一、安全建议

Jumpserver 对外需要开放 80 和 2222 端口，如果你配置了 ssl 还需要开放 443 端口, 8080 端口开放给 koko 和 guacamole 组件访问

• JumpServer 所在服务器操作系统应该升级到最新

• JumpServer 依赖的软件升级到最新版本

• 服务器、数据库、redis 等依赖组件请勿使用弱口令密码

• 不推荐关闭 firewalld 和 selinux

• 只开放必要的端口，必要的话请通过 vpn 或者 sslvpn 访问 JumpServer

• 如果必须开放到外网使用，你应该部署 web 应用防火墙做安全过滤

• 请部署 ssl 证书通过 https 协议来访问 JumpServer

• JumpServer 不要使用弱口令密码，应立即改掉默认的 admin 密码

• 推荐开启 MFA 功能，避免因密码泄露导致的安全问题

二、安装环境要求

硬件配置: 2个CPU核心, 4G 内存, 50G 硬盘（最低）
操作系统: Linux 发行版 x86_64

Python = 3.6.x
Mysql Server ≥ 5.6
Mariadb Server ≥ 5.5.56
Redis

三、官网安装文档

https://docs.jumpserver.org/zh/master/install/step_by_step/

官方安装上有

   docker安装 容器化、

   普通安装  组件拆分

   急速安装 shell安装

   分布式安装  集群

生产环境安装不建议使用docker安装，我们这边演示的是普通安装。

 

四、为什么要用jumpserver

因为jumpserver具备身份双因素认证、授权控制、账号管理、安全审计等功能，可以协助企业提高通过三级等保2.0认证。

笔者公司最近在做三级等保2.0评测的时候安全登陆方面被评为高危险漏洞，所以急需上线jumpserver。

1、未采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，可能面临用户账户被暴力破解的可能。

2、未启用连续认证失败限制措施，可能导致攻击者可利用此漏洞对应用系统的口令进行暴力破解。

3、未限制管理员登录IP地址，可能会造成攻击者对应用系统进行非法访问、攻击。

4、可能导致越权、滥用、安全事件发生后无法追责溯源等。

5、未对审计管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全审计操作，并对这些操作进行审计。

6、无法统一对系统内部分散在各个设备上的审计数据进行收集汇总和集中分析，无法满足日志的保存要求，可能会导致安全事件发生后，无法快速有效进行分析溯源。