2023年6月19日,JumpServer開源堡壘機正式釋出v3.4.0版本。在這一版本中,JumpServer新增支援多種資源選擇政策,包括使用者登入、指令過濾、資産登入和連接配接方式;支援記錄和審計上傳/下載下傳的檔案内容,進一步提升系統的安全性保障。同時,支援通過資産授權規則控制檔案的删除動作,并且支援将所有使用者一鍵加入使用者組。
資産登入方面,新版本支援對使用者登入IP和登入時段進行控制,單使用者可以同時打開連接配接多個Web資産。遠端應用方面,通過Chrome遠端應用連接配接資産時,支援隐藏位址欄資訊,并且支援DBeaver遠端應用通過網關連接配接資料庫資産。另外,作業中心支援配置指令黑名單清單,有效規避輸入危險指令、錯誤指令等情況。
X-Pack增強包方面,新版JumpServer支援控制使用者連接配接資産的方式,并支援自定義短信認證服務,支援使用者對接自己的短信平台。
新增功能
1. 支援多種資源選擇政策(使用者登入、指令過濾、資産登入和連接配接方式)
在JumpServer v3.4.0版本中,針對一些需要比對的場景,例如使用者登入、指令過濾、資産登入、連接配接方式等場景,我們更新了單調的輸入框插件,修改為支援多種資源選擇政策的複合選擇輸入框。
▲圖1 JumpServer支援多種資源選擇政策
2. 支援記錄和審計上傳/下載下傳的檔案内容
在JumpServer v3.4.0版本中,新增支援對檔案上傳/下載下傳的檔案審計功能。
審計員可以在“會話審計”菜單下的“檔案傳輸”頁面中檢視具體上傳/下載下傳的檔案内容。系統預設備份檔案的大小門檻值為100MB,審計員可以在config.txt配置檔案中修改參數FTP_FILE_MAX_STORE,以實作門檻值的更改,配置機關為MB(兆)。當此配置項的值小于或等于0時,不進行檔案備份。
▲圖2 支援記錄和審計上傳/下載下傳的檔案内容
3. 支援通過資産授權規則控制檔案的删除動作
在JumpServer v3.4.0版本中,授權規則的動作新增了控制“删除”動作的能力。這樣一來,管理者可以更加靈活地處理對使用者的權限控制。注意:該删除動作隻針對SFTP、Web SFTP提供支援,Windows上的删除動作暫不支援 。
▲圖3 支援通過資産授權規則控制檔案的删除動作
4. 支援将所有使用者一鍵加入使用者組
在JumpServer v3.4.0版本中,管理者可以一鍵将所有使用者加入到指定使用者組中,進而進一步提升工作效率。
▲圖4 支援将所有使用者一鍵加入使用者組
5. 資産登入方面,支援對使用者登入IP和登入時段進行控制
在JumpServer v3.4.0版本中,針對資産登入的控制,我們和“使用者登入”控制政策保持一緻,增加了對某個/某組IP和登入時間段的限制通路控制,加強了管理者對某些特定資産的安全保護。
▲圖5 支援對登入IP和登入時段進行控制
6. 支援單使用者同時打開并連接配接多個Web資産
在JumpServer v3.4.0版本中,單個使用者可以同時打開并連接配接多個Web資産,提高了連接配接資産的效率。
7. 通過Chrome遠端應用連接配接資産時,支援隐藏位址欄資訊
在JumpServer v3.4.0版本中,管理者可以隐藏使用者連接配接Chrome遠端應用時所顯示的位址欄資訊,防止使用者通過單個會話跳轉到其他頁面進行操作。
前提條件為:應用釋出機設定中開啟“已有RDS許可證”選項,并禁用“RDS 單使用者單會話”選項,同時重新部署釋出機。
▲圖6 通過Chrome遠端應用連接配接資産時,支援隐藏位址欄資訊
8. 作業中心支援配置指令黑名單清單
在JumpServer v3.4.0版本中,作用中心新增指令黑名單清單,管理者将某些指令配置到黑名單清單中後,執行任務時将會過濾掉黑名單中的指令,有效規避輸入危險指令、錯誤指令等情況的出現。
▲圖7 作業中心支援配置指令黑名單清單
9. 支援DBeaver遠端應用通過網關連接配接資料庫資産
在JumpServer v3.4.0版本中,通過DBeaver遠端應用連接配接資産時,支援使用網域的方式連接配接指定的資産。
10. 支援控制使用者連接配接資産的方式(X-Pack增強包内)
JumpServer連接配接資産的方式是多樣的,包括通過指令行、圖形界面、用戶端等方式連接配接。
JumpServer v3.4.0版本支援對資産的連接配接方式進行控制,管理者可以配置使用人員具體可以使用哪些連接配接元件進行資産連接配接操作。
▲圖8 支援控制使用者連接配接資産的方式(X-Pack增強包内)
11. 支援自定義短信認證服務(X-Pack增強包内)
在JumpServer v3.4.0版本中,我們支援自定義短信認證服務,使用者可以在配置界面中對接自己的短信平台,并通過http/https協定的方式發送短信。
▲圖9 支援自定義短信認證服務(X-Pack增強包内)
功能優化
■ 優化PC端登入企業微信用戶端時,不需要手機掃碼即可成功登入JumpServer (感謝社群開發者X-Mars的貢獻);
■ 優化Select2資源選擇元件的顯示問題(超過10條即顯示數量);
■ Web Terminal頁面資産連接配接彈窗中增加連接配接參數的選項;
■ “會話分享”連結限制同一使用者隻能使用一次;
■ 賬号推送支援設定Home目錄;
■ 資産清單搜尋支援備注模糊搜尋;
■ 優化删除全部使用者時的提示資訊;
■ 遠端應用釋出機平台支援WinRM協定;
■ 優化服務端點Host字段的幫助資訊,且禁止修改預設服務端點的Host字段;
■ LDAP測試可連接配接性使用異步方式進行調用,點選“測試”按鈕後,背景進行任務執行,不影響前台頁面操作;
■ 優化資産授權規則中的動作字段說明;
■ 優化系統設定中字段的名稱顯示(包含時間機關);
■ 優化定時檢測指令和錄像存儲的可連接配接性,并發送消息通知;
■ 優化删除遠端應用時,自動删除同步建立的自定義資産平台;
■ 優化Web資産的腳本代填功能,增加Sleep等待指令;
■ 資産平台詳情添加資産清單頁(隻顯示目前組織下的資産);
■ KoKo元件開啟VSCode模式後,支援使用SCP傳輸檔案;
■ KoKo元件連接配接Ubuntu系統時,支援使用sudo方式切換;
■ LDAP同步設定支援将使用者同步到多個組織(X-Pack增強包内);
■ 具有超級工單權限的使用者申請工單時,可以指定申請人(X-Pack增強包内);
■ 短信服務配置中,測試手機号支援選擇區号(X-Pack增強包内)。
Bug修複
■ 修複資産賬号導入報錯的問題;
■ 修複終端端點使用資産标簽比對機制時,後端服務報錯的問題;
■ 修複導入遠端應用時,自動建立的自定義平台沒有設定自動化字段的問題;
■ 修複使用者使用MFA登入認證輸入錯誤時,沒有記錄具體錯誤資訊的問題;
■ 修複禁用平台的賬号切換功能中曆史建立的切換賬号依然可以正常切換的問題;
■ 修複密碼輸入框不顯示密碼規則的問題;
■ 修複前端頁面不顯示JSON格式參數的問題;
■ 修複建立資産指定“模闆添加”選項後,沒有自動關聯切換自賬号的問題;
■ 修複作業中心中執行任務偶爾報錯的問題;
■ 修複系統管理者之間不能互相更新的問題;
■ 修複作業中心Playbook檔案樹無法右鍵點選的問題;
■ 修複從JumpServer v2版本更新到v3版本時,一些資産沒有節點的問題;
■ 修複賬号改密提示失敗,但實際上成功的問題(X-Pack增強包内);
■ 修複全局組織下檢視賬号詳情報錯的問題(X-Pack增強包内);
■ 修複建立雲賬号無法添加認證資訊的問題(X-Pack增強包内);
■ 修複同步阿裡雲資産時,IP位址為0.0.0.0的問題(延時綁定彈性公網IP的情況)(X-Pack增強包内)。