7条内容
所有评论(0)