jumpserver堡垒机 windows

知识教程-转载于天翼云 5个月前大兵云服务器

40 0 0

堡垒机在Jumpserver的基础上增加了基于TOTP的双因素认证、Windows图形界面访问审计、自动化同步CMDB主机、文件导入导出、自动修改密码等功能。主要使用了以下开源软件：jumpserver、xrdp、vnc-server、rdesktop、recordmydesktop、proftpd、ansible、nginx、mysql等。Jumpserver堡垒机：主体系统。Xrdp、vnc-server、rdesktop、recordmydesktop:用于提供远程桌面服务及录屏服务（新版jumpserver已经有支持windows）。SFTP服务器：安装proftpd服务，提供文件上传下载功能。Ansible:批量推送、批量改密等。Google Authenticator:用于提供二次动态口令认证服务。在堡垒机对于文件的导出，进行严格控制，禁止SZ命令，此外Windows跳板机，不允许数据粘贴出来。需要导出文件的，通过访问内网SFTP系统，将数据上传到特定目录后，会自动生成一次性URL链接给用户邮箱，用户在办公网通过访问这个链接就可以下载文件。其他的用户堡垒机是通过ssh免登陆管理的，修改这些用户密码对业务应用不会有影响，所以我们设定策略每个月初修改密码，这些密码是长位数随机的。修改的密码会记录到一个专用的密码管理系统中，需要申请后，才能查询到密码。Jumpserver是一个非常优秀的开源堡垒机系统，我们在这个基础上，进行了不少的二次开发，满足了我们对于密码二次认证、Windows跳板机和审计、文件导出和审计、密码管理等需求，经过一年的使用，效果良好。