使用堡垒机构建运维安全网关——JumpServer堡垒机的安装部署实践教程https://blog.csdn.net/xiaochenXIHUA/article/details/162695124
一、JumpServer堡垒机的基础配置
在浏览器打开输入JumpServer所在服务器的IP(如:192.168.1.119)然后输入账号(admin)与密码登录后即可打开JumpServer堡垒机的操作管理界面。
1.1、JumpServer管理面板简介
整个JumpServer堡垒机的操作管理界面分为三个板块【顶部】【左侧】【中间】,如下图所示:
| JumpServer操作管理界面布局 | 说明 |
|---|---|
| 顶部 | 主要包含:
|
| 左侧 | 左侧顶部箭头图标是可以选择不同的操作台; 左侧其余部分就是显示不同操作台的选项内容; |
| 中间 | 显示不同选项内容的详细界面 |
1.2、系统设置
在JumpServer堡垒机的管理界面右上角(⚙️图标)点击后就可以进入设置界面,需要设置的内容如下:
| JumpServer系统设置界面内容 | 说明 |
|---|---|
| 《1》基本设置 | 当前站点URL:填写JumpServer的访问地址(若在公网可使用域名),内网直接使用IP地址即可(如:http://192.168.1.119)。 |
| 《2》通知设置 | 邮箱:这个邮箱配置好了,后续的账户创建通知、密码修改登操作通知都可以通过这里配置的邮箱发送邮件给对应的人员。 SMTP配置为例说明:
这些基础内容配置好后,就可以点击【测试连接】按钮进行测试,测试通过后点击【提交】按钮保存好配置即可。 开启邮箱的SMTP服务获取授权码(QQ邮箱、163邮箱) |
| 《3》认证设置 | 基本设置:主要是配置忘记密码链接(即:填写用户登录页面忘记密码的 URL【如:http://192.168.1.119/core/auth/password/forget/previewing/】)后点击【提交】按钮保存; 集成:启用所需的可登录堡垒机的认证内容(社区版有:【AD/LDAP】【Passkey】【CAS】三种方式,默认都是禁用的,要使用则需要开启); |
| 《4》安全设置 | 认证安全:是否启用登录验证码、是否启用登录附加码、不活跃用户自动禁用(天)、异地登录通知;还有MFA的配置; 登录限制:可设置用户登录的失败次数、禁止登录的间隔;IP登录失败的次数、登录间隔、IP登录白名单、IP登录黑名单配置;是否仅一台设备登录。 密码安全:可配置用户密码的过期时间、不能设置近几次密码、用户过期token保留天数;同时还可对密码的复杂度与长度进行配置; 会话安全:是否可以分享会话、是否允许用户查看资产在线会话信息;是否开启水印。 |
| 《5》许可证 | 默认安装的是开源社区版,若需要变更为企业版,则需要在这里导入许可证 |
二、JumpServer堡垒机的日常使用
2.1、控制台
控制台是只有管理员角色可以做配置与管理的面板,在控制台中,可以进行【用户管理、资产管理、账号管理与授权管理】操作。
2.1.1、控制台—用户管理
用户管理包含【用户列表】【用户组】;先在用户组下点击【创建】按钮即可创建想要的用户组(如:开发组、运维组);之后点击用户列表点击【创建】按钮就可以创建想要创建的用户(根据界面提示内容填写即可,特别是红星标注的内容是必填的)如下图所示:
2.1.2、控制台—资产管理
资产:可以理解为企业的服务器、交换机、路由器、防火墙等硬件设备。
| 资产管理选项 | 说明 |
|---|---|
| 资产列表 | 资产树:默认是没有分类的,需要选中DEFAULT,然后点击鼠标右键选择【创建节点】然后选择新创建好的节点输入名称(如:开发主机、运维主机); 除了手动创建资产的方式,还可以使用模板导入(可以先导出,然后修改导出的模板中只用填写字段前带有星号的字段内容即可); |
| 网域列表 | 网域是为了解决部分环境(如:混合云)无法直接连接而新增的功能,原理是通过网关服务器进行跳转登录。 示例:假设阿里云有2台主机A和B,主机A有公网IP,堡垒机系统可直接连接A主机,但主机B无外网IP,主机A和主机B可以互通,这时候要在堡垒机中加入B主机,就需要网域功能【要使用网域功能,首先添加一个网关,这个网关就是从堡垒机到阿里云主机A的连接;保证堡垒机到阿里云主机A能够正常通信后,就可以在资产中添加阿里云B主机了,在添加B主机的时候,添加刚刚添加好的网域就行了】。 其实网域相当于一个中转机,通过这个中转机访问内网的服务器。 |
2.1.3、控制台—账号管理
账号管理包含【账号列表】【账号模板】;账号列表下可以添加资产里面的账号(账号又分为两种,【特权账号】和【普通账号】,特权用户一般是root用户,具有管理员权限,普通用户可以是资产中已经存在的用户,也可以是资产中不存在的用户,但可以通过特权用户自动创建)。
可以先创建账号模板(即:针对不同类型的主机拥有相同的账号与密码的就可以在模板中创建出来复用【勾选了“特权账号”就表示该账号在资产中是属于系统管理员;否则就是普通账号】);
然后就可以在账号列表中针对不同的资源、资源组配置添加上指定的账户(即:实现资产账号的批量创建)如下图所示:
2.1.4、控制台—授权管理
授权管理包含【资产授权】【访问控制】;
《1》资产授权表示给单个资产或资产组分配给指定用户、多个用户或用户组;并且还可以指定对这个资产的
- 账号:可选择:所有账号、指定账号、排除账号、无、虚拟账号;
- 协议:可选择:全部协议、指定协议;
- 动作:可配置:连接、文件传输、剪贴板、分享四个操作;
- 其他设置:是否激活、开始日期、结束日期;
如下图所示:
《2》访问控制则可以控制命令能否发送到资产上,根据设定的规则某些命令可以被放行到资产执行,而某些命令则被禁止发送到资产上。
2.1.5、其它
其它下面只有【标签列表】,这个界面就是可以新增标签,设置标签数值与设置颜色,如下图所示:
2.2、PAM—特权账号管理
PAM ( Privileged Account Management) 特权账号管理,是JumpServer堡垒机内置的特权账号全生命周期管理模块。不仅能够将人员通过堡垒机操作资产,记录操作,更重要的是新增了账号密码集中管控能力,把所有服务器、数据库、交换机的 root/Administrator 等高权限账号统一管起来,实现「事前管控、事中审计、事后溯源」一体化安全方案。
一句话总结:JumpServer PAM 就是内置在堡垒机里的特权账号密码保险箱 + 自动化账号生命周期管理平台,专门管控服务器、数据库的高权限管理员账号,是企业等保合规、防止账号泄露的核心模块。
| JumpServer PAM的标准能力 | 说明 |
|---|---|
| 《1》账号自动发现 | 批量扫描 Linux/Windows/ 数据库 / 网络设备,自动抓取资产上所有本地账号、特权账号,统一录入平台,解决 “不知道服务器有哪些管理员账号” 的盲区问题。 |
| 《2》账号批量推送 | 在 JumpServer 后台创建账号,一键批量下发到多台资产自动创建用户、配置权限,不用手动登录每台机器操作。 |
| 《3》账号备份与密码保险箱 | 所有资产特权密码统一加密存储在平台,运维人员看不到明文密码,只能通过平台一键代登资产;支持双人审批解锁高敏感账号密码。 |
| 《4》自动批量改密 | 定时 / 手动批量轮换所有资产 root、数据库管理员密码,杜绝长期不变的弱密码、共享密码泄露风险。 |
| 《5》账号风险检测 | 自动扫描弱密码、长期闲置特权账号、多人共享账号、高危 sudo 权限,生成风险报表告警。 |
| 《6》应用集成与临时授权(JIT) | 按需临时授予特权账号权限,到期自动回收;支持工单审批、第三方身份系统联动。 |
| JumpServer PAM 解决的运维安全痛点 |
|---|
|
2.3、审计台
审计台是审计员专用视图,只提供查看、监控、溯源日志功能,无任何配置、修改、授权权限,只能看不能改,满足等保审计分离要求【全平台操作日志、会话录像、登录行为、文件传输的统一审计查看平台,用于事中实时监控、事后事件溯源、合规审计取证】记录所有人操作行为(事后追溯、实时监控)。
| 审计台功能模块 | 说明 |
|---|---|
| 《1》仪表盘 | 是总览看板:
|
| 《2》会话审计 | 1-在线会话(事中实时监控)
2-历史会话(事后追溯) 所有结束的运维连接永久存档:
3-命令记录 抓取所有用户在资产上执行的每一条命令:
4-文件传输记录 记录所有 SFTP / 文件上传下载行为:
|
| 《3》日志审计 | 记录平台的登录行为:
|
| 《4》导出归档 | 所有审计日志、会话录像支持批量导出,满足等保日志留存 6 个月以上合规要求,日志防篡改。 |
2.4、工作台
工作台是普通运维人员 / 普通用户的操作前台,只展示当前账号已被管理员授权的服务器、数据库、应用资产,是员工日常登录、操作服务器的唯一入口(不用记住服务器 IP、密码,统一在浏览器内安全登录所有授权设备,所有操作自动录像审计,实现集中、合规、可控的服务器运维)。
三、使用命令行登录JumpServer堡垒机
#直接使用命令行登录JumpServer堡垒机 #语法:ssh -p 2222 登录jumpserver堡垒机的用户@jumpserver堡垒机的IP ssh -p 2222 coffeemilk@192.168.1.119