jumpserver
- 简介
- 什么是堡垒机?
- JumpServer 概述
- JumpServer实现的功能
- 1.身份认证(Authentication)
- 2.账号管理(Account)
- 3.授权控制(Authorization)
- 4.安全审计(Audit)
- 总结
简介
Jumpserver 是全球首款完全开源、符合 4A 规范(包含认证Authentication 、授权 Authorization、账号 Accounting 和审计 Auditing)的运维安全审计系统,Jumpserver 通过软件订阅服务或者软硬件一体机的方式,向企业级用户交付多云环境下更好用的堡垒机。
什么是堡垒机?
堡垒机是从跳板机(也叫前置机)的概念演变过来的。早在2000年左右,一些中大型企业为了能对运维人员的远程登录进行集中管理,会在机房部署一台跳板机。
跳板机(前置机)
跳板机其实就是一台unix/windows操作系统的服务器,所有运维人员都需要先远程登录跳板机,然后再从跳板机登录其他服务器中进行运维操作。
但跳板机并没有实现对运维人员操作行为的控制和审计,使用跳板机过程中还是会有误操作、违规操作导致的操作事故,一旦出现操作事故很难快速定位原因和责任人。此外,跳板机存在严重的安全风险,一旦跳板机系统被攻入,则将后端资源风险完全暴露无遗。
堡垒机
人们逐渐认识到跳板机的不足,进而需要更新、更好的安全技术理念来实现运维操作管理。需要一种能满足角色管理与授权审批、信息资源访问控制、操作记录和审计、系统变更和维护控制要求,并生成一些统计报表配合管理规范来不断提升IT内控的合规性的产品。
这就是堡垒机诞生的契机。
堡垒机设计理念
堡垒机主要是有4A理念。
- 认证(Authen)
- 授权(Authorize)
- 账号(Account)
- 审计(Audit)
JumpServer 概述
- JumpServer是全球首款完全开源的堡垒机,使用GNU GPL v2.0开源协议,是符合4A的专业运维审计系统。
- JumpServer使用Python\Django开发,遵循Web 2.0规范,配备了业界领先的web Terminal(web终端,即网页终端)解决方案。
- JumpServer采用分布式结构,支持多机房跨区域部署,中心节点提供API(接口),各机房部署登录节点,可以横向扩展,并且没有并发限制。
- JumpServer为互联网企业提供了认证、授权、审计、自动化运维等功能。
- JumpServer通过调用各种应用程序的模块来实现各种功能。
JumpServer实现的功能
1.身份认证(Authentication)
功能 | 简介 |
用户组、用户 | 添加组方便进行授权,用户是授权和登录的主体,用户可以加入用户组,进行批量管理。 |
资产组、资产、IDC | 资产就是管理的机器(主机),主机信息简洁完整,用户自定义备注登录,支持自动获取主机的硬件信息,资产同样可以加入资产组,进行批量管理。 |
sudo、系统用户、授权规则 | 支持sudo用户授权,系统用户用于登录客户端,授权规则是将用户、资产和系统用户关联起来。 |
在线历史、登录历史、命令记录、上传下载记录 | 在线实时监控用户操作,统计用户命令记录,录像回放用户操作内容,阻断控制,详细记录用户上传和下载。 |
上传、下载 | 支持文件的上传和下载,实现方式是使用rz(上传)和sz(下载)命令。 |
默认设置 | 默认管理用户,设置包括用户密码密钥,默认信息为了方便添加资产而设计。 |
2.账号管理(Account)
功能 | 简介 |
集中账号 | 管理用户管理 |
系统用户管理 | |
统一密码 | 资产密码托管 |
自动生成密码 | |
自动推送密码 | |
密码过期设置 | |
批量改密(X-PACK) | 定期批量改密 |
多种密码策略 | |
多云纳管(X-PACK) | 对私有云、公有云资产自动统一纳管 |
收集用户(X-PACK) | 自定义任务定期收集主机用户 |
密码匣子(X-PACK) | 统一对资产主机的用户密码进行查看、更新、测试操作 |
3.授权控制(Authorization)
功能 | 简介 |
多维授权 | 对用户、用户组、资产、资产节点、应用以及系统用户进行授权 |
资产授权 | 资产以树状结构进行展示 |
资产和节点均可灵活授权 | |
节点内资产自动继承授权 | |
子节点自动继承父节点授权 | |
应用授权 | 实现更细粒度的应用级授权 |
MySQL 数据库应用、RemoteApp 远程应用(X-PACK) | |
动作授权 | 实现对授权资产的文件上传、下载以及连接动作的控制 |
时间授权 | 实现对授权资源使用时间段的限制 |
特权指令 | 实现对特权指令的使用(支持黑白名单) |
命令过滤 | 实现对授权系统用户所执行的命令进行控制 |
文件传输 | SFTP 文件上传/下载 |
文件管理 | 实现 Web SFTP 文件管理 |
工单管理(X-PACK) | 支持对用户登录请求行为进行控制 |
组织管理(X-PACK) | 实现多租户管理与权限隔离 |
4.安全审计(Audit)
功能 | 简介 |
操作审计 | 用户操作行为审计 |
会话审计 | 在线会话内容审计 |
历史会话内容审计 | |
录像审计 | 支持对 Linux、Windows 等资产操作的录像进行回放审计 |
支持对 RemoteApp(X-PACK)、MySQL 等应用操作的录像进行回放审计 | |
指令审计 | 支持对资产和应用等操作的命令进行审计 |
文件传输 | 可对文件的上传、下载记录进行审计 |
总结
JumpServer是一款符合企业实际应用的开源堡垒机软件,功能强大且广受欢迎。
附JumpServer案例:
