一、JumpServer V3 版本安装与升级
1、如果我想搭建 JumpServer 单机版环境,主机需要什么样的配置?我应该到哪里获取安装包?
JumpServer 搭建的操作系统环境要求如下:
更多配置信息可参考:https://docs.jumpserver.org/zh/v3/installation/setup_linux_standalone/requirements/
JumpServer 支持多种安装方式:在线安装和离线安装。在线安装可直接拉取 quick_start.sh 脚本安装 JumpServer,离线安装需要从飞致云社区下载最新版本的离线包,并上传部署服务器的 /opt 目录下。
JumpServer 在线安装参考:https://docs.jumpserver.org/zh/v3/installation/setup_linux_standalone/online_install/
JumpServer 离线安装参考:https://docs.jumpserver.org/zh/v3/installation/setup_linux_standalone/offline_install/
2、JumpServer V2 版本很容易升级到 JumpServer V3版本吗?有具体的操作文档吗?
JumpServer V3.0 版本与 JumpServer v2.* 版本存在一定的差异。JumpServer v3.0 版本增加了一些新功能,删除了一些冗余或产品设计不合理的地方,同时重构了部分功能。
所以升级前为了确保升级前后的数据基本一致,需要确定以下信息:
梳理数据,因 JumpServer v3.0 去除了系统用户,将资产与账号直接进行绑定。故在升级前需保证每个资产同一个用户名只有一个账号,升级中如果该资产下有多个同名账户,如有多个 root 用户,则升级后会自动合并最后一个 root 用户,不会同步其他 root 用户。建议升级前先梳理一次授权规则。
保存数据, JumpServer v2.* 升 JumpServer v3.0 时改密计划、收集用户、远程应用数据将不会迁移,请先进行保存待升级成功后再进行配置。
功能确认,JumpServer v3.0 版本去掉了部分功能, 如动态用户,推送用户使用指定的家目录、所属组、Shell、Sudo 信息等不再支持,同时确认其它功能是否能满足需求。
备份工作,请一定要先进行备份,备份 JumpServer v2.* 版本的数据库,参考此文档中数据库备份章节:https://docs.jumpserver.org/zh/v2/install/upgrade/mariadb-mysql
如果有条件,稳妥起见请先搭建新的环境进行测试验证,参考此文档进行离线安装部署:https://docs.jumpserver.org/zh/v3/jms_install/linux_stand-alone/off_line_install/
操作参考文档可参考:
单节点架构升级,请参考:https://docs.jumpserver.org/zh/v3/jms_install/linux_stand-alone/off_line_upgrade/
Kubernetes 架构升级,请参考:https://docs.jumpserver.org/zh/v3/jms_install/k8s_helm/helm_on_line_upgrade/
集群架构请先停止各应用节点,逐个进行升级即可;
其它架构请自行升级,注意升级过程中涉及数据库表结构变动,需先停止服务;
升级失败回退旧版本请参考:https://kb.fit2cloud.com/?p=4ba65333-bf41-42f7-b329-afc855e7789a
二、JumpServer v2 版本与 V3 版本得差异
1、V3 版本与之前的 V2.x 版本最大的区别是什么?
以下为 V3 版本的所有重点功能:
用户体验全新升级:全新 UI 设计,简约而直白。登录页面重新进行设置,去除 JumpServer 堡垒机登录标题,JumpServer 首页图片重新设计,更契合 JumpServer 的产品功能与定位。
资产应用统一纳管:资产与应用合并统称为“资产”。通过对底层表结构的修改以及页面的修改合并资产与应用信息。内置的资产类型包括:主机、网络设备、数据库、云服务、Web 以及其它(预留其它类型)。资产树视图支持两种类型:用户自定义节点的视图、系统内置的资产类型视图。
资产账户进行关联:系统用户重构为账号,放弃原先的系统用户中间层。在添加资产时需要添加一系列的凭证来设置账号权限,一个账号对应一个资产。
账户管理全面整合:新增“账号管理”模块,将所有关于账户的功能全部放置到“账号管理”模块中,包含:账号列表、账户模版、账号推送、账号收集、账号改密、账号备份。
系统平台重新设计:新的平台是资产的抽象和约束。JumpServer V3 的新平台出了可以区分资产类型之外,还可以定制一些功能、例如,是否开启网域、账号切换等功能。另外、通过新的资产平台,用户还可以灵活定义自动化配置,包括:资产探活方式、资产改密方式等。
权限管理集中控制:权限由原本的资产授权与应用授权切换成资源授权、资产登录和命令过滤整合所有授权管理。
远程应用自动部署:Remote APP 重构,作为一种连接方式存在,主要用于连接资产,而不再是一种应用类型;RemoteApp 的主机池由 JumpServer 进行统一维护,并且能定时上报状态;用户提供 Windows 资产并安装基础组件之后,JumpServer 会在应用发布机上代理执行自动化的工作,RemoteApp 主机就可以自动部署、自动维护;密码代填功能使用 Python 框架完成,而不再使用 AutoHotKey,准确性更强。
审计日志详细记录:新增资源的活动日志,按照时间线记录每一个资源的活动信息。
作业中心全面改版:作业中心重构,提高用户对于批量命令的操作效率,新增支持 Playbook。
2、我发现 V3 社区版本删减了之前 V2 社区版本支持的第三方系统对接,比如企业微信、钉钉等是基于什么样的考虑呢? V3 社区用户还可以对接 LDAP 认证嘛?
JumpServer v3 版本我们参考常见的开源产品产品企业版策略做了部分变更,将企业微信等第三方系统修改为企业版功能。
为了弥补企业微信、钉钉等社区版功能转变为企业版功能,我们向社区开放了 Remote APP 功能,支持了在社区版中纳管 Web 资产。同时我们的 2.28 版本会持续进行支持,原版本仍可持续使用。
3、我没有在 V3 版本中找到之前版本的动态用户功能嘛?这个功能被删掉了吗?
JumpServer 目前版本是 v3.0.3。在目前版本中,动态用户功能确实没能实现。因为原本的动态系统用户有自动推送的功能,V3 版本因为资产与账号整个系统重构导致动态用户功能点复杂。动态用户功能会在后续版本迭代中实现,
4、V3 版本什么时候可以应用到生产环境上使用?
关于 V3 升级到生产环境的问题,我们建议的操作步骤如下:
备份原环境的数据库信息以及 config.txt 配置文件信息。
搭建测试环境并测试升级,升级过程中的信息请根据 JumpServer v3.0 升级指南: https://kb.fit2cloud.com/?p=06638d69-f109-4333-b5bf-65b17b297ed9 操作升级;
测试完成并确认数据没有丢失后即可应用到生产环境上使用。
三、JumpServer V3 开源版本与企业版本差异
1、V3 版本开源版本与企业版本的差异
JumpServer 的核心功能全部开源,坚持按月发布新版本,永久免费使用。
相比 JumpServer 开源版,JumpServer 企业版提供面向企业级应用场景的 X-Pack 增强包,以及高等级的原厂企业级支持服务,同时提供 JumpServer 运维安全最佳实践,有效助力企业快速构建并运营自己的运维安全审计系统。X-Pack 增强包括一些企业级客户所需的附加功能,比如页面自定义 Logo、多组织管理、支持管理 Oracle、PostgreSQL 数据库等;X-Pack 增强包的具体功能会随新版发布持续增加;
V3版本根据常见的开源产品比如Teleport等产品企业版策略做了部分变更:
企业版转社区版:JumpServer 团队开放了远程应用功能中的部分远程应用,例如:Chrome(Web 资产)、DBeaver 数据库连接工具。
为了平衡远程应用开源我们将部分开源功能转为企业版功能:认证配置中除 LDAP 以及 CAS 外其余认证我们调整为了企业版功能。
JumpServer 企业版功能可参考:https://www.jumpserver.org/enterprise.html
X-Pack 增强包功能将跟随 JumpServer 版本迭代按月持续增加,企业版客户在服务期内无需支付额外费用就可以使用上新增功能。
2、改主题颜色也是只有企业版支持嘛?
是的,JumpServer V3 版本的界面设置是企业版功能,JumpServer 企业版界面设置可以设置 JumpServer 主题与 JumpServer 系统的 Logo。
3、平台列表这个功能开源版本支持吗?
支持的,开源版本支持平台列表功能。
4、开源版本什么时候支持多账号资产扫描?
该功能目前为企业版功能,暂无计划开源。如您需要企业版试用或支持可参考:https://www.fit2cloud.com/jumpserver/enterprise.html该页面联系企业版试用或者拨打 400-052-0755 获取企业版报价信息。
四、远程应用相关
1、远程应用是做什么的?
远程应用本质是一个执行脚本,通过固定的方式编写后安装到远程应用发布机,之后根据代填信息启动应用程序代填连接资产信息。
JumpServer 3.0 版本中远程应用作为一种连接方式存在,主要用于连接资产;即将 JumpServer 纳管的资产例如:Web 资产、数据库资产等等通过应用发布机中安装的 Windows 应用打开。详细连接结果可参考:https://kb.fit2cloud.com/console/#/posts/editor?name=c207be97-6439-4d19-b228-4f1ac7da831e
2、远程应用发布的大概流程是什么?
JumpServer 3.0 版本中的远程应用的发布流程以及基本代填可参考:https://kb.fit2cloud.com/?p=9beffa46-3b58-456b-9db0-7a0b2a9cc665
3、应用发布机是什么意思?怎么理解?
应用发布机是承载 JumpServer 中的 Web 资产、远程应用连接方式的底层服务器。即当访问 Web 资产或者使用远程应用的连接方式连接数据库时,底层服务器都是使用的 Windows 应用发布机。
当访问 Web 资产时,JumpSerevr 平台会访问 Windows 应用发布机并打开发布成功的 Chrome 浏览器根据设置的代填信息填写 Username、Password 等信息成功连接 Web 资产。
当使用远程应用连接方式连接数据库时。JumpSerevr 平台会访问 Windows 应用发布机并打开发布成功的 Navicat 或者 DBeaver 根本设置的代填信息填写Username、Password 等信息成功连接数据库资产。
4、远程应用的账户密码可以托管吗?
远程应用的账号密码是可以进行托管的。
例如:Web 资产授权时,授权选择的账号即 Web 资产的账号,而并非 Windows 资产的账号,此时即可选择托管账号或手动输出账号。
当访问 Web 资产时,登录后端 Windows 应用发布机的账号为随机账号,此随机账号是在初始化应用发布机时创建的100个以 jms 开头的随机账号。
5、远程应用可以自动填充验证码嘛?远程应用怎么处理验证码?
JumpServer 目前版本【V3.0.3】不支持验证码自动填充。因为验证码方式多样且验证码本身即为了防止爬虫程序等异常登录方式,所以目前版本并不能实现自动填充验证码。后续版本中,JumpServer 将考虑使用其它方式处理验证码,具体实现方式可关注后续 JumpServer 迭代或在 GitHub 中提 ISSUE 与研发中心直接联系。
6、远程应用可以发布安卓应用嘛?远程应用可以发布加密货币钱包嘛?
目前远程应用可发布可部署在 Windows 服务器上的应用。当您的应用可以发布到 Windows 服务器上时,JumpServer 远程应用都可以进行发布。自定义应用 ZIP 包方式可参考:https://docs.jumpserver.org/zh/v3/guide/system/remoteapp/#4-applet或者可参考 GitHub 中的 JumpServer 项目。
7、其它客户端的应用怎么发布?怎么自定义?远程应用自定义脚本有没有操作指南?
其它客户端的应用首先需要打包 ZIP 包进行上传,ZIP 包内容及方式可参考:https://docs.jumpserver.org/zh/v3/guide/system/remoteapp/#4-applet或者可参考 GitHub 中的 JumpServer 项目。
8、远程应用发布机可发布的默认远程应用都是开源的吗?目前开源了哪些远程应用?
远程应用发布机安装部署时,默认安装的远程应用包含:Navicat、DBeaver、Chrome。其中开源版本默认安装 Chrome、DBeaver 软件,其余软件用户可自定义相关ZIP 包并上传部署,自定义软件安装包可参考:https://docs.jumpserver.org/zh/v3/guide/system/remoteapp/#4-applet
9、远程应用发布机有没有系统版本要求?
远程应用发布机需要安装 python 3.10 版本,Windows Server 2012 R2 及以下版本不支持安装。即 JumpServer 远程应用发布机至少需要 Windows Server 2016 及以上版本系统。同时,该远程应用发布机 Windows 尽量保持干净状态即初始化状态的 Windows,同时不需要安装 Chrome,初始化应用发布机使会自动安装,如手动安装可能会导致 Chrome 版本冲突,其它服务软件同理。
10、远程应用发布还有连接限制嘛?
因为远程应用功能依赖于微软的 RD 软件授权,所以依然受 RD 授权方式限制。您可以在微软官网购买 RD 授权以应对连接限制。
11、应用发布机需要开启哪些策略?
应用发布机不需要开启额外的策略,Windows 默认策略即可。
五、作业中心相关
1、PlayBook 支持读取 Git 仓库嘛?
现阶段【JumpServer V3.0.3】短时间内 Playbook 无法支持读取 Git 仓库,后续产品迭代中考虑支持读取 Git 仓库。
目前版本Playbook支持先从 GitHub 中下载 Playbook 然后上传至 JumpServer 系统中,操作位置按钮顺序为:工作台→作业中心→模版管理→Playbook 管理→上传 playbook。
同时,您也可以在 GitHub 中的 JumpSerevr 项目提出您的想法或思路提 ISSUE 给研发团队。
2、后续会考虑支持 AWX 功能集成到作业中心嘛?
目前暂时不考虑集成 AWX 功能集成到作业中心。
六、其它问题
1、“Load rdp file” 是什么意思?
“Load rdp file” 是 3.0 初代版本的一种 Winodws 资产或者 Web 资产的连接方式。即 2.* 版本的 “RDP 文件” 方式。具体是指:加载并下载一个 RDP 文件用来连接 Windows 资产或者 Web 资产。目前版本的选项是 “Click to download rdp file”。
2、JumpServer 什么时候可以支持繁体中文?
JumpServer 目前支持中文、英文、日文三种语言。目前针对于繁体中文的支持暂时没有计划,需求繁体中文的用户可以到 GitHub 平台上提 ISSUE 或者 PR。
3、Web Terminal 能不能支持分屏?
目前 Web Terminal 不支持分屏展示会话。在后续的 JumpServer 持续迭代中。JumpServer 项目组考虑支持 Web Terminal 分屏展示会话。您可以到 GitHub 的JumpServer 项目中提 ISSUE。
4、账户模板是什么意思?怎么使用?
账号模板功能主要用于多个资产用户名密码相同的场景下。
JumpServer v2.* 版本账号以系统用户形式存在,以授权的方式进行绑定。JumpServer v3 版本中 JumpServer 直接在资产上添加账号,一个账号对用多个资产;这种模式在大多数账号密码相同的情况下,使用下来比较繁琐,所以我们设计了账号模板功能,在创建资产时可以选择账号模板,自动根据模版上的用户名密码创建账号,快速便捷的关联账号与资产。
5、SSH 协议的端口为什么必须是 22 端口,这个端口可以修改吗?Linux 资产的默认 SSH 协议可以取消吗?
SSH 协议并不是必须为 22 端口,可以按照需求进行修改。例如,创建资产时可直接在创建资产页面修改端口号,例如修改为 2222 端口,页面如下图所示:
6、新增资产,没有用户可以进行用户推送吗?
新增资产,还没有用户的时候是没有办法进行用户推送的。用户推送需要资产支持 SSH 协议,并且资产有特权用户才可以进行用户推送。
7、账户管理与资产管理为什么不合并?
账户管理是独立的一个模块,将所有关于账户的功能全部放置到“账号管理”模块中,包含:账号列表、账户模版、账号推送、账号收集、账号改密、账号备份。后续还可以根据规划在此模块中扩展其它账户相关的自动化任务。
当与资产管理合并后,后续新增功能可能会使整个合并后的模块变得臃肿。
为了使得 JumpServer 项目变得精简和模块分明,账户管理与资产管理分隔开。
8、JumpServer 是否可以配置平台不录像?
JumpServer 平台默认将录像存储在服务器本机上,同时 JumpServe r还支持将录像文件存储到外部得存储中,例如:Minio、OBS、OSS 等。
同时,JumpServer 也可以配置平台不录像。在 V3 版本中的配置方式为:
将录像存储的默认存储修改为 null。修改地址为:系统设置→存储设置→录像存储。
修改各组件的默认存储为 null。修改地址为:系统设置→组件设置→组件管理。选中所有组件后,点击左上方的<更多操作>按钮,选择<更新所选>按钮,修改录像存储为 null。
9、能不能把权限管理修改为授权管理?
不可以,目前 JumpServer 项目组设计为权限管理。权限管理中不仅仅包含了资产授权,还包含了命令过滤功能,命令过滤属于权限控制的一种。另外,企业版本中还支持资产登录限制功能,均包含在权限管理中,授权管理较为片面。
10、创建授权规则时,选择手动输入,密码不会被托管吗?
在 JumpServer 系统中创建授权规则,选择账户为手动输入时,JumpServer 平台内不会托管您的账户的密码信息。
如果需要托管密码信息,可选择将账密信息托管到浏览器当中,如下选择:
11、命令过滤能不能修改成命令授权?
不可以,目前 JumpServer 项目组设计为命令过滤。命令过滤功能中大多数时候是用来进行危险命令过滤并拒绝执行或向审核员申请后执行,命令过滤更符合该功能的使用场景。命令授权更倾向于将命令授权给用户使用,此场景在命令过滤中使用场景较少。
12、JumpSerevr 日志支持哪些方式吐出来?
JumpServer 日志目前支持 Syslog 的方式进行输出,具体配置方式可参考以下文档:https://kb.fit2cloud.com/?p=123
13、VMware 云服务需要应用发布机嘛?
需要的,VMware 云服务资产跟 Web 资产都需要应用发布机做底层承载资产访问。
14、在 V3 版本中,创建资产时 Redis 和 Redis6+ 有什么区别?
在创建资产时,针对 Reidis 和 Redis6+ 分别有不同的资产类型选项供用户直接选取,如下:
针对 Redis6+ 系统默认会开启用户认证配置。
