概述

本文主要介绍用户在使用 JumpServer 时，如何设置才能增强用户登录的安全性，更好的控制 IT 系统的风险。

问题解决

1、用户密码限制

加强 JumpServer 用户的密码复杂度要求。
“系统设置” → “安全设置” → “密码强弱规则” 中设置登录 JumpServer 的用户密码的强弱。可以设置密码的长度，分别为管理员与其他用户设置；可以设置密码的复杂度（是否需要包含大小写字母，数字，特殊字符）；可以设置在更改密码时不可以设置最近的几次密码。

同时，可以在 “系统设置” → “安全设置” 中设置用户密码过期时间以及异地登录。增强用户密码修改意识以及异地登录提醒。

2、用户登录限制

用户登录限制可以根据用户或者 IP 或用户和 IP 进行限制。“系统设置”→“安全设置”→“登录限制”中设置登录 JumpServer 的限制。
根据用户设置用户登录 JumpServer 的限制。用户登录超过错误次数之后，多少时间才能重新登录，即锁定。如下图即用户输错七次密码即会锁定，30 分钟才能继续登录。

根据 IP 地址设置登录 JumpServer 的限制。限制 IP 登录失败的次数，禁止 IP 登录失败重新尝试的时间，同样可设置 IP 登录黑白名单。

3、双因子认证

用户登录限制可以启动双因子认证，更安全的登录 JumpServer。

目前JumpServer支持的双因子认证方式有两种：
- MFA双因子认证
- 短信认证。目前支持腾讯云和阿里云的短信服务。

（1）MFA 双因子认证

在 “系统设置” → “安全设置” → “认证” 中可以设置全局启动 MFA 认证以及第三方登录用户实现 MFA 认证。

用户下一次登录时绑定 MFA 认证即可。
不开启全局启动 MFA 的情况下，在创建用户时，可选择针对单个用户开启 MFA 双因子认证。
注：全局开启 MFA 规则高于单个用户关闭 MFA 规则。

首次登录时，绑定 MFA 认证。

第二次登录，即可直接使用 MFA 进行登录验证。

JumpServer 常用的 MFA 工具可参考：https://kb.fit2cloud.com/?p=6

（2）短信认证

短信认证的开启在 “系统设置” → “短信设置” 中，目前支持阿里云和腾讯云的短信服务。

设置对应的阿里云短信服务信息。

设置后，即可在使用 MFA 的位置选择短信验证。

4、用户登录规则

用户登录限制可以细化至用户层面。在用户管理中可以针对某一个用户设置用户登录规则。

在此规则中，可以根据IP组以及登录时间等规则设置。

根据设置的 IP 组以及登录时间，可以选择是否允许登录。登录动作包括（同意、拒绝、以及复核）。

即可选择在某个时间段内某个 IP 组的用户允许登录、拒绝登录以及登录时需要管理员进行同意或拒绝操作。