JumpServer 堡垒机部署实战：资产访问、命令审计与录像回放

背景

传统运维痛点：

10 个运维各有自己的 SSH 私钥，离职交接痛苦
生产密码分散在 5 个 Excel 表，更新一台机器要改 5 处
操作无法回溯——出问题不知道谁 rm -rf 了数据库
越权操作——开发用 root 登录生产，误操作无法控制

堡垒机（Bastion Host） 解决以上所有问题：

统一入口：所有 SSH/RDP/Kubernetes 连接都从堡垒机走
凭证托管：密码/密钥存堡垒机，运维不直接知道生产密码
细粒度授权：A 运维只能访问 Web 机器，B 运维只能看 MySQL
全程录屏 + 命令审计：出问题能回放、追责

JumpServer（jumpserver.org）是国产开源堡垒机的事实标准：

2014 年由 FIT2CLOUD 发起
v3.x 用 Python/Django + Vue 重写
支持 SSH/RDP/Telnet/VNC/Kubernetes/MySQL/Redis/Git 等 20+ 协议
企业版（付费）有工单、资产自动发现、HA 等高级功能

适用场景：

中小企业统一生产入口
多云/混合云资产的集中访问
等保、ISO 27001 等合规审计
外包/临时人员的权限管控

前置知识：

Linux + Docker 基础
SSH/RDP 协议概念
RBAC 权限模型

一、核心架构与组件

JumpServer v3.x 是典型的多组件微服务架构：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
                            ┌──────────────┐
                            │  Web 前端     │ ← Vue SPA
                            │  (jms_web)    │     :80
                            └──────┬───────┘
                                   │
                            ┌──────▼───────┐
                            │  Core API    │ ← Django + DRF
                            │  (jms_core)   │     :8080
                            └──────┬───────┘
                                   │
        ┌──────────────┬───────────┼───────────┬──────────────┐
        │              │           │           │              │
   ┌────▼────┐   ┌─────▼────┐ ┌────▼────┐ ┌────▼─────┐  ┌────▼────┐
   │  Koko   │   │   Lion   │ │  Chen   │ │  Magnus  │  │  Kael   │
   │ SSH代理 │   │ DB代理   │ │RDP/VNC  │ │远程应用  │  │ 网关    │
   │ :2222   │   │ :33060   │ │:33070   │ │ 协议转换  │  │         │
   └─────────┘   └──────────┘ └─────────┘ └──────────┘  └─────────┘
        │
   ┌────▼────┐ ┌─────────┐
   │  MySQL  │ │  Redis  │
   │ :3306   │ │ :6379   │
   └─────────┘ └─────────┘

组件	作用	端口
Core	核心 API、用户/资产/权限管理	:8080
Koko	SSH 协议代理（取代旧 Lina）	:2222
Lion	MySQL/PostgreSQL/Redis/MongoDB 数据库代理	:33060
Chen	RDP/VNC 协议代理	:33070
Magnus	远程应用（RemoteApp）协议代理	—
Kael	Kubernetes API 代理	—
Web	静态资源服务	:80
MySQL	元数据	:3306
Redis	缓存、Celery broker	:6379

二、快速安装（一键脚本）

官方推荐用 quick_start.sh 集成安装：

1
curl -sSL https://resource.fit2cloud.com/jumpserver/jumpserver/releases/latest/download/quick_start.sh | bash

安装过程会交互询问：

是否配置 IPv6（默认 n）
自定义持久化目录（默认 /data/jumpserver，建议改到大盘）
是否使用外部 MySQL/Redis（先用内置的，迁集群时再分）
是否配置外部访问端口（默认即可）

安装完成后输出：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
>>> 加载 Docker 镜像
[jumpserver/core-ce:v3.10.9] pulling
[jumpserver/chen:v3.10.9] pulling
[jumpserver/redis:6.2] pulling
[jumpserver/mariadb:10.6] pulling
[jumpserver/kael:v3.10.9] pulling
[jumpserver/lion:v3.10.9] pulling
[jumpserver/koko:v3.10.9] pulling
[jumpserver/magnus:v3.10.9] pulling
[jumpserver/web:v3.10.9] pulling

>>> 安装配置 JumpServer
SECRETE_KEY:     8438fa2d36040662b3053b3d388d9813dacd193bc1b66066
BOOTSTRAP_TOKEN: 71NyJcmsMJTBYF4vpYL6z8i1

⚠️ SECRETE_KEY 和 BOOTSTRAP_TOKEN 一定保存好！多节点部署时所有节点必须用同样的两个值，否则节点无法加入集群。

三、初始化与登录

3.1 Web 访问

1
http://<jumpserver-ip>/

默认账号：

用户名：admin
密码：ChangeMe（首次登录强制修改）

3.2 接受 LICENSE

JumpServer 是 GPLv3 开源 + 商业 Enterprise 双协议。首次登录需要：

接受 GPLv3 协议
修改 admin 密码（至少 8 位，字母+数字+特殊字符）
设置 MFA（强烈建议开启 TOTP 或短信）

3.3 配置邮件 / 短信 / LDAP

系统设置 → 邮件设置：

1
2
3
4
5
6
SMTP 服务器：smtp.exmail.qq.com
SMTP 端口：465
SSL：启用
账号：noreply@example.com
密码：<授权码>
发件人：JumpServer <noreply@example.com>

LDAP 接入（对接公司 AD）：

1
2
3
4
服务器：ldap://ldap.internal.example.com
BASE DN：DC=example,DC=com
管理员 DN：CN=jumpserver,OU=Service,DC=example,DC=com
密码：<LDAP 服务账号密码>

SSO/OIDC 接入（对接 Keycloak、Authing）：

1
2
系统设置 → 认证设置 → OIDC
Client ID / Secret / Discovery URL

四、资产管理

4.1 创建资产树

按业务/环境/项目维度组织：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
├─ 研发中心
│  ├─ 开发环境
│  │  ├─ Web 集群
│  │  └─ 数据库集群
│  └─ 测试环境
├─ 运维部
│  ├─ 生产环境
│  │  ├─ 核心交易
│  │  ├─ 物流系统
│  │  └─ 数据仓库
│  └─ 灾备环境

4.2 添加资产（手动）

资产管理 → 资产列表 → 创建：

字段	填写	示例
主机名	`web-prod-01`	—
IP	`10.8.33.21`	内网 IP
协议组	`Linux` / `Windows`	Linux 走 SSH
端口	`22`	—
账号	`root`	平台账号（用 SSH 密钥）
平台	`Linux` / `CentOS`	自动探测 OS 类型
节点	`生产环境/Web 集群`	资产树位置

4.3 SSH 密钥推送

资产管理 → 平台账号 → 创建：

1
2
3
4
名称：root-sshkey
用户名：root
认证方式：SSH 密钥
私钥：粘贴 id_rsa 内容

JumpServer 首登会自动用密钥推送（前提是目标机器 root authorized_keys 已经加了 JumpServer 公钥），或者管理员手工 ssh-copy-id。

4.4 资产导入（Excel 批量）

资产管理 → 资产列表 → 导入 → 下载模板 → 填好上传。

适合几十/几百台机器的批量初始化。

4.5 自动发现

企业版支持：通过 Ansible/SaltStack 自动发现网段内的资产并入库。

五、用户与权限

5.1 三层权限模型

JumpServer 的权限抽象是教科书级的：

1
2
3
4
5
用户（User）
  ↓ 角色（Role）
    ↓ 资产（Asset）
      ↓ 账号（Account）
        ↓ 动作（Action）

用户：运维、开发、审计员、DBA
角色：研发组、运维组、SA 组
资产：前面资产树里的机器
账号：root、appuser、mysql
动作：连接、上传、下载、删除

5.2 创建用户

用户管理 → 用户列表 → 创建：

1
2
3
4
5
用户名：zhangsan
姓名：张三
邮箱：zhangsan@example.com
角色：研发组
MFA：TOTP

5.3 创建授权规则

权限管理 → 资产授权 → 创建：

1
2
3
4
5
6
名称：开发组授权 Web 集群
用户：研发组
资产：研发中心/开发环境/Web 集群（用节点选择）
账号：root（限制 root）
动作：所有
生效时间：2024-01-01 ~ 2025-12-31

用户登录后只能看到授权内的资产。

六、Web 终端实操

6.1 SSH 终端

工作台 → Web 终端 → SSH：

选资产（如 web-prod-01）
选账号（如 root）
进入 Web Terminal，全程录屏到 /data/jumpserver/core/data/media/

支持的快捷键：

Ctrl + Insert 复制
Shift + Insert 粘贴
Ctrl + L 清屏

6.2 RDP 远程桌面

工作台 → 远程桌面 → RDP：

选资产
选账号（Windows 管理员）
浏览器内直接打开远程桌面（基于 Apache Guacamole），无需装 mstsc
录屏同上

6.3 数据库

工作台 → 数据库 → MySQL：

选资产
选账号（如 root）
内置 phpMyAdmin / pgAdmin 风格查询界面
SQL 操作全部审计（可回放）

6.4 Kubernetes

企业版支持：通过 Kael 代理 kubectl/dashboard。

七、审计与回放

7.1 在线会话监控

审计台 → 在线会话：

管理员可以实时看任意用户的操作（“老大看着小弟干活”），必要时强制断开。

7.2 命令审计

审计台 → 命令记录：

每条命令都记录：

谁（用户）
在哪台机器（资产）
用什么账号
执行的命令
完整回放视频

7.3 文件传输审计

审计台 → 上传/下载：

通过 JumpServer 上下传的文件全部记录，可下载下来审计。

7.4 录屏回放

审计台 → 会话回放：

每条会话一个 .cast 文件（asciinema 格式），可在线播放、跳转到任意时间点。

7.5 危险命令拦截

系统设置 → 安全设置 → 命令过滤：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
危险命令（拦截）：
rm -rf /
dd if=/dev/zero of=/dev/sda
mkfs
fdisk
shutdown
reboot
init 0
halt

告警命令（记录+告警）：
sudo
chmod 777
cat /etc/passwd
cat /etc/shadow
vi /etc/sudoers

用户执行危险命令时直接拒绝并记录。

八、高可用与生产部署

8.1 外部 MySQL + Redis

生产不用内置 MariaDB/Redis（容器化，单点）。

/opt/jumpserver/config/config.txt：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
# MySQL
DB_HOST=mysql.internal.example.com
DB_PORT=3306
DB_USER=jumpserver
DB_PASSWORD=your_db_password
DB_NAME=jumpserver

# Redis
REDIS_HOST=redis.internal.example.com
REDIS_PORT=6379
REDIS_PASSWORD=your_redis_password

8.2 多节点集群

JumpServer 3.x 原生支持节点水平扩展：

1
2
3
4
5
6
7
8
9
              [HAProxy / Nginx]
                      │
   ┌────────────┬─────┴─────┬────────────┐
   │            │           │            │
[Node 1]    [Node 2]    [Node 3]    [Node N]
   │            │           │            │
   └────────────┴─────┬─────┴────────────┘
                      │
              [外部 MySQL + Redis]

每个 Node 都跑完整组件（Core/Koko/Lion/Chen/Magnus/Kael），用 Nginx 分流到不同组件端口。

8.3 Koko SSH 端口高可用

Koko 的 2222 端口是 SSH 入口，必须用 HAProxy 或 LVS 漂移。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
# haproxy.cfg
frontend jumpserver-ssh
    bind *:2222
    mode tcp
    default_backend jumpserver-ssh-nodes

backend jumpserver-ssh-nodes
    mode tcp
    balance roundrobin
    server node1 10.8.33.21:2222 check
    server node2 10.8.33.22:2222 check
    server node3 10.8.33.23:2222 check

九、升级与备份

9.1 升级

1
2
cd /opt/jumpserver-installer-v3.x.x
./jmsctl.sh upgrade

升级前务必备份数据库。

9.2 备份

1
2
3
4
5
6
7
8
# 备份数据库
mysqldump -h <mysql-host> -u jumpserver -p jumpserver > jumpserver_$(date +%F).sql

# 备份持久化目录
tar -czf jumpserver_data_$(date +%F).tar.gz /data/jumpserver

# 备份配置
tar -czf jumpserver_config_$(date +%F).tar.gz /opt/jumpserver/config

9.3 卸载

1
2
3
4
cd /opt/jumpserver-installer-v3.x.x
./jmsctl.sh uninstall
rm -rf /opt/jumpserver*
rm -rf /data/jumpserver

十、常见坑

10.1 Koko 连接 SSH 慢

原因：Core 没配对外访问 IP，Koko 找不到 Core。

对策：

1
2
# /opt/jumpserver/config/config.txt
CORE_HOST=http://<jumpserver-public-ip>:8080

10.2 录屏文件过大

对策：

录屏保留期 30-90 天（系统设置 → 清理）
S3/OSS 归档老录屏

10.3 数据库连接拒绝

1
2
3
# 看 lion 容器日志
docker logs jms_lion
# 常见：MySQL 没授权 jumpserver 用户

10.4 RDP 连不上 Windows

检查：

Windows 开了远程桌面（系统属性 → 远程）
防火墙开了 3389
JumpServer 资产账号是 Administrator 组成员

小结

JumpServer 是国产堡垒机的事实标准：

一键部署：curl | bash 5 分钟起一个生产可用堡垒机
6 大组件（Core/Koko/Lion/Chen/Magnus/Kael）覆盖 SSH/RDP/DB/K8s
三层权限（用户/资产/动作）细粒度到命令级
全程录屏 + 命令审计，等保合规利器

生产部署三原则：

外部 MySQL/Redis，别用容器内置的
多节点 Koko HA，避免 SSH 入口单点
危险命令拦截，配白名单/黑名单

下一步：

企业版（付费）的工单、资产自动发现、HA
自建数据库代理 + 跳板机的"轻量堡垒机"（Teleport、Tailscale SSH）
与 SOC/SIEM 对接，命令审计入事件流

2024+ 视角：本文写于 2024-05，半年后 JumpServer v4 + AI 助手的"新王"

本文写于 2024-05-14——半年后（2024 年底到 2025 年中）JumpServer 生态又有几个大变化：

一、JumpServer v4.0+（2024-Q3 发布）

v4.0 重构：把 Core API、Worker、Client 拆得更彻底——支持 K8s 原生部署。
新组件：
- Client CLI（jmsctl）：命令行管理
- Celery 任务队列 拆分到独立 worker（支持横向扩展）
- SAML 2.0 / OIDC 增强（对接 Keycloak / Authing / Azure AD）
数据库支持：PostgreSQL 14+ / MySQL 8.0+ 强制要求。

1
2
3
4
# 2024-05 装的 v3.10.9
# 2024 年底 v4.0 升级
cd /opt/jumpserver-installer-v4.0.0
./jmsctl.sh upgrade

二、AI 助手的"零信任 SSH"

2024 LLM 革命让"AI 运维助手"成为新风口：
JumpServer 4.0 集成 AI Command Helper（基于 LLM 的命令辅助）：
- 自然语言转 shell 命令（“查昨天哪个用户改了 nginx 配置” → 自动生成查询命令）
- 危险命令的"软拦截 + AI 解释"（拦截 + 推荐安全写法）
OpenAI Function Calling / MCP 协议：让 LLM 直接调用 JumpServer API 做运维。

三、`Teleport` 的"现代竞争"

Teleport（gravitational/teleport，2024 是 v14+）：
- 基于 RBAC + 证书的零信任 SSH
- 审计全留痕 + 实时拦截
- 支持 K8s / Database / Web / Desktop 一站式
- 开源版也够用（Enterprise 版加 SSO、Device Trust）

1
2
# 装 Teleport
curl https://goteleport.com/static/install.sh | bash -s 14.0.0

2024 市场份额：JumpServer 仍是国内事实标准，Teleport 在外企 / 出海项目占主导。

四、Tailscale SSH + 零信任的"更轻方案"

2024 Tailscale SSH（基于 Tailscale WireGuard VPN）让"SSH 跳板机"变得不再必要：

1
2
3
4
5
# Tailscale 在每台机器
tailscale up
# 直接 SSH 任意机器（只要装了 Tailscale）
ssh user@node-name
# Tailscale 自动用 ACL 限制谁能连哪台

优势：
- 不用暴露 SSH 22 到公网
- 不用维护 JumpServer
- 零信任（每次 SSH 都要鉴权）
劣势：
- 不能录屏（这是 JumpServer 强项）
- 不能托管 SSH 密钥（需要靠 Tailscale ACL 鉴权）

五、K8s 时代的堡垒机新形态

2024 K8s 场景：“堡垒机"概念淡化，Service Mesh + OPA 接管：
- Teleport K8s 插件：直接代理 kubectl exec
- Cloudflare Tunnel + Access：通过 Zero Trust 鉴权
- Teleport / Boundary / Pomerium 都是"现代堡垒机”
JumpServer 也在跟进：2024 起支持 Kubernetes 资产（通过 Kael 组件代理 kubectl）。

六、数据库代理 + 凭证托管的"一体化"

2024 那篇提到 JumpServer 6 大组件。2024-05 视角下：

Lion 组件（DB 代理）已支持原生 SQL 审计（不只是录屏）。
凭证走 HashiCorp Vault 集成（2024 v3.10+ 支持）。
Redis 7+ 兼容（之前 6.x 时代有 bug）。
MongoDB 5.0+ 兼容。

1
2
# 集成 HashiCorp Vault
# 系统设置 → 凭证 Vault → Vault 地址 + Token

七、`X-Powered-By` 与合规

2024 等保 2.0（中国信息安全等级保护 2.0）已强制要求：
- 操作录屏（✅ JumpServer 满足）
- 命令审计（✅）
- 会话保存 6 个月（✅）
- 强 MFA（✅ TOTP/SMS/Email）
- 国密算法（SM2/SM3/SM4）—— JumpServer 4.0+ 支持
2024 SOC 2 / ISO 27001 国际合规（外企项目）：
- Teleport 在国际合规更全面
- JumpServer 国内合规更完整

八、AI 时代的"AI 运维代理"萌芽

2024 OpenAI / Anthropic 的 LLM 已能直接执行 SSH 命令：
2024-08 起出现的 Devin / AutoGPT / Claude Code 等 AI Agent，能：
- 自动 SSH 进服务器排查问题
- 自动写代码、自动部署
未来：JumpServer 可能要加 “AI 命令审核”——AI 生成命令先过安全模型检查，再执行。

源文档：os/linux/第三方tools/safe/jumpserver/jumpserver.md（46K 完整安装日志 + 配置实例）