一、前言为什么选择 JumpServer在企业运维、云服务器管理、多主机统一管控场景中堡垒机已经成为安全运维的必备基础设施。它可以统一管理服务器登录、操作审计、权限控制、录像回放避免密码泄露、越权操作、操作无记录等安全风险。而在众多堡垒机产品里JumpServer 是目前最适合中小企业、团队、个人运维使用的方案堡垒机作为集中访问入口和操作审计的保障提供了一套多维度的运维操作权限管理与审计解决方案管理人员可全面对各类资源如网络设备、服务器、安全设备、数据库等进行集中账号管理。实现细粒度的权限管理精准控制不同人员的操作范围和权限。完成访问审计记录所有运维操作便于追溯与排查问题。最终帮助企业提升内部风险控制水平保障核心资源安全。二、环境准备这里我们使用Ubuntu 虚拟机JumpServer的机器采用离线安装的方式进行安装1. 下载工具apt-get update apt-get install -y wget curl tar gettext iptables三、JumpServer 安装步骤1. 下载安装脚本访问 JumpServer 的官网并根据自己的需要下载离线安装包我们这里就下载最新的安装包https://community.fit2cloud.com/#/products/jumpserver/downloadshttps://community.fit2cloud.com/#/products/jumpserver/downloads注意官网下载是需要登录的若不想登录可以到百度网盘进行下载https://pan.baidu.com/s/1rX9JJpFc7tm3cTJT7RWlsA?pwd9uunhttps://pan.baidu.com/s/1rX9JJpFc7tm3cTJT7RWlsA?pwd9uun2.上传安装脚本解压缩mv jumpserver-ce-v4.10.16-x86_64.tar.gz /opt/ cd /opt/ tar -zxvf jumpserver-ce-v4.10.16-x86_64.tar.gz3. 安装配置JumpServer安装过程为交互式在交互式页面可以进行配置按需配置即可cd jumpserver-ce-v4.10.16-x86_64/ ./jmsctl.sh install关键配置参考可以按需更改也可直接默认Do you want to support IPv6? [y/N]: n 询问是否开启 Docker 的 IPV6Do you need custom persistent store, will use the default directory /data/jumpserver? [y/N]: y 询问是否开启数据持久化目录默认/data/jumpserverDo you want to use external PostgreSQL (version ≥ 16 required)? [y/N]: y 询问是否使用外部数据库默认为PostgreSQLDo you want to use external Redis? [y/N]: y (询问是否使用外部 Redis若使用外部数据库则需要使用 Redis 缓存数据)Do you need to customize the JumpServer external port? [y/N]: y 询问是否对外提供服务的端口4. 启动服务./jmsctl.sh start5. 访问页面测试浏览器访问页面IP端口当出现该报错时根据提示信息再次修改配置文件注这里修改的配置文件不是修改jumpserver-ce-v4.10.16-x86_64目录中的config-example.txt在安装完成 JumpServer 后使用的配置文件为/opt/jumpserver/config/config.txt估应该修改改文件内容DOMAINS 是 JumpServer 的「可信任访问地址白名单」就是说信任某个IP或者域名作为访问入口vi /opt/jumpserver/config/config.txt # 将 192.168.209.12:8888 添加到 DOMAINS如下 DOMAINS192.168.209.12:8888 # 重启服务 cd /opt/jumpserver-ce-v4.10.16-x86_64 ./jmsctl.sh restart再次访问即可进入面板6.离线升级下载对应的安装脚本上传后输入以下命令即可由于这里安装的为最新版本离线升级就不多做介绍步骤都是一样的cd /opt tar -xf jumpserver-ce-v4.10.16-x86_64.tar.gz cd jumpserver-ce-v4.10.16-x86_64 ./jmsctl.sh upgrade ./jmsctl.sh start四、面板介绍一、仪表盘核心作用系统概览与数据统计页面展示关键数据在线用户数、活跃资产数、今日会话数、操作日志统计可视化图表登录趋势、资产访问排行、操作类型分布快速入口待处理工单、告警通知、系统健康状态适合管理员快速掌握系统运行情况是日常运维的 “总览台”二、用户管理1. 用户列表功能管理所有 JumpServer 用户账号核心操作创建 / 编辑 / 删除用户重置密码、启用 / 禁用账号配置 MFA、设置角色权限查看用户登录记录、操作日志子项 / 筛选快速过滤无效 / 已禁用 / 过期 / 永不登录等状态认证设置密码过期、长时间未登录、未启用 MFA 等筛选条件2. 用户组功能按部门 / 角色批量管理用户权限核心操作创建 / 编辑用户组批量添加 / 移除用户按组进行资产授权、策略下发价值实现 “一次配置组内全员生效”是企业级权限管理的核心三、资产管理1. 资产列表功能管理所有服务器、数据库、云资源等资产核心模块节点管理树形结构分类资产文件夹逻辑资产操作创建 / 编辑 / 删除资产批量导入 / 导出资产详情查看 IP、协议、端口、账号、连接记录子项节点树按环境 / 业务 / 类型分层管理资产资产筛选按节点、协议、状态等条件快速查找2. 网域列表功能管理网络域Network Domain解决跨网络访问问题核心作用定义不同网络区域如内网、DMZ、云 VPC配置网关 / 代理让 JumpServer 能访问隔离网段的资产适合多数据中心、混合云环境的资产访问子项创建 / 编辑网域关联资产将资产归属到对应网域配置网关指定访问该网域的跳板 / 代理节点四、账号管理1. 账号列表功能管理资产的登录账号如服务器的 root、数据库账号核心操作创建 / 编辑资产账号用户名 密码 / 密钥批量推送账号到目标资产账号改密、过期管理、权限回收价值统一托管资产凭证避免密码泄露实现 “账号即权限”2. 账号模版功能批量生成 / 管理资产账号的模板核心作用预设账号命名规则、密码策略、权限范围新资产上线时一键生成符合规范的账号统一账号生命周期管理如自动改密周期子项模版配置账号前缀、密码复杂度、过期时间批量应用将模版应用到多个资产五、授权管理1. 资产授权功能将「用户 / 用户组」与「资产 / 节点」进行权限绑定核心操作创建授权规则指定谁能访问哪些资产授权范围单个资产、节点、网域权限控制允许的连接方式SSH/RDP、命令过滤、会话时长价值实现最小权限原则确保用户只能访问被授权的资源2. 访问控制功能精细化控制用户访问行为展开后包含子选项常见子项命令过滤禁止执行高危命令如 rm -rf、mkfsIP 白名单限制用户只能从指定 IP 段登录会话控制设置会话超时、最大并发数、录像策略登录策略限制登录时间、登录失败次数锁定价值进一步加固安全满足等保合规要求六、其它标签列表功能用标签Tag对资产 / 用户进行灵活标记核心作用跨节点 / 组标记资源如给所有电商业务资产打「电商」标签按标签快速筛选、授权、统计补充节点管理的灵活性适合复杂业务场景子项创建 / 编辑标签批量关联资产 / 用户按标签维度进行授权和审计操作可以参考官方文档JumpServer 文档
JumpServer安装部署及简单使用
一、前言为什么选择 JumpServer在企业运维、云服务器管理、多主机统一管控场景中堡垒机已经成为安全运维的必备基础设施。它可以统一管理服务器登录、操作审计、权限控制、录像回放避免密码泄露、越权操作、操作无记录等安全风险。而在众多堡垒机产品里JumpServer 是目前最适合中小企业、团队、个人运维使用的方案堡垒机作为集中访问入口和操作审计的保障提供了一套多维度的运维操作权限管理与审计解决方案管理人员可全面对各类资源如网络设备、服务器、安全设备、数据库等进行集中账号管理。实现细粒度的权限管理精准控制不同人员的操作范围和权限。完成访问审计记录所有运维操作便于追溯与排查问题。最终帮助企业提升内部风险控制水平保障核心资源安全。二、环境准备这里我们使用Ubuntu 虚拟机JumpServer的机器采用离线安装的方式进行安装1. 下载工具apt-get update apt-get install -y wget curl tar gettext iptables三、JumpServer 安装步骤1. 下载安装脚本访问 JumpServer 的官网并根据自己的需要下载离线安装包我们这里就下载最新的安装包https://community.fit2cloud.com/#/products/jumpserver/downloadshttps://community.fit2cloud.com/#/products/jumpserver/downloads注意官网下载是需要登录的若不想登录可以到百度网盘进行下载https://pan.baidu.com/s/1rX9JJpFc7tm3cTJT7RWlsA?pwd9uunhttps://pan.baidu.com/s/1rX9JJpFc7tm3cTJT7RWlsA?pwd9uun2.上传安装脚本解压缩mv jumpserver-ce-v4.10.16-x86_64.tar.gz /opt/ cd /opt/ tar -zxvf jumpserver-ce-v4.10.16-x86_64.tar.gz3. 安装配置JumpServer安装过程为交互式在交互式页面可以进行配置按需配置即可cd jumpserver-ce-v4.10.16-x86_64/ ./jmsctl.sh install关键配置参考可以按需更改也可直接默认Do you want to support IPv6? [y/N]: n 询问是否开启 Docker 的 IPV6Do you need custom persistent store, will use the default directory /data/jumpserver? [y/N]: y 询问是否开启数据持久化目录默认/data/jumpserverDo you want to use external PostgreSQL (version ≥ 16 required)? [y/N]: y 询问是否使用外部数据库默认为PostgreSQLDo you want to use external Redis? [y/N]: y (询问是否使用外部 Redis若使用外部数据库则需要使用 Redis 缓存数据)Do you need to customize the JumpServer external port? [y/N]: y 询问是否对外提供服务的端口4. 启动服务./jmsctl.sh start5. 访问页面测试浏览器访问页面IP端口当出现该报错时根据提示信息再次修改配置文件注这里修改的配置文件不是修改jumpserver-ce-v4.10.16-x86_64目录中的config-example.txt在安装完成 JumpServer 后使用的配置文件为/opt/jumpserver/config/config.txt估应该修改改文件内容DOMAINS 是 JumpServer 的「可信任访问地址白名单」就是说信任某个IP或者域名作为访问入口vi /opt/jumpserver/config/config.txt # 将 192.168.209.12:8888 添加到 DOMAINS如下 DOMAINS192.168.209.12:8888 # 重启服务 cd /opt/jumpserver-ce-v4.10.16-x86_64 ./jmsctl.sh restart再次访问即可进入面板6.离线升级下载对应的安装脚本上传后输入以下命令即可由于这里安装的为最新版本离线升级就不多做介绍步骤都是一样的cd /opt tar -xf jumpserver-ce-v4.10.16-x86_64.tar.gz cd jumpserver-ce-v4.10.16-x86_64 ./jmsctl.sh upgrade ./jmsctl.sh start四、面板介绍一、仪表盘核心作用系统概览与数据统计页面展示关键数据在线用户数、活跃资产数、今日会话数、操作日志统计可视化图表登录趋势、资产访问排行、操作类型分布快速入口待处理工单、告警通知、系统健康状态适合管理员快速掌握系统运行情况是日常运维的 “总览台”二、用户管理1. 用户列表功能管理所有 JumpServer 用户账号核心操作创建 / 编辑 / 删除用户重置密码、启用 / 禁用账号配置 MFA、设置角色权限查看用户登录记录、操作日志子项 / 筛选快速过滤无效 / 已禁用 / 过期 / 永不登录等状态认证设置密码过期、长时间未登录、未启用 MFA 等筛选条件2. 用户组功能按部门 / 角色批量管理用户权限核心操作创建 / 编辑用户组批量添加 / 移除用户按组进行资产授权、策略下发价值实现 “一次配置组内全员生效”是企业级权限管理的核心三、资产管理1. 资产列表功能管理所有服务器、数据库、云资源等资产核心模块节点管理树形结构分类资产文件夹逻辑资产操作创建 / 编辑 / 删除资产批量导入 / 导出资产详情查看 IP、协议、端口、账号、连接记录子项节点树按环境 / 业务 / 类型分层管理资产资产筛选按节点、协议、状态等条件快速查找2. 网域列表功能管理网络域Network Domain解决跨网络访问问题核心作用定义不同网络区域如内网、DMZ、云 VPC配置网关 / 代理让 JumpServer 能访问隔离网段的资产适合多数据中心、混合云环境的资产访问子项创建 / 编辑网域关联资产将资产归属到对应网域配置网关指定访问该网域的跳板 / 代理节点四、账号管理1. 账号列表功能管理资产的登录账号如服务器的 root、数据库账号核心操作创建 / 编辑资产账号用户名 密码 / 密钥批量推送账号到目标资产账号改密、过期管理、权限回收价值统一托管资产凭证避免密码泄露实现 “账号即权限”2. 账号模版功能批量生成 / 管理资产账号的模板核心作用预设账号命名规则、密码策略、权限范围新资产上线时一键生成符合规范的账号统一账号生命周期管理如自动改密周期子项模版配置账号前缀、密码复杂度、过期时间批量应用将模版应用到多个资产五、授权管理1. 资产授权功能将「用户 / 用户组」与「资产 / 节点」进行权限绑定核心操作创建授权规则指定谁能访问哪些资产授权范围单个资产、节点、网域权限控制允许的连接方式SSH/RDP、命令过滤、会话时长价值实现最小权限原则确保用户只能访问被授权的资源2. 访问控制功能精细化控制用户访问行为展开后包含子选项常见子项命令过滤禁止执行高危命令如 rm -rf、mkfsIP 白名单限制用户只能从指定 IP 段登录会话控制设置会话超时、最大并发数、录像策略登录策略限制登录时间、登录失败次数锁定价值进一步加固安全满足等保合规要求六、其它标签列表功能用标签Tag对资产 / 用户进行灵活标记核心作用跨节点 / 组标记资源如给所有电商业务资产打「电商」标签按标签快速筛选、授权、统计补充节点管理的灵活性适合复杂业务场景子项创建 / 编辑标签批量关联资产 / 用户按标签维度进行授权和审计操作可以参考官方文档JumpServer 文档
