今天给大家推荐的是一款非常强大的开源堡垒机，JumpServer

原创

开源指北

修改于 2022-12-26 16:06:05

1.7K0

修改于 2022-12-26 16:06:05

文章被收录于专栏：idea插件idea插件

哈喽，大家好，我是指北君。

今天给大家推荐的是一款非常强大的开源堡垒机，JumpServer。

JumpServer介绍

JumpServer 是全球首款开源的堡垒机，使用 GNU GPL v2.0 开源协议，是符合 4A 规范的运维安全审计系统。

JumpServer 使用 Python / Django 为主进行开发，遵循 Web 2.0 规范，配备了业界领先的 Web Terminal 方案，交互界面美观、用户体验好。

JumpServer 采纳分布式架构，支持多机房跨区域部署，支持横向扩展，无资产数量及并发限制。

指北君特地给大家找来了体验环境，让大家真实的体验这款软件，体验环境的地址和账号密码请大家在公众号中回复jump 或者开源堡垒机获取。

在线体验环境: https://demo.jumpserver.org/ 账号: demo 密码: jumpserver

下面由小编带领大家了解一下详细的功能：

首先是登录，jumpserver 支持多种登录方式,具体包含LDAP / AD 认证；RADIUS 认证；实现单点登录（OpenID 认证、CAS 认证）；SSO 对接；扫码登录（企业微信认证、钉钉认证和飞书认证），大家可以选择适合自己的登录方式进行集成，这个也是十分方便和人性化的，这里小编只展示默认的登录页面，其他的大家可以自己学习了解一下。如果有不懂的可以在下面留言。

小编带大家了解一下登录后的页面，具体如下图所示，可以对用户信息，资产总数，在线用户，在线会话进行查看统计。

小编带大家了解一下用户和用户组的相关概念，用户可以加如用户组中，获得该用户组中的所有权限，一般企业中，可以设置不同的用户组，针对不同的用户组设置不同的权限，例如：运维组，研发组，测试组，这样可以使得权限最小化，最大限度的保证权限不被滥用。或者针对不同的项目设置不同的权限，大家可以针对不同的需求进行灵活调整，找到适合自己的用户组，小编在此举例供大家参考一下。

下面小编带大家了解一下资产管理，我们想要连接一个资产的时候，首先需要对这个资产的信息进行维护，包括但不限于（ip 账号密码操作系统），具体大家可以看看如下图片。

配置好资产信息后，需要对用户进行相关的授权，只有授权完成后，用户才可以登录。可以对不同的用户组或者不同的用户进行单独授权，这个可以自己进行调整。只有先明确自己的需求才能找到适合自己授权组策略，所以小编也仅仅只做一下展示。

前面这么多步骤都是为了能够登录到服务器，现在激动人心的时刻来了，现在可以登录到服务器了，此处以登录linux服务器为例，大家可以在登录首页的右上角看到web终端，点击一下便可以调整到新的页面，这个页面便可以登录服务器。下图为成功登录到服务器的截图。

一般情况下，大型的互联网公司服务器都有几百台甚至上千上万台服务器，这个时候，如果想要操作，不可能一台一台去连接了，jumpserver 也集成了ansible,可以批量操作服务器，具体功能菜单在作业中心->批量命令，这个时候我们便可以方便快捷的操作服务器了，便于管理。具体截图如下。

其实还有许多功能小编还没有介绍，这个就需要大家在使用中具体发现了。

特色优势

开源：零门槛，线上快速获取和安装；
分布式：轻松支持大规模并发访问；
无插件：仅需浏览器，极致的 Web Terminal 使用体验；
多云支持：一套系统，同时管理不同云上面的资产；
云端存储：审计录像云端存储，永不丢失；
多租户：一套系统，多个子公司和部门同时使用；
多应用支持：数据库，Windows远程应用，Kubernetes。

功能列表

注：带有 X-Pack 标识的功能为 JumpServer 堡垒机企业版功能。

身份验证Authentication	登录认证	资源统一登录和认证；LDAP / AD 认证；RADIUS 认证；实现单点登录（OpenID 认证、CAS 认证）；SSO 对接；扫码登录（企业微信认证、钉钉认证和飞书认证）；
	多因⼦认证	MFA 二次认证（Google Authenticator）RADIUS 二次认证；短信（阿里云、腾讯云）二次认证；X-Pack
	登录复核	用户登录 JumpServer 系统行为受管理员的监管与控制；X-Pack
	登录限制	用户登录来源 IP 受管理员控制（支持黑 / 白名单）；

授权控制Authorization	多维度授权	可对用户、用户组、资产、资产节点、应用以及系统用户进行授权；
	资产授权	资产树以树状结构进行展示；资产和节点均可灵活授权；节点内资产自动继承授权；子节点自动继承父节点授权；
	数据库授权	支持 MySQL数据库应用授权；
		支持 Oracle、PostgreSQL、MariaDB 数据库应用授权；X-Pack
	应用授权	实现更细粒度的应用级授权；
	Kubernetes 授权	支持用户通过 JumpServer 连接 Kubernetes 集群；
	RemoteApp 远程应用	针对 Windows 系统实现更细粒度的应用级授权，并对应用操作录像进行回放审计；X-Pack
	动作授权	实现对授权资产的文件上传、下载以及连接动作的控制；支持剪切板复制 / 粘贴（Windows 资产）；
	时间授权	实现对授权资源使用时间段的限制；
	特权指令	实现对特权指令的使用，支持黑白名单；
	命令过滤	实现对授权系统用户所执行的命令进行控制；
	文件传输与管理	支持 SFTP 文件上传 / 下载；支持 Web SFTP 文件管理；
	工单管理	支持对用户登录请求行为进行控制；支持授权工单申请；支持二级审批流程；X-Pack
	组织管理	实现多租户管理与权限隔离；全局组织功能；X-Pack
	访问控制	支持对通过 SSH 和 Telnet 协议登录的资产进行复核；X-Pack
账号管理Accounting	集中账号管理	系统用户管理（包含普通用户和特权用户）；
	⽤户⻆⾊	支持超级管理员、超级审计员、普通用户三种角色；
		支持超级管理员、超级审计员、组织管理员、组织审计员、普通用户五种角色；X-Pack
	统⼀密码管理	资产密码托管；⾃动⽣成密码；密码自动推送；密码过期设置；
	改密计划	资产和数据库定期批量修改密码；生成随机密码；多种密码策略；X-Pack
	多云资产纳管	对私有云、公有云资产⾃动统⼀纳管；X-Pack
	收集⽤户	⾃定义任务定期收集主机⽤户；X-Pack
	账号管理	统⼀对资产主机的⽤户密码进行查看、更新、测试等操作；X-Pack
安全审计Auditing	登录审计	支持对用户登录到 JumpServer 系统的日志进行审计；支持将审计信息收集至 Syslog；
	操作审计	用户操作行为审计；
	会话审计	⽀持在线会话内容审计；历史会话内容审计；支持会话水印信息；
	录像审计	支持对 Linux、Windows 等资产操作的录像进行回放审计；支持对 RemoteApp X-Pack、MySQL、Kubernetes 等应用操作的录像进行回放审计；支持将录像上传至公有云；
	指令审计	支持对资产和应用等操作的命令进⾏审计；高危命令告警；
	⽂件传输审计	⽀持对⽂件的上传 / 下载记录进⾏审计；
	实时监控	支持管理员 / 审计员实时监控用户的操作行为，并可进行实时中断，以提升用户操作的安全性；

顺风、携程、小红书、大智慧、东方明珠、中手游等许多互联网知名企业都在使用JumpServer。

JumpServer 是一款开源软件，是可以免费使用的。我们可以在其官网下载最新版。

代码仓库: https://github.com/jumpserver/jumpserver 快速安装: https://github.com/jumpserver/jumpserver/releases/latest

安装文档

说明

全新安装的 Linux(内核推荐大于 4.0) 需要连接互联网使用 root 用户执行

安装方式

推荐使用外置数据库和 Redis，方便日后扩展升级

DB	Version		Cache	Version
MySQL	= 5.7		Redis	= 5.0
MariaDB	= 10.2

# 默认会安装到 /opt/jumpserver-installer-v2.18.1 目录
curl -sSL https://github.com/jumpserver/jumpserver/releases/download/v2.18.1/quick_start.sh | bash cd /opt/jumpserver-installer-v2.18.1

# 安装完成后配置文件 /opt/jumpserver/config/config.txt

cd /opt/jumpserver-installer-v2.18.1

# 启动
./jmsctl.sh start

# 停止
./jmsctl.sh down

# 卸载
./jmsctl.sh uninstall

# 帮助
./jmsctl.sh -h