提升 JumpServer 安全的10條建議 | IDCF

DevOps訂閱號發表於2020-06-03


JumpServer作為備受歡迎的開源款堡壘機,在無數的企業中幫助使用者解決運維安全的難題,但是如何來提升JumpServer自身的安全呢?本文就來帶領大家做好JumpServer的安全工作。

一、升級作業系統到最新版

提升 JumpServer 安全的10條建議 | IDCF



提升JumpServer安全的第一步就是先升級JumpServer所在伺服器的作業系統,作業系統本身會存在安全漏洞等問題,作業系統的供應商也會定期推出升級補丁,所以為了避免出現由系統漏洞造成的安全隱患,我們要定期做好作業系統升級。

二、升級JumpServer

提升 JumpServer 安全的10條建議 | IDCF



JumpServer產品一直在不斷演進,研發團隊一直在修復測試過程中發現的各種問題,社群也在不斷地反饋問題,所以為了保證你的JumpServer一直是安全可靠的,最好的方式就是定期更新JumpServer,最好保持使用最新版。
提升 JumpServer 安全的10條建議 | IDCF

三、升級JumpServer依賴的軟體到最新

提升 JumpServer 安全的10條建議 | IDCF



JumpServer除了自身軟體以外,還包括了很多依賴的軟體,比如MySQL、Redis、Nginx 等。和前面提到的作業系統類似,這些軟體本身也會存在安全隱患,為保證整個 JumpServer 體系的安全,建議大家要升級 JumpServer 依賴軟體的版本。當然也要注意依賴軟體的版本的相容性,要注意檢視GitHub 中 JumpServer 的相關說明。
提升 JumpServer 安全的10條建議 | IDCF

四、切勿使用弱密碼

提升 JumpServer 安全的10條建議 | IDCF



JumpServer 相關的伺服器、資料庫、redis 等依賴元件都會涉及到密碼,從安全管理的角度, 任何一個涉及到密碼的元件都不應該使用弱口令密碼,請一定保證在伺服器、資料庫、redis 等依賴元件中都使用盡量安全的密碼。
提升 JumpServer 安全的10條建議 | IDCF

五、使用作業系統的安全元件

提升 JumpServer 安全的10條建議 | IDCF



CentOS 自身包含了 firewalld 和 selinux 來提供安全能力,我們不建議大家在部署 JumpServer 的伺服器中關閉firewalld 和 selinux。
當然開啟 firewalld 就需要在運維管理的時候更多地注意,一定要把 JumpServer 使用到的幾個埠做好開放。
提升 JumpServer 安全的10條建議 | IDCF

六、最小化埠開放

提升 JumpServer 安全的10條建議 | IDCF



管理 JumpServer 時,只開放必要的埠,非必要的埠全部關閉掉。
如果可能的話,我們建議在 JumpServer 的前面部署和配置VPN,使用的時候請透過 vpn 或者 sslvpn 訪問 JumpServer。

七、提升公網訪問安全

提升 JumpServer 安全的10條建議 | IDCF



如果必須將 JumpServer 開放到外網使用,你應該要保證你的 JumpServer 之前部署有防火牆,並且在防火牆上做好安全過濾。如果可能,我們建議限制 JumpServer 可訪問源地址,透過限制來訪,儘量減小系統被非法訪問的可能性。
如果你的JumpServer部署在公有云上,那一定要注意配置好你的公有云安全組等內容。

八、配置SSL

提升 JumpServer 安全的10條建議 | IDCF



我們建議你申請一個SSL證書,之後部署好 ssl 證書,關閉掉HTTP的訪問方式,讓所有人透過 HTTPS 協議來訪問 JumpServer。
提升 JumpServer 安全的10條建議 | IDCF

九、提升JumpServer的密碼強度



JumpServer 中不要使用弱口令密碼,我們建議強制 JumpServer 使用者定期更改密碼,並限制一定的最小密碼強度。
另外要注意一點,JumpServer的預設初始密碼是統一的,所以在安裝完成後一定要第一時間更改admin。
提升 JumpServer 安全的10條建議 | IDCF

十、開啟MFA

提升 JumpServer 安全的10條建議 | IDCF



為了最大限度避免因 JumpServer 使用者密碼洩露產生的安全隱患,我們建議JumpServer 的管理員開啟MFA功能,這樣所有人在登入系統時候都需要2次認證,可以極大的提升系統安全。
提升 JumpServer 安全的10條建議 | IDCF


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31558019/viewspace-2695823/,如需轉載,請註明出處,否則將追究法律責任。

相關文章