堡壘機是什麼?
人類并不偏愛風險,運維也是如此,運維偏愛效率,但是風險始終如影随形,好比硬币的正反面,風險和效率需要一個完美的平衡,堡壘機就是平衡效率的風險工具。
安全永遠是業務的一個屬性,國家安全是國家業務的屬性,網絡安全是網絡業務的屬性,運維安全是運維業務的屬性,而對運維這個業務的深刻了解決定了堡壘機是什麼!
關于堡壘機哲學史 | 三個問題:堡壘機從哪裡來?到哪裡去?是什麼?
https://blog.csdn.net/qizhitech/article/details/91833234
JumpServer
JumpServer 是全球首款開源的堡壘機,使用 GNU GPL v2.0 開源協定,是符合 4A 規範的運維安全審計系統。
JumpServer 使用 Python / Django 為主進行開發,遵循 Web 2.0 規範,配備了業界領先的 Web Terminal 方案,互動界面美觀、使用者體驗好。
JumpServer 采納分布式架構,支援多機房跨區域部署,支援橫向擴充,無資産數量及并發限制。
核心功能
身份認證 Authentication
支援 LDAP / AD,支援 OpenID,支援 MFA 等
賬号管理 Account
支援賬号集中管理、密碼統一管理、資産使用者收集等
授權控制 Authorization
支援資産授權、應用授權、動作授權、時間授權、特權授權等
安全審計 Audit
支援操作審計、會話審計、錄像審計、指令審計和檔案傳輸審計等
JumpServer 部署
JumpServer 提供多種部署方式,如極速部署,容器部署,分布式部署,Ansible部署。初次使用建議使用極速部署以熟悉其内部各個元件及配置參數。
JumpServer官方文檔
https://jumpserver.readthedocs.io/zh/master/install/setup_by_fast/
JumpServer 1.5.8 極速安裝視訊
https://www.bilibili.com/video/bv19a4y1i7i9
通路 JumpServer Web
JumpServer 使用Nginx服務釋出web應用,預設使用http協定,生産環境建議使用https協定并開啟雙因子認證。
http://ip
預設使用者名/密碼:admin/admin
開啟多因子認證:Google Authenticator
JumpServer 架構圖
JumpServer 插件
Jumpserver 管理背景,是核心元件(Core), 使用 Django Class Based View 風格開發,支援 Restful API。
Coco
Coco為 SSH Server 和 Web Terminal Server。使用者可以通過使用自己的賬戶登入 SSH 或者 Web Terminal直接通路被授權的資産。不需要知道伺服器的賬戶和密碼,現在 Coco 已經被 koko 取代。
Luna
luna 為 Web Terminal Server 前端頁面,使用者使用 Web Terminal 方式登入時所需要的插件。
Guacamole
Guacamole是一個開源項目,為遠端桌面提供解決方案。,Jumpserver 使用其元件實作 RDP和VNC 功能,Jumpserver 并沒有修改其代碼而是添加了額外的插件,支援 Jumpserver 調用。
JumpServer元件及其監聽端口
Jumpserver:8080/tcp
Redis:6379/tcp
MySQL/Mariadb:3306/tcp
Nginx:80/tcp
Koko:SSH為2222/tcp,Web Terminal為5000/tcp
Guacamole:8081/tcp
koko和guacamole插件驗證
koko和guacamole插件使用docker部署,驗證方式如下:
docker images
docker ps
打開“會話管理”->“終端管理”,由于裝了koko和guacamole,故正常情況下會有兩個終端裝置,若沒有出現,則koko和guacamole可能安裝沒成功,如下圖所示。
JumpServer 維護
JumpServer 安裝腳本
/opt/setuptools/scripts