一、概述

随着企事业单位IT系统的不断发展，网络规模和设备数量迅速扩大，日趋复杂的IT系统与不同背景的运维人员的行为给信息系统安全带来较大风险。主要面临以下问题：

• 多个用户使用同一个账号。
• 一个用户使用多个账号。
• 缺少统一的权限管理平台。
• 无法制定统一的访问审计策略。
• 传统的网络安全审计系统无法对维护人员经常使用的ssh,RDP等操作进行审计。

针对以上问题开源堡垒机jumpserver解决了你的烦恼。下面详解其部署使用过程。

堡垒机首图

二、安装过程

2.1 生成随机加密秘钥, 勿外泄

$ if [ "$SECRET_KEY" = "" ]; then SECRET_KEY=`cat /dev/urandom | tr -dc A-Za-z0-9 | head -c 50`; echo "SECRET_KEY=$SECRET_KEY" >> ~/.bashrc; echo $SECRET_KEY; else echo $SECRET_KEY; fi
​
$ if [ "$BOOTSTRAP_TOKEN" = "" ]; then BOOTSTRAP_TOKEN=`cat /dev/urandom | tr -dc A-Za-z0-9 | head -c 16`; echo "BOOTSTRAP_TOKEN=$BOOTSTRAP_TOKEN" >> ~/.bashrc; echo $BOOTSTRAP_TOKEN; else echo $BOOTSTRAP_TOKEN; fi
​

2.2 创建外置数据库

2.2.1 外置数据库要求

• mysql 版本需要大于等于 5.6
• mariadb 版本需要大于等于 5.5.6
• 数据库编码要求 uft8

2.2.2 创建数据库

# mysql
$ create database jumpserver default charset 'utf8';
$ grant all on jumpserver.* to 'jumpserver'@'%' identified by 'weakPassword';

2.3 安装redis（可选）

具体过程略

2.4 安装jumpserver

$ docker run --name jms_all -d 
 -v /opt/jumpserver:/opt/jumpserver/data/media 
 -p 80:80 
 -p 2222:2222 
 -e SECRET_KEY=xxxxxx 
 -e BOOTSTRAP_TOKEN=xxx 
 -e DB_HOST=192.168.x.x 
 -e DB_PORT=3306 
 -e DB_USER=root 
 -e DB_PASSWORD=xxx 
 -e DB_NAME=jumpserver 
 -e REDIS_HOST=192.168.x.x 
 -e REDIS_PORT=6379 
 -e REDIS_PASSWORD=xxx 
 jumpserver/jms_all:1.4.8

三、使用展示

3.1 仪表盘

堡垒机-仪表盘

此页面主要展示堡垒机一个概览情况：

• 用户总数
• 主机总数
• 在线用户
• 在线会话
• 用户数据总览
• 资产情况

3.2 用户管理

堡垒机-用户管理

3.3 资产管理

堡垒机-资产管理

堡垒机-网域

说明：

网域功能是为了解决部分环境（如：混合云）无法直接连接而新增的功能，原理是通过网关服务器进行跳转登录

3.4权限管理

把资产授权给用户后, 用户才能在 "我的资产" 里面看到资产, 配置正确后用户才能正常连接资产

堡垒机-权限

3.5 会话管理

主要包括：

• 在线会话
• 历史会话
• 命令记录
• web终端
• 文件管理
• 终端管理

会话管理-在线会话

会话管理-历史会话

会话管理-web终端

三、小结

jumpserver是IT系统内部控制最有力的支撑平台，对运维过程三个阶段进行严格管控：

事前预防：建立“自然人-资源-资源账号”关系，实现统一认证和授权

事中控制：建立“自然人-操作-资源”关系，实现操作审计和控制

事后审计：建立“自然人-资源-审计日志”关系，实现事后溯源和责任界定

觉得有用的朋友多帮忙转发哦！后面会分享精彩的内容，感兴趣的朋友可以关注下~