堡垒机简介
运维常见背黑锅场景
1、由于不明身份用户利用远程运维通道攻击服务器造成业务系统出现异常:但是运维人员无法明确攻击来源,那么领导很生气、后果很严重。
2、只有张三能管理的服务器,被李四登录过并且做了违规操作:但是没有证据是李四登录的,那么张三只能背黑锅了。
3、运维人员不小心泄露了服务器的密码。一旦发生安全事故,那么后果不堪设想。
4、某服务器的重要数据被窃。但是数据文件无法挽回,那么面临的是无法估量的经济损失。
运维工作中由于远程登录来源身份不明、越权操作、密码泄露、数据被窃、违规操作等因素都可能会使运营的业务系统面临严重威胁,一旦发生事故,如果不能快速定位事故原因,运维人员往往就会背黑锅。
Jumpserver简介
Jumpserver 是全球首款完全开源的堡垒机(跳板机),使用 GNU GPL v2.0 开源协议,是符合 4A(认证Authentication、授权Authorization、记账Accounting、审计Audit) 的专业运维审计系统。Jumpserver 使用 Python / Django 进行开发,遵循 Web 2.0 规范,配备了业界领先的 Web Terminal 解决方案,交互界面美观、用户体验好。Jumpserver 采纳分布式架构,支持多机房跨区域部署,中心节点提供 API,各机房部署登录节点,可横向扩展、无并发限制。
基于ssh协议来管理。被管理的服务器无需安装agent软件。助力互联网企业高效的对用户、资产(服务器)、权限、审计集中管理。而且管理界面是中文的,是一款无论从功能还是使用便捷度上来讲,都是非常不错的选择。
官网网站:http://www.jumpserver.org/
1、支持的操作系统
- Redhat CentOS
- Debian Ubuntu
- SUSE
- FreeBSD
- 其他ssh协议硬件设备(如交换机...)
2、功能介绍
1. 精确记录操作命令
2. 支持批量文件上传下载
3. 支持主机搜索登录
4. 支持批量命令执行(Ansible完成)
5. 支持WebTerminal连接主机
6. 支持Web端批量命令执行
7. 支持录像回放
8. 支持硬件信息如cpu,内存等抓取
9. 支持资产Excel导入导出
10. 支持资产批量更改
11. 支持系统用户的批量推送(Ansible实现)
12. 支持用户,主机,用户组,主机组,系统用户混合细颗粒授权
13. 支持sudo管理
14. 支持命令统计和命令搜索
15. 支持上传下载文件审计
16. 支持终止用户连接
17. 支持各种搜索
18. 其他
3、Jumpserver组件说明
- Jumpserver:为管理后台, 管理员可以通过Web页面进行资产管理、用户管理、资产授权等操作,默认端口为 8080/tcp 配置文件在 jumpserver/config.yml
- Coco:为 SSH Server 和 Web Terminal Server 。用户可以通过使用自己的账户登录 SSH 或者 Web Terminal 直接访问被授权的资产。不需要知道服务器的账户密码,默认 SSH 端口为 2222/tcp, 默认 Web Terminal 端口为 5000/tcp 配置文件在 coco/config.yml
- Luna:为 Web Terminal Server 前端页面, 用户使用 Web Terminal 方式登录所需要的组件
- Guacamole:为 Windows 组件, 用户可以通过 Web Terminal 来连接 Windows 资产 (暂时只能通过 Web Terminal 来访问), 默认端口为 8081/tcp
- Nginx:默认端口为 80/tcp,前端代理服务
- Redis:默认端口为 6379/tcp,数据库缓存服务
- Mysql:默认端口为 3306/tcp,数据库服务
4、Jumpserver功能说明
| Jumpserver提供的堡垒机必备功能 | ||
| 身份验证 Authentication | 登录认证 多因子认证 | 资源统一登录和认证 LDAP认证 支持OpenID,实现单点登录 MFA(Google Authenticator) |
| 账号管理 Account | 集中账号管理 统一密码管理 批量密码变更(X-PACK) 多云环境的资产纳管(X-PACK) | 管理用户管理 系统用户管理 资产密码托管 自动生成密码 密码自动推送 密码过期设置 定期批量修改密码 生成随机密码 对私有云、公有云资产统一纳管 |
| 授权控制 Authorization | 资产授权管理 组织管理(X-PACK) 多维度授权 指令限制 统一文件传输 文件管理 | 资产树 资产或资产组灵活授权 节点内资产自动继承授权 实现多租户管理,权限隔离 可对用户、用户组或系统角色授权 限制特权指令使用,支持黑白名单 SFTP 文件上传/下载 Web SFTP 文件管理 |
| 安全审计 Audit | 会话管理 录像管理 指令审计 文件传输审计 | 在线会话管理 历史会话管理 Linux 录像支持 Windows 录像支持 指令记录 上传/下载记录审计 |
部署Jumpserver环境
官网推荐安装环境
CPU: 2核、内存: 8G
官方极速安装:安装部署 - JumpServer 文档
[root@localhost ~]# curl -sSL https://github.com/jumpserver/jumpserver/releases/download/v2.28.0/quick_start.sh | bash
完成后会提示下一步
cd /opt/jumpserver-installer-v2.12.0/
./jmsctl.sh start
网页访问
用户admin
密码admin
会让修改密码
登陆
测试连接
# linux
ssh -p2222 admin@192.168.50.66 # 密码:刚刚修改的
| [root@localhost jumpserver-installer-v2.28.0]# ssh -p2222 admin@192.168.50.66 admin@192.168.50.66's password: Administrator, JumpServer 开源堡垒机 1) 输入 部分IP,主机名,备注 进行搜索登录(如果唯一). 2) 输入 / + IP,主机名,备注 进行搜索,如:/192.168. 3) 输入 p 进行显示您有权限的主机. 4) 输入 g 进行显示您有权限的节点. 5) 输入 d 进行显示您有权限的数据库. 6) 输入 k 进行显示您有权限的Kubernetes. 7) 输入 r 进行刷新最新的机器和节点信息. 8) 输入 s 进行中英日语言切换. 9) 输入 h 进行显示帮助. 10) 输入 q 进行退出. |
如果能登陆代表部署成功
创建管理用户
基本设置设置为主机的IP
创建用户
创建组
创建资产
创建特权用户
进行资产授权
可以设置权限
查看资产列表
点击资产名字
测试连接
成功
查看信息
Jumpserver配置应用
系统设置
设置邮件
发送邮件
查看邮件
资产授权
创建资产
选择想要创建的
到工作台
去web终端
连接用户主机
