2022年9月19日,JumpServer開源堡壘機正式釋出v2.26.0版本。基于該版本的JumpServer一體機支援使用硬體裝置的國密加密。認證方面,新版本的JumpServer支援使用者自定義認證邏輯,滿足了一部分企業使用者使用獨特認證方式的需求。另外,在資料庫代理連接配接方面(KoKo元件),新增支援MongoDB SSL/TLS以及Redis SSL/TLS的連接配接。
X-Pack增強包方面,針對短信服務,JumpServer除了支援騰訊雲、阿裡雲和CMPP v2.0協定以外,這一版本還新增支援華為雲短信服務。
同時,在“雲同步”子產品中,JumpServer新增支援騰訊雲輕量應用伺服器(TencentCloud Lighthouse)以及天翼雲私有雲同步。此前,JumpServer在多雲資産納管方面已經實作了對阿裡雲、騰訊雲、華為雲、百度雲、京東雲、AWS(中國)、AWS(國際)、Azure(中國)、Azure(國際)、谷歌雲、VMware、青雲私有雲、華為私有雲、OpenStack、Nutanix、Fusion Compute、區域網路的支援,有效協助使用者實作對私有雲、公有雲資産的統一納管。
此外,在改密計劃子產品中,JumpServer新增支援MongoDB資料庫改密(暫不支援MongoDB SSL/TLS改密),滿足了使用者對資料庫密碼的相關安全政策要求。目前已支援改密的資料庫類型包括:MySQL、MariaDB、Oracle、PostgreSQL、SQL Server和MongoDB。
新增功能
1. JumpServer一體機支援使用硬體裝置的國密加密
基于JumpServer v2.26.0版本的JumpServer一體機支援使用硬體裝置的國密加密。國密算法是國家密碼管理局制定的自主可控的國産算法,實作了資料的安全傳輸。為了保證資料的安全傳輸,JumpServer一體機新增支援使用硬體裝置的國密加密。
2. 支援使用者自定義認證邏輯
在JumpServer v2.26.0版本中,支援使用者自定義認證邏輯。目前JumpServer已經支援的認證方式雖然衆多,但是有一部分企業仍會采用自己獨特的認證方式,這些認證方式不在業界标準之内。針對這一現實場景,JumpServer開放出一個标準接口來實作這個功能。
如果企業想在JumpServer服務中對接自己獨特的認證方式,可以按照以下配置流程進行操作:
① 在/opt/jumpserver/core/data目錄下建立一個auth目錄,其中包含兩個檔案:
■ __init__.py;
■ main.py;
② __init__.py檔案中不需要填寫任何内容;
③ 在main.py檔案中确定一個authentication方法(參考下面的main.py檔案,認證的邏輯一般由使用者方實作);
④ 在config.txt配置檔案中,配置AUTH_CUSTOM=true;
⑤在config.txt配置檔案中,配置AUTH_CUSTOM_FILE_MD5={main.py檔案的md5值};
⑥ 配置完成後,重新開機JumpServer服務。
注意事項:
■ 按照配置流程配置完成後啟動服務,再修改/opt/jumpserver/core/data/auth/main.py檔案,新的認證邏輯不會生效,需要再次更新AUTH_CUSTOM_FILE_MD5的值并重新開機服務(從安全考慮角度),新的認證邏輯才會生效;
■ 隻有AUTH_CUSTOM=true,并且AUTH_CUSTOM_FILE_MD5值正确的情況下,自定義認證方式才會被啟用。
main.py檔案代碼示例:
""" Customize the authentication module """
def authenticate(username, password, **kwargs):
""" Customize the authentication method
:param username: Login user username
:param password: Login user password
:param kwargs: Login user other auth-info
:returns:
The return value type is dict.
The return value must contain fields: `name`(str),`username`(str),`email`(str),
Optional fields: `is_active`(bool)
demo:
{
'name': 'JumpServer',
'username': 'jumpserver',
'email': '[email protected]',
'is_active': True
}
"""
return {
'name': 'JumpServer',
'username': 'jumpserver',
'email': '[email protected]',
'is_active': True
} 3. KoKo元件支援MongoDB SSL/TLS、Redis SSL/TLS連接配接
在JumpServer v2.26.0版本中,資料庫代理連接配接(KoKo元件)新增支援MongoDB SSL/TLS以及Redis SSL/TLS的連接配接。管理者通過選擇“應用管理”→“資料庫”,建立“MongoDB”或“Redis”資料庫,在建立表單上啟用SSL/TLS,并上傳證書。
▲ 圖1 建立MongoDB或Redis資料庫,開啟SSL/TLS,并上傳證書
▲ 圖2 測試連接配接MongoDB SSL/TLS,連接配接成功
▲ 圖3 測試連接配接Redis SSL/TLS,連接配接成功
4. 短信服務支援華為雲短信平台(X-Pack增強包内)
在JumpServer v2.26.0版本中,短信服務在騰訊雲、阿裡雲和CMPP v2.0協定的基礎上,新增支援華為雲短信平台。
管理者選擇“系統設定”→“短信設定”,選擇“華為雲”選項進行配置,并且啟用SMS。使用者在“個人資訊”頁面中,開啟多因子(MFA)認證,同時啟用短信認證。此後,使用者在二次認證登入時,即可使用華為雲短信服務進行短信驗證碼認證。
▲ 圖4 華為雲短信服務配置(X-Pack增強包内)
▲ 圖5 使用者在進行二次認證登入時,即可使用華為雲短信服務進行短信驗證碼認證
5. 雲同步支援騰訊雲輕量應用伺服器以及天翼雲私有雲同步(X-Pack增強包内)
在JumpServer v2.26.0版本中的“雲同步”子產品中,新增支援騰訊雲輕量應用伺服器(TencentCloud Lighthouse)以及天翼雲私有雲同步。
此前,JumpServer在多雲資産納管方面已經實作了對阿裡雲、騰訊雲、華為雲、百度雲、京東雲、AWS(中國)、AWS(國際)、Azure(中國)、Azure(國際)、谷歌雲、VMware、青雲私有雲、華為私有雲、OpenStack、Nutanix、Fusion Compute、區域網路的支援,有效協助使用者實作對私有雲、公有雲資産的統一納管。
管理者通過選擇“資産清單”→“雲同步”,建立“騰訊雲(輕量應用伺服器)”或“天翼雲”賬号,并建立同步任務,即可将符合IP規則的雲資産同步到JumpServer進行統一納管。
▲ 圖6 通過“資産清單”→“雲同步”,建立“騰訊雲(輕量應用伺服器)”賬号
▲ 圖7 建立騰訊雲輕量應用伺服器同步任務
▲ 圖8 同步成功後,在資産清單頁面可檢視同步過來的騰訊雲輕量應用伺服器資産
6. 改密計劃新增支援MongoDB資料庫改密(X-Pack增強包内)
在“改密計劃”子產品中,JumpServer新增支援MongoDB資料庫改密(暫不支援MongoDB SSL改密),滿足了使用者對資料庫密碼的相關安全政策要求。
目前JumpServer已支援改密的資料庫類型包括:MySQL、MariaDB、Oracle、PostgreSQL、SQL Server以及MongoDB。同時,在建立應用改密計劃時,JumpServer提供了三種密碼政策供管理者進行選擇。
▲ 圖9 選擇“賬号管理”→“改密計劃”進行應用改密,建立MongoDB改密計劃
▲圖10 待改密計劃任務觸發後,在應用改密計劃清單頁面即可檢視其執行次數
▲圖11 在“改密計劃詳情”頁面執行清單Tab中可檢視改密任務執行詳細日志
功能優化
■ 優化對OAuth 2.0認證協定的自定義登出功能;
■ 優化系統工具Ping或Telnet輸出結果使用UTF-8編碼;
■ 第三⽅⽤戶登入時,支援⽤戶登入規則;
■ 優化Web Terminal頁面,點選Logo跳轉至主界面;
■ 優化Luna頁面,重連資産時不重新整理整個頁面;
■ 優化賬号備份的執行速度(X-Pack增強包内);
■ 優化工單清單的搜尋過濾字段(X-Pack增強包内);
■ 通過Web GUI方式連接配接PostgreSQL資料庫時,支援自定義編碼(X-Pack增強包内)。
Bug修複
■ 修複線上會話監控頁面中布局部分被遮擋的問題;
■ 修複前端加密導緻頁面表單送出時偶爾報錯的問題;
■ 修複批量更新資産時,頁面加載速度慢的問題;
■ 修複配置MFA失效時間設定不生效的問題;
■ 修複設定了指令規則後,連接配接資産複制/粘貼多行指令執行時不能阻斷的問題(KoKo元件);
■ 修複資料庫指令過濾導緻會話連接配接斷開的問題(Magnus元件);
■ 修複服務長時間運作時會出現記憶體洩漏的問題(Magnus元件);
■ 修複通過Windows 2008 R2連接配接資産時,不能錄像的問題(Razor元件,X-Pack增強包内);
■ 修複通過Linux XRDP連接配接資産時,沒有錄像和服務停止的問題(Razor元件,X-Pack增強包内)。