jumpserver的官网:https://www.jumpserver.org/

jumpserver开源文档 官网:https://docs.jumpserver.org/zh/master/

jumpserver 的GitHub源代码的查询及关注:https://github.com/jumpserver/jumpserver

一、基本内容介绍

0.堡垒机

1)为什么使用堡垒机

jumpserver之基本介绍_堡垒机

企业完成国家等保的要求

jumpserver之基本介绍_堡垒机_02

 

 2)使用对象

jumpserver之基本介绍_Web_03

3) 堡垒机需要具备的四个核心能力

4) 堡垒机的历史

 

 v2.0之后,重构了前段,更好地做好了前后端的分离。

1.基本介绍

JumpServer 是全球首款开源的堡垒机,使用 GNU GPL v2.0 开源协议,是符合 4A 规范的运维安全审计系统。

JumpServer 使用 Python / Django 为主进行开发,遵循 Web 2.0 规范,配备了业界领先的 Web Terminal 方案,交互界面美观、用户体验好。

JumpServer 采纳分布式架构,支持多机房跨区域部署,支持横向扩展,无资产数量及并发限制。

2.页面展示

jumpserver之基本介绍_堡垒机_04

 

 3.特色优势

  • 开源: 零门槛,线上快速获取和安装;
  • 分布式: 轻松支持大规模并发访问;
  • 无插件: 仅需浏览器,极致的 Web Terminal 使用体验;
  • 多云支持: 一套系统,同时管理不同云上面的资产;
  • 云端存储: 审计录像云端存储,永不丢失;
  • 多租户: 一套系统,多个子公司和部门同时使用;
  • 多应用支持: 数据库,Windows远程应用,Kubernetes。

1)完全解耦的分层次,分布式架构

jumpserver之基本介绍_Web_05

 

 2)针对资产多,并发大的场景

jumpserver之基本介绍_堡垒机_06

 

 3)分散资产的部署方式

 

 

4.安全建议

  • Jumpserver 对外需要开放 80 443 和 2222 端口
  • JumpServer 所在服务器操作系统应该升级到最新
  • JumpServer 依赖的软件升级到最新版本
  • 服务器、数据库、redis 等依赖组件请勿使用弱口令密码
  • 不推荐关闭 firewalld 和 selinux
  • 只开放必要的端口,必要的话请通过 vpn 或者 sslvpn 访问 JumpServer
  • 如果必须开放到外网使用,你应该部署 web 应用防火墙做安全过滤
  • 请部署 ssl 证书通过 https 协议来访问 JumpServer
  • JumpServer 不要使用弱口令密码,应立即改掉默认的 admin 密码
  • 推荐开启 MFA 功能,避免因密码泄露导致的安全问题

5.功能列表

 

身份认证

Authentication

登录认证

资源统一登录与认证

LDAP/AD 认证

RADIUS 认证

OpenID 认证(实现单点登录)

CAS 认证 (实现单点登录)

MFA认证

MFA 二次认证(Google Authenticator)

RADIUS 二次认证

登录复核

用户登录行为受管理员的监管与控制

账号管理

Account

集中账号

管理用户管理

系统用户管理

统一密码

资产密码托管

自动生成密码

自动推送密码

密码过期设置

批量改密

定期批量改密

多种密码策略

多云纳管

对私有云、公有云资产自动统一纳管

收集用户

自定义任务定期收集主机用户

密码匣子

统一对资产主机的用户密码进行查看、更新、测试操作

授权控制

Authorization

多维授权

对用户、用户组、资产、资产节点、应用以及系统用户进行授权

资产授权

资产以树状结构进行展示

资产和节点均可灵活授权

节点内资产自动继承授权

子节点自动继承父节点授权

应用授权

实现更细粒度的应用级授权

MySQL 数据库应用、RemoteApp 远程应用

动作授权

实现对授权资产的文件上传、下载以及连接动作的控制

时间授权

实现对授权资源使用时间段的限制

特权指令

实现对特权指令的使用(支持黑白名单)

命令过滤

实现对授权系统用户所执行的命令进行控制

文件传输

SFTP 文件上传/下载

文件管理

实现 Web SFTP 文件管理

工单管理

支持对用户登录请求行为进行控制

组织管理

实现多租户管理与权限隔离

安全审计

Audit

操作审计

用户操作行为审计

会话审计

在线会话内容审计

历史会话内容审计

录像审计

支持对 Linux、Windows 等资产操作的录像进行回放审计

支持对 RemoteApp、MySQL 等应用操作的录像进行回放审计

指令审计

支持对资产和应用等操作的命令进行审计

文件传输

可对文件的上传、下载记录进行审计

数据库审计

Database

连接方式

命令方式

Web UI方式

支持的数据库

MySQL

Oracle

MariaDB

PostgreSQL

功能亮点

语法高亮

SQL格式化

支持快捷键

支持选中执行

SQL历史查询

支持页面创建 DB, TABLE

会话审计

命令记录

录像回放

6.组件介绍

jumpserver之基本介绍_数据库_07

 

 core:jumpserver的核心组件

Lina:前段,负责压面的展示

Luna:现在是web terminal的前段,后续可能会被Lina替代。

CoCo/Koko:连接linux相关的资产,将信息反馈给Lina  Luna及core进行使用。koko及基于go语言开发的

guacamole:windows连接的二进制的组件,是Apache开发的一个项目

7.jumpserver的核心架构说明

jumpserver之基本介绍_数据库_08

 

 8.使用的企业