【堡垒机】JumpServer 堡垒机搭建和使用

JumpServer 堡垒机搭建和使用

一、堡垒机介绍

堡垒机（Bastion Host）是一种网络安全设备，它在一个特定的网络环境下，为了保障网络和数据不受外部和内部用户的入侵和破坏，运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为。堡垒机的核心功能通常包括4A：身份验证（Authentication）、账号管理（Account）、授权控制（Authorization）和安全审计（Audit）。它帮助企业实现对IT资源的集中管理和安全控制，确保只有授权用户才能访问特定的系统资源，并且所有操作都会被记录和审计，以便于事后分析和责任追踪。

二、JumpServer 堡垒机

官网：JumpServer - 开源堡垒机 - 官网
Github：JumpServer 是广受欢迎的开源堡垒机

JumpServer 是全球首款完全开源的堡垒机，使用 GNU GPL v2.0 开源协议，是符合 4A 规范的运维安全审计系统，提供身份验证、授权控制、账号管理、安全审计等功能支持。采用分布式架构设计，支持容器化部署，能够支持多种资产类型和大规模资产纳管，适用于金融、制造、物流、媒体、互联网等行业的企业用户。

三、JumpServer 部署

1、在线部署

1. 准备一台 2核4G （最低）且可以访问互联网的 64 位 Linux 主机；
2. 以 root 用户执行如下命令一键安装 JumpServer。

curl -sSL https://resource.fit2cloud.com/jumpserver/jumpserver/releases/latest/download/quick_start.sh | bash

安装完成后，根据提示进行配置，如设置域名等。

2、离线部署

1. 下载解压JumpServer 安装包

   https://community.fit2cloud.com/#/download/jumpserver/v3-10-3

2. 根据需要修改配置文件 config.txt

3. 执行安装脚本 ./jmsctl.sh install

4. 启动 JumpServer 服务 ./jmsctl.sh start

3、Docker 部署

1、生成密码

密码1：
if [ "$SECRET_KEY" = "" ]; then SECRET_KEY=`cat /dev/urandom | tr -dc A-Za-z0-9 | head -c 50`; echo "SECRET_KEY=$SECRET_KEY" >> ~/.bashrc; echo $SECRET_KEY; else echo $SECRET_KEY; fi

密码2：
if [ "$BOOTSTRAP_TOKEN" = "" ]; then BOOTSTRAP_TOKEN=`cat /dev/urandom | tr -dc A-Za-z0-9 | head -c 16`; echo "BOOTSTRAP_TOKEN=$BOOTSTRAP_TOKEN" >> /.baserc; echo $BOOTSTRAP_TOKEN; else echo $BOOTSTRAP_TOKEN; fi

2、部署jumpserver

docker run -itd --name jumpserver --restart=always -p 88:80 -p 2222:2222 -e SECRET_KEY=v91b2DNK07Hl95nmISbnlxFy6zck9hXH0PtMVSiHgq2RJwevaG -e BOOTSTRAP_TOKEN=aHmacjFzWRbhAtBk -v /opt/jumpserver/data/:/opt/jumpserver/data/ -v /opt/jumpserver/mysql/:/var/lib/mysql jumpserver/jms_all:v2.8.4

3、访问jumpserver web页面

http://192.168.8.2 或 http://192.168.8.2/ui

默认账号密码：admin/admin（初次访问会要求更改密码）

四、相关使用

1、创建JumpServer 用户或用户组

2、创建资产

3、通过Web终端连接服务器

4、日志审计

5、会话审计