? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??——JumpServer開源堡壘機(jī)資深用戶 James Wei

我從事運(yùn)維行業(yè)有十余年了，目前主要在物流行業(yè)。我個(gè)人是在2016年的時(shí)候接觸到了JumpServer，那時(shí)候國(guó)內(nèi)公有云的發(fā)展十分火熱，公有云環(huán)境逐漸在企業(yè)中被廣泛應(yīng)用。

2016年之前，大部分行業(yè)都是使用的傳統(tǒng)IDC主機(jī)，搭建私有機(jī)房，使用堡壘機(jī)的企業(yè)并不多，堡壘機(jī)的概念并沒有被普及，只有少數(shù)大型企業(yè)或者銀行會(huì)選擇購(gòu)買昂貴的跳板機(jī)來連接服務(wù)器。我目前就職的公司使用JumpServer也是比較早的，在我進(jìn)入公司之前，公司就已經(jīng)安裝部署了JumpServer堡壘機(jī)。??

作為運(yùn)維管理者，我們十分依賴JumpServer，它已經(jīng)成為了IT支撐環(huán)節(jié)中不可或缺的一環(huán)。我想，JumpServer開源堡壘機(jī)可能會(huì)一直伴隨我的職場(chǎng)生涯。

企業(yè)運(yùn)維管理的痛點(diǎn)問題

在使用堡壘機(jī)之前，企業(yè)通常會(huì)面臨著許多運(yùn)維上的管理問題，總結(jié)起來主要有以下三個(gè)方面：

1. 不規(guī)范

如今國(guó)家對(duì)于網(wǎng)絡(luò)安全和信息系統(tǒng)安全的要求越來越高，在使用堡壘機(jī)之前，公司缺乏有效的操作審計(jì)與控制手段，多由人工進(jìn)行操作和審計(jì)。安全管理沒有一個(gè)統(tǒng)一的規(guī)范標(biāo)準(zhǔn)，系統(tǒng)無法滿足信息安全等級(jí)保護(hù)等法規(guī)的相關(guān)要求。

2. 不方便

■?用戶體驗(yàn)不佳

公司系統(tǒng)訪問入口不統(tǒng)一，需要通過插件和客戶端才能登錄，入口種類的多樣性導(dǎo)致用戶在登錄資產(chǎn)的時(shí)候很容易找不到準(zhǔn)確的登錄入口，找不到對(duì)應(yīng)的插件和客戶端，也很難記住相對(duì)應(yīng)的運(yùn)維對(duì)象和IP地址；

■?權(quán)限變更麻煩

當(dāng)面臨運(yùn)維人員的人事變動(dòng)時(shí)，需要進(jìn)行權(quán)限交接與變更。權(quán)限變更可能會(huì)涉及到多個(gè)系統(tǒng)、應(yīng)用和資產(chǎn)，需要在嚴(yán)格的控制和規(guī)范下進(jìn)行全面的調(diào)查和審核，以確保系統(tǒng)和數(shù)據(jù)的安全。沒有一個(gè)統(tǒng)一的運(yùn)維管理平臺(tái)讓權(quán)限變更變得十分麻煩，很容易出錯(cuò)，存在安全隱患。

3. 不安全

■?資產(chǎn)賬號(hào)管理混亂

之前我就職過的一家電商公司，擁有400多臺(tái)服務(wù)器，全部部署在公有云上。在使用堡壘機(jī)之前，管理員將賬號(hào)密碼直接發(fā)送給用戶，并且向用戶開放所有權(quán)限，這就造成了賬號(hào)管理混亂的情況，經(jīng)常會(huì)發(fā)生安全事故，運(yùn)維人員很容易“背鍋”。同時(shí)，密碼長(zhǎng)期不進(jìn)行更換也會(huì)很造成密碼泄露等安全問題；

■?資產(chǎn)管理權(quán)限不明確

沒有運(yùn)維工具的介入，系統(tǒng)自身難以實(shí)現(xiàn)權(quán)限的最小化，并且由人工進(jìn)行權(quán)限授權(quán)很容易導(dǎo)致過度授權(quán)、操作失誤、數(shù)據(jù)泄露等一系列安全風(fēng)險(xiǎn)；

■?誤操作行為頻發(fā)

如今企業(yè)使用第三方代理來運(yùn)維IT服務(wù)已經(jīng)成為常態(tài)。第三方人員的誤操作、惡意操作等行為時(shí)有發(fā)生，經(jīng)常會(huì)導(dǎo)致嚴(yán)重的系統(tǒng)問題，并且很難對(duì)他們進(jìn)行追溯定責(zé)；

■?無法保障公有云資產(chǎn)的安全性

資產(chǎn)上云后，云資產(chǎn)和原有資產(chǎn)不在同一個(gè)有效的管理體系內(nèi)，難以進(jìn)行統(tǒng)一的管理。而云廠商本身并不提供資產(chǎn)的精細(xì)化管理，公有云資產(chǎn)的安全性無法得到保障，公司需要統(tǒng)一的運(yùn)維管理平臺(tái)來管理多云環(huán)境下的IT資產(chǎn)。

為什么需要JumpServer？

面對(duì)以上運(yùn)維人員在日常工作過程中所面臨的痛點(diǎn)問題，大多企業(yè)都希望能有一個(gè)運(yùn)維安全審計(jì)管理平臺(tái)來更方便、更安全地管理服務(wù)器，并且更簡(jiǎn)單地進(jìn)行授權(quán)。JumpServer開源堡壘機(jī)可以很好地滿足以下幾點(diǎn)需求，解決企業(yè)的運(yùn)維難點(diǎn)。

1. 統(tǒng)一入口，規(guī)范管控

取消所有傳統(tǒng)入口，統(tǒng)一通過JumpServer進(jìn)行訪問操作。不管是在家進(jìn)行遠(yuǎn)程訪問，還是在公司通過固定IP進(jìn)行訪問，用戶都可以通過JumpServer來進(jìn)行資產(chǎn)的訪問，統(tǒng)一了資產(chǎn)訪問的入口，規(guī)范資產(chǎn)管控。

如圖1所示，內(nèi)網(wǎng)環(huán)境下用戶通過公司固定IP可以直接訪問JumpServer。員工或者第三方用戶也可以在公網(wǎng)環(huán)境下遠(yuǎn)程登錄訪問，嚴(yán)管、嚴(yán)控遠(yuǎn)程訪問行為。

比較典型的做法就是通過SSL-VPN隧道進(jìn)行連接，針對(duì)云服務(wù)器開啟每日快照，同時(shí)需要開啟MFA多因子認(rèn)證，以保障系統(tǒng)登錄的安全性；

2. 安全運(yùn)維審計(jì)

JumpServer可以通過登錄日志、操作日志、改密日志等對(duì)用戶的登錄行為、操作行為進(jìn)行審計(jì)，還可以對(duì)所有的審計(jì)錄像進(jìn)行集中管理和存儲(chǔ)，并通過授權(quán)實(shí)現(xiàn)有效的權(quán)限管控。

JumpServer開源堡壘機(jī)通過對(duì)系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)控和保護(hù)，對(duì)運(yùn)維人員的行為進(jìn)行審查和追溯，確保系統(tǒng)的可靠性和穩(wěn)定性，滿足了安全運(yùn)維審計(jì)的要求；

3. 成本可控

傳統(tǒng)收費(fèi)堡壘機(jī)的價(jià)格十分昂貴，控制成本對(duì)于中小型企業(yè)來說非常重要。另外，中小企業(yè)自身的資產(chǎn)數(shù)和用戶數(shù)也不是很龐大，因此開源產(chǎn)品成為了中小企業(yè)的首選。JumpServer作為一款開源堡壘機(jī)，免費(fèi)向社區(qū)用戶開放，用戶可以自由在GitHub上進(jìn)行下載安裝，不需要任何額外的費(fèi)用，大大節(jié)省了公司的運(yùn)營(yíng)成本；

4. 簡(jiǎn)單易用，支持云原生

JumpServer支持一鍵部署，易于安裝和部署，降低了堡壘機(jī)的使用門檻。其無插件純Web的訪問方式，以及簡(jiǎn)單直接的UI界面設(shè)計(jì)提高了用戶的使用體驗(yàn)，讓新用戶也能夠快速上手。同時(shí)，JumpServer深度適配多云的網(wǎng)絡(luò)環(huán)境，支持對(duì)云上資產(chǎn)進(jìn)行運(yùn)維審計(jì)。

JumpServer的部署架構(gòu)

企業(yè)可以根據(jù)自身的資產(chǎn)情況與業(yè)務(wù)要求，選擇合適的方案來部署JumpServer開源堡壘機(jī)。以下就是我根據(jù)已有的使用經(jīng)驗(yàn)給出的不同規(guī)模企業(yè)的JumpServer部署方案，可以供大家參考。

小型規(guī)模企業(yè)部署架構(gòu)

小型規(guī)模企業(yè)的資產(chǎn)數(shù)量一般在30-500臺(tái)，實(shí)時(shí)會(huì)話數(shù)在10~50條。企業(yè)主要是為了滿足審計(jì)要求，在一般的開發(fā)測(cè)試環(huán)境下，可以采用典型的單機(jī)部署方式，通過Redis服務(wù)對(duì)接MySQL數(shù)據(jù)庫(kù)服務(wù)。

我們公司最初采用的就是單機(jī)部署方式，并開啟服務(wù)器每日快照，這樣一來，遇到問題可以實(shí)現(xiàn)2秒鐘快速升級(jí)。

中型規(guī)模企業(yè)部署架構(gòu)

中型規(guī)模企業(yè)的資產(chǎn)數(shù)一般在500-2000臺(tái)，實(shí)時(shí)會(huì)話數(shù)在50~200條。當(dāng)企業(yè)需要管理的資產(chǎn)數(shù)增加到500臺(tái)以上的時(shí)候，生產(chǎn)環(huán)境要求高可用，就可以選擇采用雙機(jī)主備部署的方式。

部署兩套JumpServer，一旦系統(tǒng)發(fā)生故障可以實(shí)現(xiàn)無縫切換，保障業(yè)務(wù)的正常運(yùn)行。目前我們公司就是采用主備架構(gòu)來部署JumpServer的，審計(jì)錄像通過對(duì)象存儲(chǔ)服務(wù)進(jìn)行存儲(chǔ)。

大型規(guī)模企業(yè)部署架構(gòu)

對(duì)于大型規(guī)模的企業(yè)來說，資產(chǎn)數(shù)一般會(huì)在2000臺(tái)以上，實(shí)時(shí)會(huì)話數(shù)超過200條。許多大型企業(yè)都有混合云環(huán)境、多數(shù)據(jù)中心、多分支機(jī)構(gòu)的運(yùn)維管理需求，尤其是資產(chǎn)數(shù)在1萬臺(tái)以上的超大規(guī)模企業(yè)。面對(duì)這種大規(guī)模資產(chǎn)、高并發(fā)高性能的場(chǎng)景，可以采用分布式集群部署的方案。

以一家大型互聯(lián)網(wǎng)公司的部署架構(gòu)為例（如圖5所示），公司在阿里云和華為云分別部署一套JumpServer。阿里云為主環(huán)境，華為云為備環(huán)境，跨云備份確保高可用。同時(shí)，阿里云到華為云之間打通多條專線。

這樣一來，日常使用在阿里云環(huán)境中進(jìn)行，華為云作為備環(huán)境。一旦出現(xiàn)專線中斷的情況，可以直接切換至華為云環(huán)境，并且實(shí)現(xiàn)數(shù)據(jù)同步，確保系統(tǒng)正常穩(wěn)定運(yùn)行。

JumpServer的實(shí)踐應(yīng)用

1.?資產(chǎn)賦權(quán)，高效管理

對(duì)于大部分的用戶來說，JumpServer最為主要的使用場(chǎng)景就是管理資產(chǎn)。JumpServer開源堡壘機(jī)能夠通過批量導(dǎo)入資產(chǎn)、批量授權(quán)、自動(dòng)化任務(wù)、日志審計(jì)等功能實(shí)現(xiàn)資產(chǎn)的高效管理，可以實(shí)現(xiàn)對(duì)所有資產(chǎn)的統(tǒng)一管理。運(yùn)維人員不需要登錄到每臺(tái)服務(wù)器分別進(jìn)行管理，一定程度上減少了系統(tǒng)運(yùn)維的工作量，提高了管理效率；

2. 多重認(rèn)證，多重保證

MFA多因子二次認(rèn)證也是很多用戶使用頻率比較高的功能。通過開啟MFA認(rèn)證來進(jìn)行用戶的雙重身份認(rèn)證，尤其在遠(yuǎn)程辦公的場(chǎng)景中，有效保證了系統(tǒng)的安全控制；

3. 風(fēng)險(xiǎn)行為精確預(yù)警

我個(gè)人認(rèn)為，命令過濾功能是JumpServer最為核心、也是最符合社區(qū)用戶需求的一個(gè)功能。命令過濾功能可以有效地控制用戶所執(zhí)行的命令，可以防止一些由于誤輸入導(dǎo)致的錯(cuò)誤命令和危險(xiǎn)命令，有效提升系統(tǒng)的安全性。同時(shí)，JumpServer的危險(xiǎn)命令告警功能還可以精準(zhǔn)預(yù)警可能存在的風(fēng)險(xiǎn)行為；

4. 多樣化資產(chǎn)無限擴(kuò)展

JumpServer開源堡壘機(jī)支持多樣化的資產(chǎn)類型，并且具備無限的擴(kuò)展能力。JumpServer所能納管的資產(chǎn)類型包括主機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)、云服務(wù)、Kubernetes、Web應(yīng)用等。除此之外，JumpServer還支持自定義資產(chǎn)類型，可以根據(jù)企業(yè)實(shí)際需求進(jìn)行擴(kuò)展，滿足復(fù)雜的業(yè)務(wù)場(chǎng)景和安全需求；

5. 統(tǒng)一資產(chǎn)賬號(hào)體系

JumpServer在今年發(fā)布了v3.0版本，新版本統(tǒng)一了資產(chǎn)賬戶體系，我認(rèn)為這是非常實(shí)用的一個(gè)功能。

當(dāng)用戶數(shù)達(dá)到一定的規(guī)模，企業(yè)就需要進(jìn)行有效的賬號(hào)管理，通過JumpServer的對(duì)接模塊對(duì)接飛書、OA（辦公自動(dòng)化）、CMDB（配置管理數(shù)據(jù)庫(kù)）等多個(gè)系統(tǒng)，打破系統(tǒng)之間的隔離狀況，實(shí)現(xiàn)不同系統(tǒng)之間的信息同步。

比如通過對(duì)接CMDB，可以獲取組織架構(gòu)和設(shè)備信息，用于在JumpServer中創(chuàng)建資產(chǎn)、用戶組、資產(chǎn)節(jié)點(diǎn)以及授權(quán)規(guī)則。通過對(duì)接LDAP獲取離職用戶的信息，這樣一來，管理員就可以在JumpServer中自動(dòng)注銷離職用戶的賬號(hào)，不需要重復(fù)在多個(gè)系統(tǒng)中刪去賬號(hào)，提高運(yùn)維管理的效率，同時(shí)也節(jié)省了系統(tǒng)存儲(chǔ)的空間；

6. 線上自助申請(qǐng)權(quán)限

在使用JumpServer之前，用戶申請(qǐng)權(quán)限往往需要通過人工操作，申請(qǐng)人向管理員發(fā)起申請(qǐng)，管理員通過審批之后再進(jìn)行手動(dòng)操作，并且人工通知審批結(jié)果，效率十分低下。

對(duì)于一些比較簡(jiǎn)單的授權(quán)，可以通過JumpServer進(jìn)行自動(dòng)審批和通知，JumpServer會(huì)自動(dòng)完成授權(quán)，無需人工干預(yù)，提高了工作效率，并且還可以針對(duì)這個(gè)功能進(jìn)行二次開發(fā)，以適應(yīng)企業(yè)的實(shí)際需求。

JumpServer的使用心得與體會(huì)

基于7年多的實(shí)際使用經(jīng)驗(yàn)，我總結(jié)了一些JumpServer的使用心得，希望對(duì)大家有所幫助：

1. 不同規(guī)模的企業(yè)需要根據(jù)量級(jí)業(yè)務(wù)場(chǎng)景選擇具體的部署方案，要在安全性、穩(wěn)定性、成本以及適用性這幾個(gè)方面加以考慮；

2. 企業(yè)運(yùn)維工作需要制定內(nèi)部操作規(guī)范手冊(cè)。操作手冊(cè)應(yīng)該簡(jiǎn)潔、高效、規(guī)范和易于理解，以便于運(yùn)維人員統(tǒng)一操作標(biāo)準(zhǔn)，即使是在多人協(xié)作的場(chǎng)景下，也不會(huì)造成混亂。

比如：用戶建立規(guī)則需要明確名稱和用戶名的規(guī)范方法；資產(chǎn)命名規(guī)則需要明確名稱/網(wǎng)域等規(guī)范；資產(chǎn)授權(quán)規(guī)則明確授權(quán)規(guī)則的名稱以及授權(quán)的規(guī)則，中小型規(guī)模的公司建議使用以“用戶”為主進(jìn)行賦權(quán)，而非用戶組；針對(duì)大型規(guī)模的公司，應(yīng)有多層級(jí)管理架構(gòu)管理體系，角色權(quán)限關(guān)系要清晰，需要有統(tǒng)一的管理標(biāo)準(zhǔn)進(jìn)行逐層分級(jí)式管理；

3. 安全方面，建議盡量全員開啟MFA多因子認(rèn)證，特別是針對(duì)公有云場(chǎng)景的用戶，能夠有效保證訪問的安全性。同時(shí)，集成飛書、釘釘、企業(yè)微信以及單點(diǎn)登錄服務(wù)，降低密碼的使用頻率，直接通過用戶中心訪問，不需要額外開設(shè)賬號(hào)和密碼，方便快捷；

4. 高危命令使用的復(fù)核需要嚴(yán)格審核，既是對(duì)業(yè)務(wù)負(fù)責(zé)，也對(duì)自己負(fù)責(zé)。另外，公網(wǎng)環(huán)境中的機(jī)器需要注意單點(diǎn)故障的風(fēng)險(xiǎn)以及安全攻擊的風(fēng)險(xiǎn)，同時(shí)做好服務(wù)器監(jiān)控，實(shí)時(shí)關(guān)注版本的升級(jí)和漏洞情況，及時(shí)進(jìn)行更新迭代；

5. 在實(shí)際使用中我們發(fā)現(xiàn)，通過JumpServer堡壘機(jī)使用VNC比直接連接RDP更加流暢，因此建議對(duì)Windows資產(chǎn)禁用RDP改為使用VNC遠(yuǎn)程訪問，修改默認(rèn)VNC端口，限制僅允許JumpServer通過IP連接，使用體驗(yàn)更加流暢順滑；

6. JumpServer目前還沒有漏洞檢測(cè)的功能，也不能對(duì)文件進(jìn)行查殺病毒，僅能將文件名稱記錄到日志。尤其是在生產(chǎn)環(huán)境中，上傳文件可能會(huì)造成一定的安全風(fēng)險(xiǎn)，建議慎用文件上傳功能；

7. JumpServer堡壘機(jī)使用起來十分地方便，不知不覺間可能會(huì)打開好幾個(gè)資產(chǎn)連接的窗口，這會(huì)導(dǎo)致產(chǎn)生較多的無用錄像，占用較大的磁盤空間。因此在使用堡壘機(jī)的時(shí)候，建議將最大空閑時(shí)間調(diào)短，以減少錄像文件的大小，節(jié)省系統(tǒng)存儲(chǔ)空間；

8. 安全管理必須重視“人本觀”?！叭恕本褪亲畲蟮陌踩蛩?，在人的行為和物的種類日趨復(fù)雜多變的今天，單靠監(jiān)督與被監(jiān)督的傳統(tǒng)管理模式，很難達(dá)到安全管理的目的。

因此，我們應(yīng)該從“以人為本，關(guān)心人、愛護(hù)人、尊重人”的基點(diǎn)出發(fā)，在安全管理工作中樹立“人本觀”，尊重各個(gè)崗位的人員，形成良好的溝通。在系統(tǒng)出現(xiàn)故障的時(shí)候，能找得到對(duì)應(yīng)的人。要對(duì)企業(yè)數(shù)據(jù)和企業(yè)安全有敬畏之心，規(guī)避安全問題的發(fā)生。

此外，為保障系統(tǒng)運(yùn)維的安全性，運(yùn)維人員需要從事前、事中、事后三個(gè)方位展開全流程的管理工作。JumpServer開源堡壘機(jī)支持事前授權(quán)、事中監(jiān)察和事后審計(jì)，確保在安全合規(guī)方面符合等保規(guī)范。

事前管理：統(tǒng)一入口，定期改密

■?備份機(jī)制：常規(guī)備份、服務(wù)器快照、數(shù)據(jù)庫(kù)、程序文件與配置文件等；

■?監(jiān)控與告警：異常登錄告警、SSH登錄記錄、進(jìn)程狀態(tài)等；

■?服務(wù)器安全定期掃描、代碼檢測(cè)與漏洞掃描；

■?數(shù)據(jù)的加密處理機(jī)制：部分重要數(shù)據(jù)需要加密，并且對(duì)其采取加密算法；

■?應(yīng)急預(yù)案：備用硬件&ECS、恢復(fù)演練等。

事中管理：防止違規(guī)操作

■?WAF、安全中心、網(wǎng)絡(luò)防火墻的接入；

■?風(fēng)險(xiǎn)命令的控制，例如：rm/restart/reboot/shutdown；

■?處理安全事故，三思而行，做好回退以及兜底機(jī)制，考慮是否會(huì)引發(fā)連鎖故障。

事后管理：日志分析，追溯整個(gè)運(yùn)維過程

■?統(tǒng)一的日志收集和分析機(jī)制；

■?運(yùn)維管理可視化；

■?備份恢復(fù)功能；

■?定位事故原因，制定改進(jìn)措施、自動(dòng)化措施以及后續(xù)規(guī)避措施。

對(duì)JumpServer展望和期待

JumpServer項(xiàng)目從創(chuàng)立至今，一直保持開源的運(yùn)營(yíng)模式。希望JumpServer未來能夠繼續(xù)保持高度開放和自治，在市場(chǎng)上自由競(jìng)爭(zhēng)。

我從2016年接觸JumpServer到現(xiàn)在，已經(jīng)完全習(xí)慣了JumpServer的使用習(xí)慣，這也是我一直選擇JumpServer的一個(gè)重要原因。同時(shí)，JumpServer的品牌價(jià)值和愿景也比較符合大眾的需求，開源模式下用戶積累的力量是非常強(qiáng)大的。

對(duì)于廣大的開源用戶來說，堡壘機(jī)就是JumpServer，有廣大的社區(qū)用戶給JumpServer賦能，贏在聲譽(yù)。

安全是企業(yè)安身立命的根本，因此希望JumpServer能夠堅(jiān)持技術(shù)安全底線，持續(xù)學(xué)習(xí)和完善。希望JumpServer能夠保持開放的心態(tài)，向?qū)κ謱W(xué)習(xí)，借鑒成與敗，向用戶學(xué)習(xí)，多了解廣大用戶的需求，不斷細(xì)化功能細(xì)節(jié)的顆粒度。

另外，運(yùn)維人員要學(xué)會(huì)利用好JumpServer這個(gè)免費(fèi)的、最好用的“武器”來保護(hù)自己，也期待著JumpServer能夠像Nginx、Apache一樣享譽(yù)全球，不僅成為國(guó)內(nèi)運(yùn)維人員的“利器”，更要走出國(guó)門，走向世界。