jumpserver

  • 简介
  • 什么是堡垒机?
  • JumpServer 概述
  • JumpServer实现的功能
  • 1.身份认证(Authentication)
  • 2.账号管理(Account)
  • 3.授权控制(Authorization)
  • 4.安全审计(Audit)
  • 总结


简介

jumpserver用户如何连接mysql jumpserver介绍_运维

Jumpserver 是全球首款完全开源、符合 4A 规范(包含认证Authentication 、授权 Authorization、账号 Accounting 和审计 Auditing)的运维安全审计系统,Jumpserver 通过软件订阅服务或者软硬件一体机的方式,向企业级用户交付多云环境下更好用的堡垒机。

什么是堡垒机?

堡垒机是从跳板机(也叫前置机)的概念演变过来的。早在2000年左右,一些中大型企业为了能对运维人员的远程登录进行集中管理,会在机房部署一台跳板机。

jumpserver用户如何连接mysql jumpserver介绍_开源软件_02

跳板机(前置机)
跳板机其实就是一台unix/windows操作系统的服务器,所有运维人员都需要先远程登录跳板机,然后再从跳板机登录其他服务器中进行运维操作。
但跳板机并没有实现对运维人员操作行为的控制和审计,使用跳板机过程中还是会有误操作、违规操作导致的操作事故,一旦出现操作事故很难快速定位原因和责任人。此外,跳板机存在严重的安全风险,一旦跳板机系统被攻入,则将后端资源风险完全暴露无遗。

堡垒机
人们逐渐认识到跳板机的不足,进而需要更新、更好的安全技术理念来实现运维操作管理。需要一种能满足角色管理与授权审批、信息资源访问控制、操作记录和审计、系统变更和维护控制要求,并生成一些统计报表配合管理规范来不断提升IT内控的合规性的产品。
这就是堡垒机诞生的契机。

堡垒机设计理念
堡垒机主要是有4A理念。

  • 认证(Authen)
  • 授权(Authorize)
  • 账号(Account)
  • 审计(Audit)

JumpServer 概述

jumpserver用户如何连接mysql jumpserver介绍_开源软件_03

  • JumpServer是全球首款完全开源的堡垒机,使用GNU GPL v2.0开源协议,是符合4A的专业运维审计系统。
  • JumpServer使用Python\Django开发,遵循Web 2.0规范,配备了业界领先的web Terminal(web终端,即网页终端)解决方案。
  • JumpServer采用分布式结构,支持多机房跨区域部署,中心节点提供API(接口),各机房部署登录节点,可以横向扩展,并且没有并发限制。
  • JumpServer为互联网企业提供了认证、授权、审计、自动化运维等功能。
  • JumpServer通过调用各种应用程序的模块来实现各种功能。

JumpServer实现的功能

1.身份认证(Authentication)

jumpserver用户如何连接mysql jumpserver介绍_云计算_04

功能

简介

用户组、用户

添加组方便进行授权,用户是授权和登录的主体,用户可以加入用户组,进行批量管理。

资产组、资产、IDC

资产就是管理的机器(主机),主机信息简洁完整,用户自定义备注登录,支持自动获取主机的硬件信息,资产同样可以加入资产组,进行批量管理。

sudo、系统用户、授权规则

支持sudo用户授权,系统用户用于登录客户端,授权规则是将用户、资产和系统用户关联起来。

在线历史、登录历史、命令记录、上传下载记录

在线实时监控用户操作,统计用户命令记录,录像回放用户操作内容,阻断控制,详细记录用户上传和下载。

上传、下载

支持文件的上传和下载,实现方式是使用rz(上传)和sz(下载)命令。

默认设置

默认管理用户,设置包括用户密码密钥,默认信息为了方便添加资产而设计。

2.账号管理(Account)

jumpserver用户如何连接mysql jumpserver介绍_开源软件_05

功能

简介

集中账号

管理用户管理

系统用户管理

统一密码

资产密码托管

自动生成密码

自动推送密码

密码过期设置

批量改密(X-PACK)

定期批量改密

多种密码策略

多云纳管(X-PACK)

对私有云、公有云资产自动统一纳管

收集用户(X-PACK)

自定义任务定期收集主机用户

密码匣子(X-PACK)

统一对资产主机的用户密码进行查看、更新、测试操作

3.授权控制(Authorization)

jumpserver用户如何连接mysql jumpserver介绍_网络_06

功能

简介

多维授权

对用户、用户组、资产、资产节点、应用以及系统用户进行授权

资产授权

资产以树状结构进行展示

资产和节点均可灵活授权

节点内资产自动继承授权

子节点自动继承父节点授权

应用授权

实现更细粒度的应用级授权

MySQL 数据库应用、RemoteApp 远程应用(X-PACK)

动作授权

实现对授权资产的文件上传、下载以及连接动作的控制

时间授权

实现对授权资源使用时间段的限制

特权指令

实现对特权指令的使用(支持黑白名单)

命令过滤

实现对授权系统用户所执行的命令进行控制

文件传输

SFTP 文件上传/下载

文件管理

实现 Web SFTP 文件管理

工单管理(X-PACK)

支持对用户登录请求行为进行控制

组织管理(X-PACK)

实现多租户管理与权限隔离

4.安全审计(Audit)

jumpserver用户如何连接mysql jumpserver介绍_网络_07

功能

简介

操作审计

用户操作行为审计

会话审计

在线会话内容审计

历史会话内容审计

录像审计

支持对 Linux、Windows 等资产操作的录像进行回放审计

支持对 RemoteApp(X-PACK)、MySQL 等应用操作的录像进行回放审计

指令审计

支持对资产和应用等操作的命令进行审计

文件传输

可对文件的上传、下载记录进行审计

总结

JumpServer是一款符合企业实际应用的开源堡垒机软件,功能强大且广受欢迎。

附JumpServer案例:

jumpserver用户如何连接mysql jumpserver介绍_网络安全_08