首页 新闻 会员 周边 捐助

jumpserver 的选用

0
[已解决问题] 解决于 2023-01-11 22:26

请问公司目前的所有服务器都是阿里云上面的,一台公司内网服务器都没有。现在开发和运维人员,连接阿里云服务器直接通过账号密码登录的,也不用 key 。我想控制一下开发和运维人员的操作管控,加入 jumpserver 有必要吗?还是说直接使用 key 就可以了?

SeagullUp的主页 SeagullUp | 初学一级 | 园豆:148
提问于:2022-08-24 09:30
< >
分享
最佳答案
0

无论何时,何种场景,堡垒机都是必要的。可以给你以下几点建议:
1.网络方面:阿里云使用的VPC(虚拟网络),你们公司到服务器走的是公网ssh?如果不是做了专线做了穿刺的话,那就是公网ssh,这是极其危险的。建议服务器web防火墙关闭所有外网的ssh端口,仅开放:192.168.0.0/16,172.10.0.0/12以及10.0.0.0/8 3个内网CIDR段;
2.堡垒机及跳板机,购买一台服务器具备公网IP,且与你生产服务器同一虚拟网络下,这台服务器既是跳板机也是堡垒机,安装jumpserver,录入线上服务器信息,录入前最好更改所有服务器密码,收归统一管理,所有人不得直接使用root用户登录,堡垒机录入用户也该为op或者dev用户,只有需要提权的时候使用sudo或者sudo -i进行操作,堡垒机对所有操作做审计,如果密码没有回收,其他用户仍然可以跳过堡垒机直接连接服务器,不能起到审计作用;
3.key与非key其实并不重要,看具体场景,但如果严格要求的话,是禁止使用key登录,堡垒机也禁止录入服务器key,因为根据安全要求,服务器密码也应该在90天更换一次,减少密码写录得风险。
上述组重要的是避免公网SSH,该操作风险为超高。如果一定要通过公网SSH,务必限制入站规则为限定IP,比如公司的静态公网出站IP。

奖励园豆:5
清眸映雪 | 菜鸟二级 |园豆:211 | 2022-08-24 10:12
其他回答(2)
0

因为过三级等保必须要用堡垒机,就用了开源的jumpserver,还是蛮方便的,密码只需要管理员知道设置就行了(定期修改密码也不用像之前一样还要通知到所有用到 的人),其它使用人员通过浏览器就可以远程到自己权限范围内的所有服务器,不用每次都输入用户名和密码。而且所有的远程操作都有视频回放记录,可以直接上传、下载文件。
jumpserver公司的工作人员都上门推销过两次了,每年都来一次,每次来都还带好些周边小礼物,鼠标点,小风扇之类的搞得我们都不好意思了,可是我们小公司就开源版就完全够用了(还是因为穷)。

Adming | 园豆:119 (初学一级) | 2022-09-04 16:29
0

加入 jumpserver 有必要吗?

有必要。

ycyzharry | 园豆:25683 (高人七级) | 2022-10-09 00:27
清除回答草稿
   您需要登录以后才能回答,未注册用户请先注册