「这是我参与11月更文挑战的第6天,活动详情查看:2021最后一次更文挑战」。
堡垒机简介
硬件堡垒机有安恒, JumpServer 堡垒机一体机,软件堡垒机有阿里云堡垒机。
但是以上都是商业软硬件,费用都不便宜。。本着为公司降本提效的理念,首选肯定是开源免费类的
目前流行且非常火热就属于JumpServer了,github上17k的星星。。
jumpserver官网地址: www.jumpserver.org/
安装
官方提供了一键安装脚本,方便快捷
curl -sSL https://github.com/jumpserver/jumpserver/releases/download/v2.15.0/quick_start.sh | bash
#切换到jumpserver安装目录
cd /opt/jumpserver-installer-v2.15.0
# 启动
./jmsctl.sh start
# 停止
./jmsctl.sh down
具体使用查看文档既可: docs.jumpserver.org/zh/master/
本文还是以安全事项为主
安全事项
用户设置
必须要有 管理员,审计员,普通成员三个角员,且有相应的账号和人员
密码规则
需要设置密码复杂度,以及密码过期时间
登陆失败
针对暴力破解等设置 登陆失败次数,以及禁止登陆时长
动态口令
开启MFA二次验证,,结合google Authenticator做动态口令登陆
服务开放
堡垒机的访问应该限制 来源IP,以及只有固定IP可以访问,以此分类出只有 有需要人员 才能访问堡垒机。。
端口
更改堡垒机默认的连接端口和访问端口
https
如果提供http服务,必须给加站点增加https,且站点设置黑白名单限制访问
数据备份
虽然所有操作日志,命令日志,访问日志,命令记录等jumpserver都会记录并且会存在数据库中,但是数据库一但出现问题,记录也都没有。所以还需要针对数据库做定时定期备份,以及异地备份,确定数据完整性
