1、由于不明身份用户利用远程运维通道攻击服务器造成业务系统出现异常：但是运维人员无法明确攻击来源，那么领导很生气、后果很严重。

        2、只有张三能管理的服务器，被李四登录过并且做了违规操作：但是没有证据是李四登录的，那么张三只能背黑锅了。

        3、运维人员不小心泄露了服务器的密码。一旦发生安全事故，那么后果不堪设想。

        4、某服务器的重要数据被窃。但是数据文件无法挽回，那么面临的是无法估量的经济损失。

        运维工作中由于远程登录来源身份不明、越权操作、密码泄露、数据被窃、违规操作等因素都可能会使运营的业务系统面临严重威胁，一旦发生事故，如果不能快速定位事故原因，运维人员往往就会背黑锅。

        提供统一入口，所有运维人员只能登录堡垒机才能访问服务器，梳理“人与服务器”之间的关系，防止越权登录

        采用手机APP动态口令、OTP动态令牌、USBKEY、短信口令等双因素身份实名鉴别机制防止密码被暴力破解，解决访问身份模糊的问题。

        通过堡垒机定期自动修改服务器的密码，解决手工修改密码、密码泄露和记住密码的烦恼。

1）可自动修改Windows、Linux、Unix、网络设备等操作系统的密码；

2）可以设置周期或指定时间执行改密任务；

3）可设定密码的复杂度、随机密码、指定密码、固定密码格式等；

4）可通过邮件、SFTP、FTP方式自动发送密码文件给管理员；

5）提供密码容错机制：改密前自动备份、备份失败不改密、改密后自动备份、自动恢复密码等。

        堡垒机要做到文件记录、视频回放等精细化完整审计，快速定位运维过程：

1）不仅要对所有操作会话的在线监控、实时阻断、日志回放、起止时间、来源用户、来源地址、目标地址、协议、命令、操作(如对文件的上传、下载、删除、修改等操作等)等行为记录。

2）还要能保存SFTP/FTP/SCP/RDP/RZ/SZ传输的文件为上传恶意文件、拖库、窃取数据等危险行为起到了追踪依据。

        Jumpserver 是全球首款完全开源的堡垒机（跳板机），使用 GNU GPL v2.0 开源协议，是符合 4A(认证Authentication、授权Authorization、记账Accounting、审计Audit) 的专业运维审计系统。

        Jumpserver 使用 Python / Django 进行开发，遵循 Web 2.0 规范，配备了业界领先的 Web Terminal 解决方案，交互界面美观、用户体验好。

        Jumpserver 采纳分布式架构，支持多机房跨区域部署，中心节点提供 API，各机房部署登录节点，可横向扩展、无并发限制。

        Jumpserver：为管理后台, 管理员可以通过Web页面进行资产管理、用户管理、资产授权等操作,默认端口为 8080/tcp 配置文件在 jumpserver/config.yml

        Coco：为 SSH Server 和 Web Terminal Server 。用户可以通过使用自己的账户登录 SSH 或者 Web Terminal 直接访问被授权的资产。不需要知道服务器的账户密码,默认 SSH 端口为 2222/tcp, 默认 Web Terminal 端口为 5000/tcp 配置文件在 coco/config.yml

        Luna：为 Web Terminal Server 前端页面, 用户使用 Web Terminal 方式登录所需要的组件

        Guacamole：为 Windows 组件, 用户可以通过 Web Terminal 来连接 Windows 资产 (暂时只能通过 Web Terminal 来访问), 默认端口为 8081/tcp

        Nginx：默认端口为 80/tcp，前端代理服务

        Redis：默认端口为 6379/tcp，数据库缓存服务

        Mysql：默认端口为 3306/tcp，数据库服务

官网推荐安装环境

CPU： 2核、内存: 8G

（一）实验环境

官方极速安装：

安装部署 - JumpServer 文档

1、关闭防火墙

[rootahuyang1~]# systemctl stop firewalld[rootchuyangl~]# iptables -F[rootahuvang1~]# setenforce 0[root@jumpserver -]#hostnamectl set-hostnamejumpserver

2、在线下载软件

curl -sSL

https://github.com/jumpserver/jumpserver/releases/download/v2.28.0/quick_start.sh | bash

根据提示操作：

cd /opt/jumpserver-installer-v2.28.0/

./jmsctl.sh start

3、测试连接

# linux

ssh -p2222 admin@192.168.100.131 # 密码: admin

sftp -P2222 admin@192.168.100.131 # 密码: admin

# Windows 下, Xshell Terminal 登录语法如下

ssh admin@192.168.100.131 2222 # 密码: admin

[root@localhost ~]# ssh -p2222  admin@192.168.100.131

4、网页访问测试：

用户名：admin   密码：admin

修改密码：

自动跳转：

再次登录：

进入访问：

可以配置当前邮箱：在主页面，也就是控制台，选择用户管理--->用户列表

点击administrator右侧的更新进入修改如下：

在右侧个人中心查看如下：

（一）系统设置

1、设置当前站点URL，更改如下：

2、设置邮箱：

3、输入内容：测试

4、结果测试

（二）创建资产

2、进入添加名称--->用户名--->认证密码、密钥密码

3、提交后，添加

配置如下：

点击提交：

等待一会，刷新：

最终结果如下：

（三）同理添加资产，得到如下：

1、建特权用户

2、创建资产server132

3、创建资产server133

4、结果如下：