第一次接触JumpServer是一位老师借给我的,当时想部署oceanbase 企业版V3 ,苦于笔记本内存太小,后来在JumpServer上部署成功了,后来一直对JumpServer比较感兴趣,年后有时间对JumpServer进行了系统的学习
一.使用场景
我现在的公司就在使用openVPN,当我想居家办公或异地办公的时候,通过连接openVPN,可以很方便的连接到公司内网,连接到服务器,但这样也带来一个弊端,当我通过openVPN连接到公司内网后,我可以连接到公司所有的机器,并且连接信息不会被审计,这时候就需要JumpServer 来进行精细化管控。
二.介绍
JumpServer 是一款开源的堡垒机(运维安全审计系统),专注于解决企业 IT 资产的安全访问与权限管控问题。它通过 Web 化统一入口,提供 SSH、RDP、数据库等协议的代理访问,支持细粒度权限分配、操作审计、会话录像等功能,适用于多云混合环境下的运维安全管理。相比之下,OpenVPN 是专注于建立加密网络隧道的工具,主要用于远程访问内网资源,但缺乏细粒度权限控制和审计能力。
| 维度 | JumpServer | OpenVPN |
|---|---|---|
| 核心定位 | 运维安全与审计 | 网络层加密通信 |
| 权限粒度 | 用户→资产→命令级控制 | IP/端口级访问控制 |
| 审计能力 | 完整会话录像与操作日志 | 无 |
| 适用场景 | 需严格管控的运维操作 | 简单内网资源访问 |
| 部署复杂度 | 需配置资产与权限策略 | 快速搭建网络通道 |
三.JumpServer 组成
三.部署
JumpServer 支持多种部署方式,这里试用一键安装
curl -sSL https://resource.fit2cloud.com/jumpserver/jumpserver/releases/latest/download/quick_start.sh | bash
这里一键安装就是执行docker-compose,拉取多个镜像,启动容器,和docker安装方式差不多。
等待安装完成,查看容器状态
打开IP 地址访问堡垒机,初始账号密码 : admin/ChangeMe
修改密码后连接上堡垒机:
四.用户管理和添加服务器资产
创建三个用户组:这个用户组可以看作 连接到JumpServer账号的角色(岗位),这里我们创建三个组(开发,测试,运维)
创建三个用户(开发,测试,运维),以及一个审计员
登录到审计员账号可以看到,只有审计,和工作台,没有控制台。
创建一个账号模板
添加账号推送的普通账号:
添加资产,推送账号,可以看到 账号已经通过ansible 在目标机器上创建
编辑
登录运维人员主机; 可以看到 运维人员已经能看到自己的资产,但开发人员和测试人员看不到
通过jumpserver可以直接连到 服务器中断
五.管理数据库资产
创建用户并授权:
create user admin@'192.168.80.%' identified by '123456';
grant all on *.* to admin@'192.168.80.%';
资产管理创建数据库:
登录运维账号查看可连接资产:
审计也能看到所做的操作:
印象最深的还是 监控命令行的功能了,下次遇到违规行为可以重拳出击,直接把操作录像给他看。