开源堡垒机(跳板机)Jumpserver部署测试
对于有着上百台服务器的数据中心机房来说,如何安全的登录这些机器进行远程维护一直都是管理员的日常安全运维工作。网上对于堡垒机(跳板机)的看法基本分为二种,一种认为堡垒机(跳板机)是低下生产力的衍生物。部署堡垒机(跳板机)只会让运维工作趋于更复杂,影响工作效率。另一种观点认为在开发与运营逐步DevOps形势下,越来越多的非运维人员都有登录需求。从安全管理角度上言,部署堡垒机(跳板机)势在必行。
网上对于此技术的争论还在继续,但一个基于开源的堡垒机(跳板机)Jumpserver项目没有停止。也许Jumpserver项目团队认为拿出一个功能强大的产品就能终结这个技术使用的争论,在今年3月发布了据称有着“里程碑”意义的1.0.0版本。虽然是开源的产品,但商业支持的价格不低:60000.00/年 对有着这么高的商业支持价格的开源软件我一向都很有兴趣。于是在自己的物理机上部署测试该软件。
安装部署过程并不复杂,只要懂linux及lnamp环境和docker并按照官网的安装文档逐步安装即可。如果不懂也没关系,官网也有自动化的安装脚本及封装好的docker版本,在此就不复制官网的安装文档了。有兴趣的可以自己去了解。 Jumpserver官网:www.jumpserver.org
安装完成后的登录界面如下,软件的介绍的来头很大“全球首款”“符合4A审计”等字样
软件功能和其他商业堡垒机(跳板机)差不多,商业堡垒机(跳板机)的在功能上有着更多的扩展。对于堡垒机(跳板机)我对操作录像和命令审计比较感兴趣,于是单独对这2个功能做了测试。
在管理员界面可以看到历史会话,历史会话里面就有登录Windows的时长和IP地址等信息,点击后面的回放。可以看到当时登录的所有操作
点击回放按钮会自动弹出一个播放页面,播放账户登录的操作。不过好像不支持IE11 我用的火狐及chrome都可以。另外,回放的录像看不到鼠标
命令审计应该是一个管理Linux的一个比较有用的功能了,我测试增加了禁止运行rm -rf及chmod -R 777 这二条命令
录像里的测试的运行结果与规则一致
命令记录里面也详细记录了操作使用的命令,不管是否成功运行
测试的二个功能都没有什么太大问题,希望后面官方团队可以开发出HA高可用功能出来。因为在实际部署中终端服务器登录白名单里可能只写了Jumpserver的IP地址,一旦Jumpserver挂掉。终端服务器将无法登陆管理。
标签: 运维 堡垒机 Jumpserver 跳板机
-
日历
-
分类
-
个人资料
-
链接
-
最新评论
-
存档
-
搜索
发表评论: