9月22日,JumpServer開源堡壘機正式釋出v2.14.0版本。在該版本中,JumpServer新增了對談共用功能,支援多使用者進行協同操作,以滿足運維人員在不同場景中的運維需求,同時對加入對談的使用者活動進行記錄。需要注意的是,JumpServer目前僅支援通過Web Terminal連線的SSH/Telnet協定對談進行共用,另外,還支援使用者在Web Terminal中設定終端主題。在使用者個人資訊頁面中,使用者可以針對JumpServer內部的訊息選擇性地開啟訊息接受方式,例如企業微信、釘釘等。
X-Pack增強包方面,改密計劃不僅支援對資產進行批次改密,同時也支援對資料庫應用進行批次改密,滿足使用者對資料庫密碼的相關安全策略要求。目前已支援的資料庫型別包括:MySQL、Oracle、PostgreSQL和MariaDB。
在v2.14.0版本中,JumpServer新增工單系統二級審批功能,管理員可以針對不同型別的工單設定一級或二級審批流程。在新版本中,MFA多因子認證方式不僅支援基於時間的一次性演演算法(即TOTP)認證,同時也支援通過簡訊(SMS)驗證碼的方式進行認證。另外,在這一版本中,雲管中心支援對Google Cloud Platform(谷歌雲)的資產進行同步。
新增功能
1. Web Terminal支援對談共用和多使用者協同操作
在JumpServer v2.14.0版本中,使用者通過Web Terminal連線SSH/Telnet資產成功後,可以在頁面中建立分享連結,並將分享連結和驗證碼傳送給其他使用者。
▲圖1 在Web Terminal中成功連線資產後,點選建立共用連結
▲圖2 複製分享連結
其他使用者存取連結並輸入驗證碼,驗證通過後即可加入到同一對談中,並進行操作。
▲圖3 使用者存取連結並輸入驗證碼
加入成功後,使用者可以在Web Terminal對談頁面看到所有對談中的線上使用者。
▲圖4 在對談頁面中檢視線上使用者
對於共用對談加入者的活動記錄,管理員可以進入「對談管理」選單中的「活動」頁面進行檢視,並開展相關的審計操作。
▲圖5 在「對談管理」選單中點選「活動」頁面,對共用對談加入者的活動記錄進行審計
2. Web Terminal支援使用者自定義主題方案
在JumpServer v2.14.0版本中,使用者通過Web Terminal連線SSH/Telnet資產成功後,可以在頁面中點選「設定」圖示修改終端主題風格,從而提升使用者的使用體驗。
▲圖6 在對談頁面中設定終端主題
3. 改密計劃支援對資料庫應用進行批次改密(X-Pack增強包內)
在JumpServer v2.14.0版本中,改密計劃不僅可以對資產進行批次改密,同時也支援對資料庫應用進行批次改密。目前已經支援的資料庫型別包括MySQL、Oracle、PostgreSQL和MariaDB,建立應用改密計劃時提供了三種密碼策略供管理員進行選擇。
▲圖7 建立應用改密計劃
改密計劃建立成功後,管理員可以檢視所有應用改密計劃、執行列表和改密任務。
▲圖8 應用改密計劃列表
▲圖9 應用改密計劃執行列表
▲圖10 應用改密任務列表
4. 工單系統支援設定一級、二級審批流程(X-Pack增強包內)
在JumpServer v2.14.0版本中,工單系統支援一級、二級審批流程,管理員可以針對不同的工單型別進行單獨設定。而審批流程中的每一級都有四種審批人策略供管理員選擇,其中包括超級管理員、組織管理員、超級管理員+組織管理員,以及自定義使用者。
▲圖11 設定申請資產工單的審批流程
使用者建立申請資產工單。
▲圖12 建立申請資產工單
工單建立成功後會自動流轉至一級審批,這時所有的一級審批人員均可對工單進行審批操作。
▲圖13 一級審批人審批工單
一級審批人審批工單通過後,會自動流轉到下一級審批流程中。
▲圖14 二級審批人審批工單
5. MFA多因子支援通過簡訊(SMS)驗證碼方式進行二次認證(X-Pack增強包內)
在JumpServer v2.14.0版本中,使用者登入支援通過簡訊驗證碼的方式進行MFA二次認證。首先,管理員需要在「系統設定」→「資訊」中設定並開啟簡訊服務,目前支援阿里雲、騰訊雲的簡訊服務平臺。
▲圖15 管理員在「系統設定」→「資訊」中設定簡訊服務
開啟MFA認證的使用者在登入JumpServer時可以選擇簡訊驗證碼作為二次認證方式。
▲圖16 使用者登入選擇簡訊驗證碼進行二次認證
6. 雲管中心支援對Google Cloud Platform(谷歌雲)的資產進行同步(X-Pack增強包內)
在JumpServer v2.14.0版本中,已支援對Google Cloud Platform(谷歌雲)資產的同步功能。管理員在建立谷歌雲賬號時,需要上傳一個Service Accounts Key檔案(僅支援JSON格式)。
▲圖17 建立谷歌雲賬號
賬號建立完成後,管理員建立同步範例任務,執行方式支援定時、定期執行和手動執行。
▲圖18 建立谷歌雲同步任務
功能優化
■ 針對專案設定引數,管理員可以直接在系統設定中進行修改,修改完成後立即生效,不再需要修改組態檔和重新啟動服務;
■ 支援Windows對談在行動端進行操作,同時增加快捷鍵「Shift+Alt+Ctrl」來快速撥出右側欄;
■ 對於第三方認證的使用者,在登入JumpServer時支援進行MFA二次認證。同時也支援使用企業微信、釘釘進行掃碼登入;
■ 在授權列表中顯示資產/應用授權規則的建立方式,例如手動建立、工單建立,以便管理員對授權進行區分和快速查詢;
■ 建立資產授權規則,當授權動作選擇上傳、下載、複製、貼上中的任意一項或幾項時,由於連線動作是前置條件,所以禁止使用者取消;
■ 修改新註冊終端的名稱(包含宿主機的主機名標識),以便管理員在多節點部署架構中區分終端所屬節點;
■ 連線Windows對談時,在使用者名稱、密碼以及連線方式的對話方塊中增加「下次自動登入」選項來記住使用者的連線方式。當使用者連線資產時不需要每次都進行選擇,從而提高使用者的使用體驗;
■ 增加設定項來開啟或關閉Windows對談的XRDP連線方式(X-Pack增強包內);
■ 支援對通過XRDP方式連線的Windows對談進行全螢幕操作和本地磁碟掛載(X-Pack增強包內);
■ 增加JumpServerClient和MicrosoftRemoteDesktop應用下載頁面,便於純內網環境的使用者使用XRDP方式連線Windows(X-Pack增強包內)。
Bug修復
■ 修復應用賬號不能通過使用者名稱進行過濾的問題;
■ 修復WebSocket服務引起的Redis連線數量持續增加的問題;
■ 修復刪除已關聯資產的特權使用者偶爾失敗的問題;
■ 修復當資產和特權使用者關係發生變化時,資產特權使用者未及時更新的問題;
■ 修復當部署伺服器的磁碟、記憶體達到閾值時,偶爾未傳送告警訊息的問題;
■ 修復當設定未分組節點下顯示單獨授權的資產設定項時,使用者授權樹未及時更新的問題;
■ 修復批次更新組織失敗的問題(X-Pack增強包內);
■ 修復終斷通過XRDP方式連線的Windows對談偶爾失敗的問題(X-Pack增強包內)。