只允许某个资产通过某个 IP 登录 JumpServer 之后进行连接的设定


Administrator
飞致云 发布于 2022-10-20 / 3909 阅读 / 0 评论 /
概述 JumpServer 具有审计等功能。使用 JumpServer 之后管理者可能想限制用户仅允许从 JumpServer 登录并对纳管的资产进行操作。该限制可通过对纳管的资产进行网络限制解决。

概述

JumpServer 具有审计等功能。使用 JumpServer 之后管理者可能想限制用户仅允许从 JumpServer 登录并对纳管的资产进行操作。该限制可通过在纳管的资产进行网络限制解决。

场景分析

某些应用场景下,可能需要纳管的资产仅允许从某个 IP 登录 JumpServer 之后再进行操作,即有一个主机仅允许使用者从特定的网络环境中连接 JumpServer 之后进行操作。如上场景会有两个限制:一个是限制访问使用者的 IP,另一个限制资产仅允许从 JumpServer 登录。
此时需要注意,如果该 IP 为多人使用,以下场景不适用。即以下处理方式适用于该 IP 为个人使用的情况。

JumpServer 设置

创建一个 JumpServer 用户,ip-deny。

设置资产授权。
创建用户授权,仅允许 ip-deny 用户登录需要被限制的资产。
为特定用户创建登录规则。

创建黑名单,即该用户使用所有的 IP 在所有时间登录都拒绝,优先级为 100。

创建白名单,即该用户使用指定的 IP 在所有时间登录允许,优先级为 90;

按照设定的登录规则,此时该用户只能在周一~周五的早上七点到晚上八点登录 JumpServer 堡垒机。

为防止误操作将该资产授权给其他用户,进行如下操作:
在 “访问控制‘→”资产登录“→”创建“ 创建资产登录规则,包括 IP 限定,优先级,审批等。
创建所有的用户登录该资产都需要进行管理员进行复核。

设定登录复核审批人。
图片-1666260225253
通过以上设定即可完成用户对资产登录限制。

登录堡垒机验证规则是否生效。
图片-1666261568833



是否对你有帮助?