知识库

Loading

0 评论 / 0 点赞 / 323 阅读  最佳实践  案例研究 最后更新: 2022-05-23 作者: 飞致云 总字数: 1078

概述

本文主要介绍用户在使用JumpServer时,如何设置才能增强用户登录的安全性,更好的控制IT系统的风险。

问题解决

1、用户密码限制

加强JumpServer用户的密码复杂度要求。
“系统设置”→“安全设置”→“密码强弱规则”中设置登录JumpServer的用户密码的强弱。可以设置密码的长度,分别为管理员与其他用户设置;可以设置密码的复杂度(是否需要包含大小写字母,数字,特殊字符);可以设置在更改密码时不可以设置最近的几次密码。
image-1651904908438
同时,可以在“系统设置”→“安全设置”中设置用户密码过期时间以及异地登录。增强用户密码修改意识以及异地登录提醒。
image-1651905120815

2、用户登录限制

用户登录限制可以根据用户或者IP或用户和IP进行限制。“系统设置”→“安全设置”→“登录限制”中设置登录JumpServer的限制。
根据用户设置用户登录JumpServer的限制。用户登录超过错误次数之后,多少时间才能重新登录,即锁定。如下图即用户输错七次密码即会锁定,30分钟才能继续登录。
image-1651905362406
根据IP地址设置登录JumpServer的限制。限制IP登录失败的次数,禁止IP登录失败重新尝试的时间,同样可设置IP登录黑白名单。
image-1651905482720

3、双因子认证

用户登录限制可以启动双因子认证,更安全的登录JumpServer。

目前JumpServer支持的双因子认证方式有两种:
- MFA双因子认证
- 短信认证。目前支持腾讯云和阿里云的短信服务。

(1)MFA双因子认证

在“系统设置”→“安全设置”→“认证”中可以设置全局启动MFA认证以及第三方登录用户实现MFA认证。
image-1651908205329
用户下一次登录时绑定MFA认证即可。
不开启全局启动MFA的情况下,在创建用户时,可选择针对单个用户开启MFA双因子认证。
注:全局开启MFA规则高于单个用户关闭MFA规则。
image-1651906140792
首次登录时,绑定MFA认证。
image-1651906238819
image-1651906306254
image-1651906349536
第二次登录,即可直接使用MFA进行登录验证。
image-1651907077326
JumpServer常用的MFA工具可参考:https://kb.fit2cloud.com/archives/6

(2)短信认证

短信认证的开启在“系统设置”→“短信设置”中,目前支持阿里云和腾讯云的短信服务。
image-1651907213823
设置对应的阿里云短信服务信息。
image-1651907462160
设置后,即可在使用MFA的位置选择短信验证。

4、用户登录规则

用户登录限制可以细化至用户层面。在用户管理中可以针对某一个用户设置用户登录规则。
image-1653292892084
在此规则中,可以根据IP组以及登录时间等规则设置。
image-1653293311260
根据设置的IP组以及登录时间,可以选择是否允许登录。登录动作包括(同意、拒绝、以及复核)。
image-1653293408431
即可选择在某个时间段内某个IP组的用户允许登录、拒绝登录以及登录时需要管理员进行同意或拒绝操作。

文章目录
其他资源