JumpServer堡垒机部署与运营

× 文章目录
  1. 1. 前言
  2. 2. 安装
  3. 3. 高可用
  4. 4. 运营
    1. 4.1. 身份认证源接入
    2. 4.2. 安全设置
    3. 4.3. 资产管理
    4. 4.4. 授权(前期手工)
    5. 4.5. 授权(自动化)
    6. 4.6. 22和3389端口收敛

前言

从应用安全,做成运维安全了,把最近做的东西总结一下。为啥需要堡垒机就不用多说了,服务器管理存在风险( 多云导致服务器分散、账号混乱定位不明、权限粗放资源滥用、误操作、审计不严取证困难、等保合规要求等),访问服务器存在安全隐患(直接对公网开放22和3389端口、办公网直连、服务器互联等),因此,部署实施堡垒机,利用堡垒机的4A能力(身份鉴别、授权控制、账号管理、安全审计)对特权账号及访问方式进行安全管控。未来所有运维人员需通过堡垒机访问被管控的服务器

安装

官方文档比较完善,参考官方文档就可以了 https://docs.jumpserver.org/zh/master/install/setup_by_fast/

高可用

参考官方文档,负载均衡配置 https://docs.jumpserver.org/zh/master/install/setup_by_lb/

我这里mysql/redis使用了云rds和redis

录像存储使用了云OSS,修改路径在会话管理 - 终端管理 - 存储配置 - 录像存储 - 添加 OSS配置,配置完成,更新全部

负载均衡也使用了云SLB,后端部署了2个节点,节点的SECRET_KEY 和 BOOTSTRAP_TOKEN要保持一致,https也是在SLB上做的

1
2
# 记录 SECRET_KEY 和 BOOTSTRAP_TOKEN
cat /opt/jumpserver/config/config.txt | egrep "SECRET_KEY|BOOTSTRAP_TOKEN"

参考迁移文档 https://docs.jumpserver.org/zh/master/install/migration/,定期备份数据库

1
2
cd /opt/jumpserver-installer-vx/
./jmsctl.sh backup_db

运营

管理文档也很详细 https://docs.jumpserver.org/zh/master/admin-guide/quick_start/

这里记录一下使用技巧

身份认证源接入

这里通过AD做认证,做ldao配置,也可以通过标准的OIDC/SAML协议对接SSO

安全设置

配置连接超时、水印、MFA、登陆验证码、异地登陆保护,如果启用钉钉认证/配置邮箱,异地登陆提醒会发送到钉钉工作通知/邮箱

资产管理

我们的资产比较混乱了,包括某个公有云上的多个账号,本地机房。资产列表没有细分,根据云账号去创建资产节点

其中多个云账号可通过创建对等连接打通网络,本地机房通过网域网关的方式打通(SSH代理)

因为没有cmdb系统,公有云资产可以通过jms接口自动同步,本地机房资产只能手动维护了,本地机房资产维护还是有点乱,没有单一来源,之前开发自维护,根据业务需求添加

危险命令关联资产或者系统用户

授权(前期手工)

通过宜搭设计审批表单,因为第一次使用,没有考虑自动化

首先通过LDAP同步用户,根据业务线去创建用户组,然后对用户组进行资产授权

授权(自动化)

翻翻宜搭手册,翻翻jms接口文档

22和3389端口收敛

本地机房和办公网隔离,只允许堡垒机跳板机(网域网关)访问

公有云只允许堡垒机和devops系统访问,禁止服务器之间互联