22K+ Stars 国产开源堡垒机,开箱即用!
小编今天为大家推荐一款广受欢迎的国产开源堡垒机项目:JumpServer,符合 4A 规范的专业运维安全审计系统,旨在帮助企业以更安全的方式管控和登录各种类型的资产。
JumpServer 支持事前授权、事中监察、事后审计,满足等保合规要求,运维必备神器!
JumpServer 使用 GNU GPL v2.0 开源协议,使用 Python 的 Django 框架开发,遵循 Web 2.0 规范,配备业界领先的 Web Terminal 解决方案,交互界面美观、用户体验好。
截至目前,该项目已在 GitHub 社区获得了 22.6K Stars,5.2K forks。广受开发者的欢迎!
✨亮点
开源零门槛,线上快速获取和安装 多云支持,一套系统,同时管理不同云上资产 云端存储,审计录像存放在云端,永不丢失 无插件,仅需浏览器,极致 Web Terminal 使用体验 多租户,一套系统,多个子公司和部门同时使用 分布式,轻松支持大规模并发访问
🎨️ 开源版的功能支持
登录认证,支持LDAP / AD 认证;CAS 认证;
MFA 认证,支持OTP 认证;
登录限制,用户登录来源 IP 受管理员控制(支持黑 / 白名单);自定义控制用户登录时间段;
多维度授权,支持对用户、用户组、资产、资产节点以及账号进行授权;
资产授权,资产以树状结构进行展示;资产和节点均可灵活授权;节点内资产自动继承授权;子节点自动继承父节点授权;
动作授权,实现对授权资产的文件上传、下载以及连接动作的控制;支持 RDP 协议剪贴板复制 / 粘贴控制(Windows 资产);
时间授权,实现对授权资产使用时间段的限制;
命令过滤,实现对授权账号所执行的命令进行控制;
文件管理,支持 SFTP 文件上传 / 下载;支持 Web SFTP 文件管理;
账号列表,支持查看所有账号信息;
账号模版,针对用户名和认证信息相同的账号,可以抽象为一个账号模版,快速和资产进行关联并生成账号;
账号推送,自定义任务定期推送账号到资产;
会话审计,⽀持在线会话内容审计;历史会话内容审计;支持会话附加水印信息;
录像审计,支持对资产操作的录像进行回放审计;支持将审计录像上传至公有云;
命令审计,支持对资产操作的命令进⾏审计;支持高危命令告警;
⽂件传输,⽀持对⽂件的上传 / 下载记录进⾏审计;
实时监控,支持管理员 / 审计员实时监控用户的操作行为,并可进行实时终断,以提升用户操作的安全性;
登录日志,支持对用户的登录行为进行审计;支持将审计信息同步至 Syslog 日志系统;
操作日志,支持对用户的操作行为进行审计;
改密日志,支持对用户修改密码的行为进行审计;
作业日志,支持对自动化任务的执行记录进行审计;
活动日志,支持按照时间线记录每一种资源的活动日志;
🧰 系统架构
Jumpserver 采纳分布式架构,支持多机房跨区域部署,中心节点提供 API,各机房部署登录节点,可横向扩展、无并发访问限制。
Core 组件是 JumpServer 的核心组件,其他组件依赖此组件启动。
Koko 是服务于类 Unix 资产平台的组件,通过 SSH、Telnet 协议提供字符型连接。
Lion 是服务于 Windows 资产平台的组件,用于 Web 端访问 Windows 资产。
Omnidb 是服务于数据库的组件,用于可视化界面纳管数据库。
Razor 是服务于 RDP 协议组件,该组件主要功能是通过 JumpServer Client 方式访问 Windows 资产。
Magnus 是服务于数据库的组件,用于通过客户端代理访问数据库。
Celery 是处理异步任务的组件,用于执行 JumpServer 相关的自动化任务。
🐞 部署安装
支持主流 Linux 发行版本(基于 Debian / RedHat,包括国产操作系统) Gentoo / Arch Linux 可以通过源码安装,源码地址:
https://github.com/jumpserver/jumpserver
如用于生产环境,推荐使用 离线安装包 进行部署,离线安装包下载地址:
https://community.fit2cloud.com/#/download/jumpserver/v3-9-3
小编这里演示使用在线方式安装,仅需两步:
2、以 root 用户执行如下命令一键安装 JumpServer
curl -sSL https://resource.fit2cloud.com/jumpserver/jumpserver/releases/latest/download/quick_start.sh | bashcurl -sSL https://github.com/jumpserver/jumpserver/releases/latest/download/quick_start.sh | bash首次安装后需要修改配置文件,定义 DOMAINS 字段后即可正常使用。
需要使用 IP 地址来访问 JumpServer 的场景,可以根据自己的 IP 类型来填写 config.txt 配置文件中 DOMAINS 字段为公网 IP 还是内网 IP。
# 打开config.txt 配置文件,定义 DOMAINS 字段vim /opt/jumpserver/config/config.txt
# 可信任 DOMAINS 定义,# 定义可信任的访问 IP, 请根据实际情况修改, 如果是公网 IP 请改成对应的公网 IP,# DOMAINS="demo.jumpserver.org" # 使用域名访问# DOMAINS="172.17.200.191" # 使用 IP 访问# DOMAINS="demo.jumpserver.org,172.17.200.191" # 使用 IP 和 域名一起访问DOMAINS=默认的密码: admin
UI界面功能介绍可参考文档:
🔥 视频操作讲解
其他的更多功能宝子们可以参照官方文档,一步步操作,包括资产管理、数据库应用、授权规则、审计、系统基础设置等。
附项目的链接:
官网:
https://jumpserver.org/index.html
体验版:https://demo.jumpserver.org/core/auth/login
最佳实践:
https://docs.jumpserver.org/zh/v3/best_practices
往期推荐: