前言
Jumpserver 是全球首款完全开源的堡垒机,专业运维审计系统。Jumpserver 使用Python / Django 进行开发.Jumpserver 采纳分布式架构,支持多机房跨区域部署,中心节点提供 API,各机房部署登录节点,可横向扩展、无并发访问限制。
准备vps
参考: docker和docker-compose一键安装脚本
部署
cd /opt && git clone https://github.com/jumpserver/Dockerfile jumpserver#进入目录
cd /opt/jumpserver
#复制模版
cp config_example.conf .env
#更新SECRET_KEY密钥
#修改持久化目录import random
s1="abcdefghijklmnopqrstuvwxyz01234567890ABCDEFGHIJKLMNOPQRSTUVIXYZ"
print(''.join(random.sample(s,50)))cd /opt/jumpserver
docker-compose -f docker-compose-network.yml -f docker-compose-redis.yml -f docker-compose-mariadb.yml -f docker-compose.yml up -dhttp://ip
扩展
堡垒机设计理念
a.有效的控制,管理,回收权限
- 申请流程:工单系统,审批后方可使用
- 使用规范:遵循线上服务器使用规范,每条权限都有责任人
回收流程:权限到期自动回收
b.明确的权限等级划分,由低到高
- vpn, 只能通过接入vpn之后访问机器上的服务,无法进行ssh登录
- logse 可以登录服务器,只能查看代码,无权修改,调试代码
- dev ,可以登录服务器,可以修改,调试,查看代码,对代码拥有完全的权限
- peowner,拥有sudo权限,可以执行大部分高权限命令
- sa,系统管理员,拥有对服务器的完整权限
c.安全与便捷的平衡
d.对用户的行为进行审计以及快速定位
评论 (1)