第一次接触 JumpServer 是一位老师借给我的,当时想部署 oceanbase 企业版 V3 ,苦于笔记本内存太小,后来在 JumpServer 上部署成功了,后来一直对 JumpServer 比较感兴趣,年后有时间对 JumpServer 进行了系统的学习
一. 使用场景
我现在的公司就在使用 openVPN,当我想居家办公或异地办公的时候,通过连接 openVPN,可以很方便的连接到公司内网,连接到服务器,但这样也带来一个弊端,当我通过 openVPN 连接到公司内网后,我可以连接到公司所有的机器,并且连接信息不会被审计,这时候就需要 JumpServer 来进行精细化管控。
二. 介绍
JumpServer 是一款开源的堡垒机(运维安全审计系统),专注于解决企业 IT 资产的安全访问与权限管控问题。它通过 Web 化统一入口,提供 SSH、RDP、数据库等协议的代理访问,支持细粒度权限分配、操作审计、会话录像等功能,适用于多云混合环境下的运维安全管理。相比之下,OpenVPN 是专注于建立加密网络隧道的工具,主要用于远程访问内网资源,但缺乏细粒度权限控制和审计能力。
| 维度 | JumpServer | OpenVPN |
|---|---|---|
三. JumpServer 组成
三. 部署
JumpServer 支持多种部署方式,这里试用一键安装
curl -sSL https://resource.fit2cloud.com/jumpserver/jumpserver/releases/latest/download/quick_start.sh | bash
这里一键安装就是执行 docker-compose,拉取多个镜像,启动容器,和 docker 安装方式差不多。
等待安装完成,查看容器状态
打开 IP 地址访问堡垒机,初始账号密码 : admin/ChangeMe
修改密码后连接上堡垒机:
四. 用户管理和添加服务器资产
创建三个用户组:这个用户组可以看作 连接到 JumpServer 账号的角色(岗位),这里我们创建三个组(开发,测试,运维)
创建三个用户(开发,测试,运维),以及一个审计员
登录到审计员账号可以看到,只有审计,和工作台,没有控制台。
创建一个账号模板
添加账号推送的普通账号:
添加资产, 推送账号,可以看到 账号已经通过 ansible 在目标机器上创建
编辑
登录运维人员主机; 可以看到 运维人员已经能看到自己的资产,但开发人员和测试人员看不到
通过 jumpserver 可以直接连到 服务器终端
五. 管理数据库资产
创建用户并授权:
create user admin@'192.168.80.%' identified by '123456';grant all on *.* to admin@'192.168.80.%‘;
资产管理创建数据库:
登录运维账号查看可连接资产: 
审计也能看到所做的操作: 
印象最深的还是 监控命令行的功能了,下次遇到违规行为可以重拳出击,直接把操作录像给他看。
