JumpServer堡垒机用户角色及安全设置最佳实践
JumpServer堡垒机用户角色及安全设置最佳实践
JumpServer是一款开源的堡垒机软件,主要用于服务器运维的安全管理。本文将详细介绍JumpServer的用户权限体系、登录安全性增强和访问权限控制等方面的内容,帮助读者更好地理解和使用JumpServer。
1、用户权限体系
1.1、组织架构
在Jumpserver企业版本中提供了多组织管理能力,每个组织可以认为是个独立的组织团队,每个组织团队具备独立的用户管理和资产管理能力。组织内可以设置组织管理员,组织用户,组织审计员等不通角色人员,可以创建组织自身的资产,配置不同资产权限。
以一个大型集团为例,这个大型企业在IT管理上分为总部和上海,深圳分支机构,每个分支机构有独立的资产,用户。从集团总部来说,可以通过JumpServer 多组织的能力实现总部和分支机构统一管理,如下图:
注意:JumpServer 多组织的本质是数据逻辑隔离,所以不能解决不同区域或者机房的网络连通性问题,需要结合JumpServer的分布式部署能力解决多组织下的区域网络问题。
1.2、角色关系及角色划分
Jumpserver默认自带系统管理员,系统审计员,用户等多种角色,每一种角色管理的权限也不一样。作为管理员,可以根据实际需求自定义用户角色,并对用户角色进行自定义编辑。
- 管理员:管理员是指拥有堡垒机所有权限的用户。作为管理员需要完成工单的审批、用户授权申请、用户权限变更、用户锁定等行为操作,同时针对员工职位的变化对员工的角色和权限做出相应的权限变更。
- 审计员:审计员可以查看当前用户的操作行为、用户权限、用户信息、文件传输记录、用户操作日志等信息。当用户触发危险命令时,作为审计员可以对用户操作进⾏实时监控,发现违规操作,⽴即中止用户操作行为。
- 普通用户:普通用户拥有正常操作和资产登录的权限,但不能对配置进行修改。
- 自定义用户角色:
1.3、用户与资产账号之间的关系
在JumpServer中,用户对资产的操作权限是由授权规则中授权的资产账号决定的。一般会通过资产账号来实现业务权限的区分,分为可读账号,可写账号和高权限账号三大类。
然后根据用户的角色和需求来授权对应的资产账号,用户可以通过授权的资产账号登录授权的资产,其关系如下:
1.4、资产账号权限控制
资产账号的权限也是至关重要的,其往往决定了用户对服务器的实际操作权限。
通过jumpserver的命令过滤功能,可以对执行的命令进行过滤,过滤高危命令,降低操作风险,当匹配到命令后做允许,审批,拒绝和通知的操作。
一个命令过滤可以绑定多个命令组。当绑定的用户用资产绑定账号去连接绑定的资产执行命令时,这个命令需要被绑定过滤器的所有命令组进行匹配,高优先级先被匹配。
1.4.1使用场景示例
某个用户对该组资产只能执行查看类操作(ls,pwd,cd,cat,less,more),其余命令都禁止
1.4.1.1创建命令组
命令组可以绑定到命令过滤器中,命令组中可以创建两种命令组,分别是正则表达式和命令。
命令组1:拒绝所有
命令组2:允许执行的命令
1.4.1.2创建命令过滤规则
创建两条命令过滤规则,拒绝的优先级要大于允许的命令过滤规则,即数字越小优先级越高。
1.4.1.3验证
2、用户登录安全性增强
2.1、用户密码复杂度
2.2、用户登录限制
用户登录限制可以根据用户或IP或用户的IP进行限制,根据用户设置的用户登录Jumpserver限制,用户登录超过错误次数后,多长时间才能重新登录。
参数说明:
- 限制用户登录失败次数:用户输错密码最多登录失败次数,之后将会被锁定一段时间。
- 禁止用户登录间隔:用户锁定的时间。
- 限制IP登录失败次数:某IP最多登录失败次数,之后将会被禁止登录一段时间。
- 禁止IP登录间隔:IP锁定的时间。
- IP登录白名单:允许登录堡垒机的IP。
- IP登录黑名单:不允许登录堡垒机的IP。
- 已锁定的IP:超过设置的登录失败次数后被锁定的IP。
- 仅一台设备登录:仅允许用户在一台设备上登录。下个设备登录,上一个登录设备会强制下线。
- 仅已存在用户登录:仅允许存在于JumpServer用户列表中的用户登录。
- 仅从用户来源登录:仅允许用户从用户列表中列出的来源处登录。
2.3、如何解锁用户
如用户被锁定,也可联系管理员手动解锁。
2.4、双因子认证
用户登录限制可以启动双因子认证,更安全的登录 JumpServer。目前JumpAerver支持的双因子认证方式有两种:MFA双因子认证和短信认证。
2.4.1、MFA双因子认证
在系统设置-安全设置-认证安全中设置全局启动MFA认证以及第三方登录用户实现MFA认证
不开启MFA全局MFA的情况下,在创建用户时,可选择针对单个用户开启MFA双因子认证。
注:全局开启 MFA 规则高于单个用户关闭 MFA 规则。
用户首次登录时,绑定MFA认证,第二次登录即可直接使用MFA进行登录验证。
JumpServer 常用的 MFA 工具可参考:https://kb.fit2cloud.com/?p=6
2.4.1.1重置MFA
如用户换新设备,无法获取之前设备的MFA验证码,可以联系管理员重置用户MFA,用户可使用新设备重新扫码绑定MFA。
2.4.2、短信认证
短信认证可以在系统设置-消息通知-短信设置开启
设置后,即可在使用 MFA 的位置选择短信验证。
2.5用户登录规则
用户登录限制可以细化至用户层面。在用户管理中可以针对某一个用户设置用户登录规则。可以设置规则,限制用户在特定IP和特定时间段内登录。
例如,只允许公司IP和工作时间登录Jumpserver,可参考下方设置
2.5.1、创建允许用户登录的规则
创建一条允许用户登录的规则,指定允许登录的IP和时间范围。
2.5.2、创建拒绝登录规则
创建一条动作选择拒绝的登录规则。时段不选择代表所有时间,注意优先级数字要比上一条规则大。
2.5.3、测试登录
3、访问权限控制
3.1、资产登录复核
此功能适用于需要进行严格访问控制的场景,以确保只有经过授权的用户才能访问敏感资源,也可设置资产登录告警通知,识别用户异常行为,防止滥用访问权限。
依据安全策略,系统可以针对JumpServer登录用户,资产信息,账号信息,匹配规则四个维度对资产的登录设置动作限制。
3.2、申请资产授权
使用场景:敏感资产,没有给用户永久授权,但用户特定时间需要有该资产的维护权限,用户可主动提交工单审批,申请该资产授权,指定资产使用日期,到期后无需管理员干预删除授权,该授权规则自动失效,减少管理员授权维护成本。
审批流程可指定审批人