提升 JumpServer 安全的10条建议 | IDCF

  • DevOps订阅号

    2020-06-03 07:31:21
  • 应用安全
  • 原创


JumpServer作为备受欢迎的开源款堡垒机,在无数的企业中帮助用户解决运维安全的难题,但是如何来提升JumpServer自身的安全呢?本文就来带领大家做好JumpServer的安全工作。

一、升级操作系统到最新版



提升JumpServer安全的第一步就是先升级JumpServer所在服务器的操作系统,操作系统本身会存在安全漏洞等问题,操作系统的供应商也会定期推出升级补丁,所以为了避免出现由系统漏洞造成的安全隐患,我们要定期做好操作系统升级。

二、升级JumpServer



JumpServer产品一直在不断演进,研发团队一直在修复测试过程中发现的各种问题,社区也在不断地反馈问题,所以为了保证你的JumpServer一直是安全可靠的,最好的方式就是定期更新JumpServer,最好保持使用最新版。

三、升级JumpServer依赖的软件到最新



JumpServer除了自身软件以外,还包括了很多依赖的软件,比如MySQL、Redis、Nginx 等。和前面提到的操作系统类似,这些软件本身也会存在安全隐患,为保证整个 JumpServer 体系的安全,建议大家要升级 JumpServer 依赖软件的版本。当然也要注意依赖软件的版本的兼容性,要注意查看GitHub 中 JumpServer 的相关说明。

四、切勿使用弱密码



JumpServer 相关的服务器、数据库、redis 等依赖组件都会涉及到密码,从安全管理的角度, 任何一个涉及到密码的组件都不应该使用弱口令密码,请一定保证在服务器、数据库、redis 等依赖组件中都使用尽量安全的密码。

五、使用操作系统的安全组件



CentOS 自身包含了 firewalld 和 selinux 来提供安全能力,我们不建议大家在部署 JumpServer 的服务器中关闭firewalld 和 selinux。
当然开启 firewalld 就需要在运维管理的时候更多地注意,一定要把 JumpServer 使用到的几个端口做好开放。

六、最小化端口开放



管理 JumpServer 时,只开放必要的端口,非必要的端口全部关闭掉。
如果可能的话,我们建议在 JumpServer 的前面部署和配置VPN,使用的时候请通过 vpn 或者 sslvpn 访问 JumpServer。

七、提升公网访问安全



如果必须将 JumpServer 开放到外网使用,你应该要保证你的 JumpServer 之前部署有防火墙,并且在防火墙上做好安全过滤。如果可能,我们建议限制 JumpServer 可访问源地址,通过限制来访,尽量减小系统被非法访问的可能性。
如果你的JumpServer部署在公有云上,那一定要注意配置好你的公有云安全组等内容。

八、配置SSL



我们建议你申请一个SSL证书,之后部署好 ssl 证书,关闭掉HTTP的访问方式,让所有人通过 HTTPS 协议来访问 JumpServer。

九、提升JumpServer的密码强度



JumpServer 中不要使用弱口令密码,我们建议强制 JumpServer 用户定期更改密码,并限制一定的最小密码强度。
另外要注意一点,JumpServer的默认初始密码是统一的,所以在安装完成后一定要第一时间更改admin。

十、开启MFA



为了最大限度避免因 JumpServer 用户密码泄露产生的安全隐患,我们建议JumpServer 的管理员开启MFA功能,这样所有人在登录系统时候都需要2次认证,可以极大的提升系统安全。


请使用浏览器的分享功能分享到微信等