使用堡垒机构建运维安全网关——JumpServer堡垒机的配置与使用
2026/7/9 1:16:01 网站建设 项目流程

使用堡垒机构建运维安全网关——JumpServer堡垒机的安装部署实践教程https://blog.csdn.net/xiaochenXIHUA/article/details/162695124

一、JumpServer堡垒机的基础配置

在浏览器打开输入JumpServer所在服务器的IP(如:192.168.1.119)然后输入账号(admin)与密码登录后即可打开JumpServer堡垒机的操作管理界面。

1.1、JumpServer管理面板简介

整个JumpServer堡垒机的操作管理界面分为三个板块【顶部】【左侧】【中间】,如下图所示:

JumpServer操作管理界面布局说明
顶部

主要包含:

  • 搜索框:支持搜索账号、资产、用户、用户组、资产授权;
  • 站内信:会显示系统的各种通知信息(如登录异常、密码修改等消息);
  • Web终端:就是支持在Web操作各种资产的终端;
  • 系统设置:可以对JumpServer堡垒机进行基础的系统配置操作;
  • 语言设置:可以选择不同的语言;
  • 个人信息设置:可进行用户密码修改、个人信息配置等操作
左侧

左侧顶部箭头图标是可以选择不同的操作台;

左侧其余部分就是显示不同操作台的选项内容;

中间显示不同选项内容的详细界面

1.2、系统设置

在JumpServer堡垒机的管理界面右上角(⚙️图标)点击后就可以进入设置界面,需要设置的内容如下:

JumpServer系统设置界面内容说明
《1》基本设置当前站点URL:填写JumpServer的访问地址(若在公网可使用域名),内网直接使用IP地址即可(如:http://192.168.1.119)。
《2》通知设置

邮箱:这个邮箱配置好了,后续的账户创建通知、密码修改登操作通知都可以通过这里配置的邮箱发送邮件给对应的人员。

SMTP配置为例说明:

  • 主机:一般是邮件提供商的smtp服务器域名(如:smtp.qq.com、smtp.163.com);
  • 端口:smtp的端口(通常是25);
  • 账号:用来发送邮件的邮箱账号(如:coffeemilk@qq.com);
  • 密码:这里输入的是邮箱账号对应的smtp授权码,而不是邮箱账号的登录密码;
  • 发件人:可填写邮箱账号或者邮箱的名称;
  • 使用SSL/TLS:SSL对应的是465端口;TLS对应的是587端口;
  • 收件人:接受邮件的邮箱账号(如:zhangsan@qq.com);

这些基础内容配置好后,就可以点击【测试连接】按钮进行测试,测试通过后点击【提交】按钮保存好配置即可。

开启邮箱的SMTP服务获取授权码(QQ邮箱、163邮箱)

《3》认证设置

基本设置:主要是配置忘记密码链接(即:填写用户登录页面忘记密码的 URL【如:http://192.168.1.119/core/auth/password/forget/previewing/】)后点击【提交】按钮保存;

集成:启用所需的可登录堡垒机的认证内容(社区版有:【AD/LDAP】【Passkey】【CAS】三种方式,默认都是禁用的,要使用则需要开启);

《4》安全设置

认证安全:是否启用登录验证码、是否启用登录附加码、不活跃用户自动禁用(天)、异地登录通知;还有MFA的配置;

登录限制:可设置用户登录的失败次数、禁止登录的间隔;IP登录失败的次数、登录间隔、IP登录白名单、IP登录黑名单配置;是否仅一台设备登录。

密码安全:可配置用户密码的过期时间、不能设置近几次密码、用户过期token保留天数;同时还可对密码的复杂度与长度进行配置;

会话安全:是否可以分享会话、是否允许用户查看资产在线会话信息;是否开启水印。

《5》许可证默认安装的是开源社区版,若需要变更为企业版,则需要在这里导入许可证

二、JumpServer堡垒机的日常使用

2.1、控制台

控制台是只有管理员角色可以做配置与管理的面板,在控制台中,可以进行【用户管理、资产管理、账号管理与授权管理】操作。

2.1.1、控制台—用户管理

用户管理包含【用户列表】【用户组】;先在用户组下点击【创建】按钮即可创建想要的用户组(如:开发组、运维组);之后点击用户列表点击【创建】按钮就可以创建想要创建的用户(根据界面提示内容填写即可,特别是红星标注的内容是必填的)如下图所示:

2.1.2、控制台—资产管理

资产:可以理解为企业的服务器、交换机、路由器、防火墙等硬件设备。

资产管理选项说明
资产列表资产树:默认是没有分类的,需要选中DEFAULT,然后点击鼠标右键选择【创建节点】然后选择新创建好的节点输入名称(如:开发主机、运维主机);

除了手动创建资产的方式,还可以使用模板导入(可以先导出,然后修改导出的模板中只用填写字段前带有星号的字段内容即可);
网域列表

网域是为了解决部分环境(如:混合云)无法直接连接而新增的功能,原理是通过网关服务器进行跳转登录。

示例:假设阿里云有2台主机A和B,主机A有公网IP,堡垒机系统可直接连接A主机,但主机B无外网IP,主机A和主机B可以互通,这时候要在堡垒机中加入B主机,就需要网域功能【要使用网域功能,首先添加一个网关,这个网关就是从堡垒机到阿里云主机A的连接;保证堡垒机到阿里云主机A能够正常通信后,就可以在资产中添加阿里云B主机了,在添加B主机的时候,添加刚刚添加好的网域就行了】。

其实网域相当于一个中转机,通过这个中转机访问内网的服务器。

2.1.3、控制台—账号管理

账号管理包含【账号列表】【账号模板】;账号列表下可以添加资产里面的账号(账号又分为两种,【特权账号】和【普通账号】,特权用户一般是root用户,具有管理员权限,普通用户可以是资产中已经存在的用户,也可以是资产中不存在的用户,但可以通过特权用户自动创建)。

可以先创建账号模板(即:针对不同类型的主机拥有相同的账号与密码的就可以在模板中创建出来复用【勾选了“特权账号”就表示该账号在资产中是属于系统管理员;否则就是普通账号】);

然后就可以在账号列表中针对不同的资源、资源组配置添加上指定的账户(即:实现资产账号的批量创建)如下图所示:

2.1.4、控制台—授权管理

授权管理包含【资产授权】【访问控制】;

《1》资产授权表示给单个资产或资产组分配给指定用户、多个用户或用户组;并且还可以指定对这个资产的

  • 账号:可选择:所有账号、指定账号、排除账号、无、虚拟账号;
  • 协议:可选择:全部协议、指定协议;
  • 动作:可配置:连接、文件传输、剪贴板、分享四个操作;
  • 其他设置:是否激活、开始日期、结束日期;

如下图所示:

《2》访问控制则可以控制命令能否发送到资产上,根据设定的规则某些命令可以被放行到资产执行,而某些命令则被禁止发送到资产上。

2.1.5、其它

其它下面只有【标签列表】,这个界面就是可以新增标签,设置标签数值与设置颜色,如下图所示:

2.2、PAM—特权账号管理

PAM ( Privileged Account Management) 特权账号管理,是JumpServer堡垒机内置的特权账号全生命周期管理模块。不仅能够将人员通过堡垒机操作资产,记录操作,更重要的是新增了账号密码集中管控能力,把所有服务器、数据库、交换机的 root/Administrator 等高权限账号统一管起来,实现「事前管控、事中审计、事后溯源」一体化安全方案。

一句话总结:JumpServer PAM 就是内置在堡垒机里的特权账号密码保险箱 + 自动化账号生命周期管理平台,专门管控服务器、数据库的高权限管理员账号,是企业等保合规、防止账号泄露的核心模块。

JumpServer PAM的标准能力说明
《1》账号自动发现批量扫描 Linux/Windows/ 数据库 / 网络设备,自动抓取资产上所有本地账号、特权账号,统一录入平台,解决 “不知道服务器有哪些管理员账号” 的盲区问题。
《2》账号批量推送在 JumpServer 后台创建账号,一键批量下发到多台资产自动创建用户、配置权限,不用手动登录每台机器操作。
《3》账号备份与密码保险箱所有资产特权密码统一加密存储在平台,运维人员看不到明文密码,只能通过平台一键代登资产;支持双人审批解锁高敏感账号密码。
《4》自动批量改密定时 / 手动批量轮换所有资产 root、数据库管理员密码,杜绝长期不变的弱密码、共享密码泄露风险。
《5》账号风险检测自动扫描弱密码、长期闲置特权账号、多人共享账号、高危 sudo 权限,生成风险报表告警。
《6》应用集成与临时授权(JIT)按需临时授予特权账号权限,到期自动回收;支持工单审批、第三方身份系统联动。
JumpServer PAM 解决的运维安全痛点
  1. 杜绝运维人员私自保存服务器明文密码、微信 / Excel 传密码;
  2. 消灭共享管理员账号,做到一人一权、操作全程录像审计;
  3. 自动清理僵尸账号、弱密码,满足等保、审计合规要求;
  4. 离职员工一键回收所有资产特权权限,避免后门账号遗留。

2.3、审计台

审计台是审计员专用视图,只提供查看、监控、溯源日志功能,无任何配置、修改、授权权限,只能看不能改,满足等保审计分离要求【全平台操作日志、会话录像、登录行为、文件传输的统一审计查看平台,用于事中实时监控、事后事件溯源、合规审计取证记录所有人操作行为(事后追溯、实时监控)。

审计台功能模块说明
《1》仪表盘是总览看板:
  • 在线会话数、历史会话总量、高危命令统计、登录趋势图表;
  • 快速直观查看当日 / 周期内运维操作风险概况。
《2》会话审计

1-在线会话(事中实时监控)

  • 实时看到所有人当前正在登录服务器、数据库、Windows 的连接;
  • 支持 SSH/RDP 会话实时观看操作画面,发现违规可直接强制断开会话
  • 显示操作人、资产 IP、来源 IP、连接时长、协议类型。

2-历史会话(事后追溯)

所有结束的运维连接永久存档:

  • 支持在线录像回放(完整复刻鼠标、键盘、命令操作);
  • 可下载录像本地保存,支持倍速、跳转、检索关键字;
  • 记录完整元数据:操作人、资产、登录时间、退出时间、终端 IP。

3-命令记录

抓取所有用户在资产上执行的每一条命令:

  • 可过滤高危命令(rm -rfrebootrmdir、删库语句等);
  • 查看命令输入 + 输出返回结果,支持关键词检索。

4-文件传输记录

记录所有 SFTP / 文件上传下载行为:

  • 谁、在哪台机器、上传 / 下载了什么文件、文件大小、时间。
《3》日志审计

记录平台的登录行为:

  • 登录日志:所有人登录 JumpServer 堡垒机平台的记录(账号、IP、登录时间、是否成功);
  • 操作日志:管理员在控制台做的配置变更(新增资产、修改权限、改密码、工单审批等);
  • 高危告警日志:触发命令过滤、越权访问、异常登录的风险告警。
《4》导出归档所有审计日志、会话录像支持批量导出,满足等保日志留存 6 个月以上合规要求,日志防篡改。

2.4、工作台

工作台是普通运维人员 / 普通用户的操作前台,只展示当前账号已被管理员授权的服务器、数据库、应用资产,是员工日常登录、操作服务器的唯一入口(不用记住服务器 IP、密码,统一在浏览器内安全登录所有授权设备,所有操作自动录像审计,实现集中、合规、可控的服务器运维)。

三、使用命令行登录JumpServer堡垒机

#直接使用命令行登录JumpServer堡垒机 #语法:ssh -p 2222 登录jumpserver堡垒机的用户@jumpserver堡垒机的IP ssh -p 2222 coffeemilk@192.168.1.119

需要专业的网站建设服务?

联系我们获取免费的网站建设咨询和方案报价,让我们帮助您实现业务目标

立即咨询