iT邦幫忙

0

開源堡壘主機 JumpServer 簡介

  • 分享至 

  • xImage
  •  

JumpServer 是一套開源解決方案幫助企業以更安全的方式管控和登錄各種類型的資產,允許使用者通過堡壘主機安全地訪問目標伺服器,而無需直接連接到目標伺服器。這種方法可以提高網絡安全性,減少潛在的攻擊面,確保敏感數據的保密性。

上一篇已經教大家如何在 Ubuntu 20.04 安裝 JumpServer,今天我們將簡單的介紹 JumpServer 的功能與操作。

登入後會先來到 Dashboard,我們可以看到資產與登入帳號的統計資訊。

新增資產
我們新增一筆 Linux 伺服器來進行演示

選擇資產的類型,我們選擇 Linux。

填入以下資訊

  • 名稱:該資產在 JumpServer 中的名稱,必填不可重複。
  • IP/Host:資產的 IP 或網域名稱,可重複。
  • Platform:可以設定不同的字元編碼、連接參數與密碼更改指令。
  • Nodes:該資產所屬於的節點,必填項。
  • Protocol:資產存取時所用到的協議,可選一個或多個,必填項。
  • Account:該資產的帳號與資產綁定,可建立多個帳號,必填項。
  • Domain:針對某些跨網段資產,需要以網關 sshpass 為代理程式存取。
  • Label:可以給資產添加標籤,方便管理。
  • Is Active:該資產是否可使用,必填項。

在 Account 輸入該資產的登入帳號與密碼

資產建立完畢後可以進行測試

連線測試正常

配置資產權限

填入以下資訊

  • Name:名稱授權規則的名稱。
  • User:即給該用戶授權後續資產的連接或其它權限。
  • User Group:即給該使用者群組授權後續資產的連線或其它權限。
  • Asset:授權的資產,即用戶需求連接的資產。
  • Node:節點授權的節點,即使用者需求連接的資產群組。
  • Account:授權資產登入的帳號
  • Active:該授權規則是否可使用,必填項。
  • Date Start:此授權規則開始的時間,預設為該授權規則所建立的時間。
  • Date Expired:該授權規則失效的時間

我的資產
切到 Workbench 點選 My Assets 就可以看到被授予了哪些資產,我們可以點選 >_ 進行連線。

選擇 SSH 協定,選擇 Web 連線方式,點選 Connect。

就可以連線到目標伺服器進操作,背景同時也會加上浮水印。

我們先隨便輸入一些指令後關閉連線視窗

連線側錄
切到 Audit 點選 Session Audit 的 Session List,切到 Session Offine 就可以看到之前的連線紀錄了。

點選 Replay 就可以播放側錄的畫面,左邊有輸入的指令時間可以進行畫面跳轉。

也可以在 Session Audit 的 Commands 尋找輸入過的指令,點選 Goto 就可以直接跳轉到側錄的時間點進行撥放。

不同的資產
使用 Web DB 連線至 MariaDB 資產畫面

使用 Web RDP 連線至 Windows Server 資產畫面

使用 Remote Apps 連線至 Web 資產畫面

不同的連線方式
若不習慣使用 Web 的連線方式,我們也可以安裝 JumpServer Client 來進行 Client 工具的配置。
可以在 http://your_jumpserver_ip/core/download/ 下載工具

例如遠程終端支援以下 Client 工具

我們配置 XShell,保存且預設。

使用 SSH,選擇 Native 連線方式,點選 Connect。

會自動啟動 XShell 進行連線,指令複製貼上的部分就方便多了。

選擇 Native 連線方式,同樣的連線也是會被側錄的喔。

資料庫可以配置 DBeaver Community,保存。

使用 MARIADB,選擇 Native 連線方式,點選 Connect。

自動啟動 DBeaver 進行連線,我們就可以很方便的存取資料庫。

即便選擇 Native 透過 Client 工具進行操作,在 Session Audit 仍然可以找到之前的連線的側錄畫面喔。

Remote Apps
如果大家都想要透過 Native 的方式連線,我們就必須在每個人的電腦安裝相對應的工具與配置,勢必會增加管理人員維運的負擔。

因此 JumpServer 也可以整合 Remote Apps 的方式,我們可以新增一台 Remote Host 並部署 Marketplace 提供的 Remote Apps,就可以把 Client 的連線工具集中化管理。

使用 MARIADB,選擇 Applet 連線方式,點選 Connect。

自動啟動 Remote Host 所提供的 DBeaver 進行連線,本機端就不需要安裝與配置 DBeaver Community 囉。

Command ACL
JumpServer 也有提供指令的存取控制清單的功能

切換到 Prermissions 的 Command ACL,新增一個 Command Group,例如想要限制 rm 與 reboot 這兩個指令。

新增一個 Command Filter,在這邊可以決定哪些使用者、資產或者帳號套用剛剛設定的 Command Group。

嘗試使用 rm 指令,可以看到已被禁止。

管理人員則可以在 Site Message 看到告警的提示訊息

也支援郵件發送告警

點選 View 則可以看到輸入的指令

也可以到 Session Audit 使用 Risk Levele 過濾找到該筆資訊,點選 Goto 就可以跳轉到側錄的時間點進行查看。

User Login ACL
JumpServer 也有提供使用者登入的存取控制清單的功能

根據不同時段上班的使用者設定存取資產的時間,遵守最小特權原則只提供在需要的時間開放來減少資安風險。

最後再複習一下導入 Bastion Host 的好處

  • 允許管理員為不同使用者設定遠端訪問權限,控制使用者可以連接到哪些伺服器,以及可以執行哪些操作。
  • 可以記錄使用者與目標伺服器之間的所有連線,包括輸入和輸出。這些記錄可以用於審計、調查和故障排除。
  • 支援多種認證方式,包括使用者名稱密碼、金鑰、雙因素認證等,增加了系統的安全性。
  • 管理員可以定義訪問策略,限制特定使用者只能訪問特定伺服器或特定服務,提高網絡安全性。
  • 提供集中式的管理界面可以方便地管理所有的遠端訪問權限,以確保安全政策的一致性。

今天的分享就到這邊,感謝收看。

參考文件
https://docs.jumpserver.org/zh/v3


圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 則留言

0
nms1319491
iT邦新手 5 級 ‧ 2023-11-12 20:09:51

使用者知道軟體安全簡單使用功能多,但不知道的是軟體帶來好與壞,
若這套軟體本身存在危險,我們該如何第一時間防範資料外洩.

我要留言

立即登入留言