linux 部署Jumpserver（堡垒机）

堡垒机

网页搜索Jump server

JumpServer - 开源堡垒机 - 官网

堡垒机的定义

堡垒机是一种部署在内网与外部网络之间的专用服务器，作为唯一入口控制所有访问请求，用于提升网络安全等级。核心目标包括：

• 访问控制：严格限制用户通过堡垒机访问内网资源。

• 权限管理：基于角色分配最小权限，避免越权操作。

• 操作审计：记录所有用户操作日志，便于追溯和合规审查。

• 风险阻断：实时监控异常行为（如高危命令），及时终止会话。

堡垒机 vs. 跳板机

• 跳板机：功能单一，仅提供网络代理转发，缺乏审计和细粒度权限控制。

• 堡垒机：在跳板机基础上增强安全功能，集成认证、授权、审计等模块，符合企业级安全需求。

Linux堡垒机的核心功能

1. 身份认证（Authentication）

   • 支持多因素认证（MFA）：如短信、OTP（Google Authenticator）、硬件令牌。

   • 集成企业LDAP/AD：同步现有用户体系，避免账号孤岛。

2. 授权管理（Authorization）

   • RBAC模型：基于角色分配权限，如开发人员仅能访问测试环境。

   • 细粒度控制：限制可执行命令（如禁止rm -rf）、访问时间段、IP白名单。

3. 操作审计（Audit）

   • 全日志记录：包括命令、文件传输、会话录像（SSH/Telnet/RDP）。

   • 审计回放：支持视频级会话回放，定位操作问题或恶意行为。

4. 会话管理（Session Control）

   • 实时监控：管理员可介入正在进行的会话，发送警告或强制断开。

   • 自动超时：闲置会话自动终止，防止未授权访问。

5. 自动化运维

   • 批量执行命令：同时向多台服务器下发指令。

   • 文件分发：安全传输脚本、配置文件至目标主机。

常见Linux堡垒机解决方案

部署架构与配置示例

典型部署拓扑：

复制

外部用户 → (防火墙) → 堡垒机（DMZ区） → 内部网络（应用/数据库服务器）

部署步骤（以JumpServer为例）：

1. 环境准备：

   • 操作系统：Ubuntu/CentOS。

   • 依赖组件：Docker、Python 3.6+、Redis、MySQL/Nginx。

2. 安装流程：

   bash

   复制

   # 下载安装脚本
   wget https://github.com/jumpserver/jumpserver/releases/download/v2.25.0/quick_start.sh
   chmod +x quick_start.sh
   ./quick_start.sh  # 根据提示配置数据库、管理员账号等

3. 配置关键参数：

   • 网络设置：绑定SSL证书，启用HTTPS。

   • 存储配置：设置会话录像存储路径（建议独立硬盘或NAS）。

   • 权限策略：创建角色（如“运维员”“审计员”），分配资源组权限。

安全最佳实践

1. 堡垒机自身加固：

   • 定期更新系统补丁，禁用不必要的服务端口。

   • 启用SSH密钥登录，禁用密码认证。

   • 使用iptables/防火墙限制访问源IP。

2. 用户权限管理：

   • 遵循最小权限原则，定期审查账户权限。

   • 临时权限申请需审批流程，超时自动回收。

3. 日志与监控：

   • 日志异地备份：将会话日志同步至SIEM（如Elasticsearch）或独立存储。

   • 设置告警规则：针对敏感操作（如sudo提权）触发实时告警。

 部署流程图

进入网站主页点击免费下载：

点击在线安装，运行此命令时需要增加DNS服务器ip点：

编辑/etc/resolv.conf文件

vim   /etc/resolv.conf

增加一个nameserver  114.114.114.114（公网DNS） DNS服务器

nameserver 114.114.114.114

:

在部署环境后直接复制到系统中运行此命令

curl -sSL https://resource.fit2cloud.com/jumpserver/jumpserver/releases/latest/download/quick_start.sh | bash

安装完成后，会出现一下详细信息

红框的为web网页，登录

蓝框的为账号，密码

登陆后主页如下图：

资产列表：添加重要的服务器，加入到堡垒机的庇护下