一体机支持使用硬件设备的国密加密,支持用户自定义认证逻辑,JumpServer堡垒机v2.26.0发布
2022年9月19日,JumpServer开源堡垒机正式发布v2.26.0版本。基于该版本的JumpServer一体机支持使用硬件设备的国密加密。认证方面,新版本的JumpServer支持用户自定义认证逻辑,满足了一部分企业用户使用独特认证方式的需求。另外,在数据库代理连接方面(KoKo组件),新增支持MongoDB SSL/TLS以及Redis SSL/TLS的连接。
X-Pack增强包方面,针对短信服务,JumpServer除了支持腾讯云、阿里云和CMPP v2.0协议以外,这一版本还新增支持华为云短信服务。
同时,在“云同步”模块中,JumpServer新增支持腾讯云轻量应用服务器(TencentCloud Lighthouse)以及天翼云私有云同步。此前,JumpServer在多云资产纳管方面已经实现了对阿里云、腾讯云、华为云、百度云、京东云、AWS(中国)、AWS(国际)、Azure(中国)、Azure(国际)、谷歌云、VMware、青云私有云、华为私有云、OpenStack、Nutanix、Fusion Compute、局域网的支持,有效协助用户实现对私有云、公有云资产的统一纳管。
此外,在改密计划模块中,JumpServer新增支持MongoDB数据库改密(暂不支持MongoDB SSL/TLS改密),满足了用户对数据库密码的相关安全策略要求。目前已支持改密的数据库类型包括:MySQL、MariaDB、Oracle、PostgreSQL、SQL Server和MongoDB。
新增功能
1. JumpServer一体机支持使用硬件设备的国密加密
基于JumpServer v2.26.0版本的JumpServer一体机支持使用硬件设备的国密加密。国密算法是国家密码管理局制定的自主可控的国产算法,实现了数据的安全传输。为了保证数据的安全传输,JumpServer一体机新增支持使用硬件设备的国密加密。
2. 支持用户自定义认证逻辑
在JumpServer v2.26.0版本中,支持用户自定义认证逻辑。目前JumpServer已经支持的认证方式虽然众多,但是有一部分企业仍会采用自己独特的认证方式,这些认证方式不在业界标准之内。针对这一现实场景,JumpServer开放出一个标准接口来实现这个功能。
如果企业想在JumpServer服务中对接自己独特的认证方式,可以按照以下配置流程进行操作:
① 在/opt/jumpserver/core/data目录下创建一个auth目录,其中包含两个文件:
■ __init__.py;
■ main.py;
② __init__.py文件中不需要填写任何内容;
③ 在main.py文件中确定一个authentication方法(参考下面的main.py文件,认证的逻辑一般由用户方实现);
④ 在config.txt配置文件中,配置AUTH_CUSTOM=true;
⑤在config.txt配置文件中,配置AUTH_CUSTOM_FILE_MD5={main.py文件的md5值};
⑥ 配置完成后,重启JumpServer服务。
注意事项:
■ 按照配置流程配置完成后启动服务,再修改/opt/jumpserver/core/data/auth/main.py文件,新的认证逻辑不会生效,需要再次更新AUTH_CUSTOM_FILE_MD5的值并重启服务(从安全考虑角度),新的认证逻辑才会生效;
■ 只有AUTH_CUSTOM=true,并且AUTH_CUSTOM_FILE_MD5值正确的情况下,自定义认证方式才会被启用。
main.py文件代码示例:
“”” Customize the authentication module “””
def authenticate(username, password, **kwargs):
“”” Customize the authentication method
:param username: Login user username
:param password: Login user password
:param kwargs: Login user other auth-info
:returns:
The return value type is dict.
The return value must contain fields: `name`(str),`username`(str),`email`(str),
Optional fields: `is_active`(bool)
demo:
{
‘name’: ‘JumpServer’,
‘username’: ‘jumpserver’,
’email’: ‘[email protected]’,
‘is_active’: True
}
“””
return {
‘name’: ‘JumpServer’,
‘username’: ‘jumpserver’,
’email’: ‘[email protected]’,
‘is_active’: True
}
3. KoKo组件支持MongoDB SSL/TLS、Redis SSL/TLS连接
在JumpServer v2.26.0版本中,数据库代理连接(KoKo组件)新增支持MongoDB SSL/TLS以及Redis SSL/TLS的连接。管理员通过选择“应用管理”→“数据库”,创建“MongoDB”或“Redis”数据库,在创建表单上启用SSL/TLS,并上传证书。
▲ 图1 创建MongoDB或Redis数据库,开启SSL/TLS,并上传证书
▲ 图2 测试连接MongoDB SSL/TLS,连接成功
▲ 图3 测试连接Redis SSL/TLS,连接成功
4. 短信服务支持华为云短信平台(X-Pack增强包内)
在JumpServer v2.26.0版本中,短信服务在腾讯云、阿里云和CMPP v2.0协议的基础上,新增支持华为云短信平台。
管理员选择“系统设置”→“短信设置”,选择“华为云”选项进行配置,并且启用SMS。用户在“个人信息”页面中,开启多因子(MFA)认证,同时启用短信认证。此后,用户在二次认证登录时,即可使用华为云短信服务进行短信验证码认证。
▲ 图4 华为云短信服务配置(X-Pack增强包内)
▲ 图5 用户在进行二次认证登录时,即可使用华为云短信服务进行短信验证码认证
5. 云同步支持腾讯云轻量应用服务器以及天翼云私有云同步(X-Pack增强包内)
在JumpServer v2.26.0版本中的“云同步”模块中,新增支持腾讯云轻量应用服务器(TencentCloud Lighthouse)以及天翼云私有云同步。
此前,JumpServer在多云资产纳管方面已经实现了对阿里云、腾讯云、华为云、百度云、京东云、AWS(中国)、AWS(国际)、Azure(中国)、Azure(国际)、谷歌云、VMware、青云私有云、华为私有云、OpenStack、Nutanix、Fusion Compute、局域网的支持,有效协助用户实现对私有云、公有云资产的统一纳管。
管理员通过选择“资产列表”→“云同步”,创建“腾讯云(轻量应用服务器)”或“天翼云”账号,并创建同步任务,即可将符合IP规则的云资产同步到JumpServer进行统一纳管。
▲ 图6 通过“资产列表”→“云同步”,创建“腾讯云(轻量应用服务器)”账号
▲ 图7 创建腾讯云轻量应用服务器同步任务
▲ 图8 同步成功后,在资产列表页面可查看同步过来的腾讯云轻量应用服务器资产
6. 改密计划新增支持MongoDB数据库改密(X-Pack增强包内)
在“改密计划”模块中,JumpServer新增支持MongoDB数据库改密(暂不支持MongoDB SSL改密),满足了用户对数据库密码的相关安全策略要求。
目前JumpServer已支持改密的数据库类型包括:MySQL、MariaDB、Oracle、PostgreSQL、SQL Server以及MongoDB。同时,在创建应用改密计划时,JumpServer提供了三种密码策略供管理员进行选择。
▲ 图9 选择“账号管理”→“改密计划”进行应用改密,创建MongoDB改密计划
▲图10 待改密计划任务触发后,在应用改密计划列表页面即可查看其执行次数
▲图11 在“改密计划详情”页面执行列表Tab中可查看改密任务执行详细日志
功能优化
■ 优化对OAuth 2.0认证协议的自定义注销功能;
■ 优化系统工具Ping或Telnet输出结果使用UTF-8编码;
■ 第三⽅⽤户登录时,支持⽤户登录规则;
■ 优化Web Terminal页面,点击Logo跳转至主界面;
■ 优化Luna页面,重连资产时不刷新整个页面;
■ 优化账号备份的执行速度(X-Pack增强包内);
■ 优化工单列表的搜索过滤字段(X-Pack增强包内);
■ 通过Web GUI方式连接PostgreSQL数据库时,支持自定义编码(X-Pack增强包内)。
Bug修复
■ 修复在线会话监控页面中布局部分被遮挡的问题;
■ 修复前端加密导致页面表单提交时偶尔报错的问题;
■ 修复批量更新资产时,页面加载速度慢的问题;
■ 修复配置MFA失效时间设置不生效的问题;
■ 修复设置了命令规则后,连接资产复制/粘贴多行命令执行时不能阻断的问题(KoKo组件);
■ 修复数据库命令过滤导致会话连接断开的问题(Magnus组件);
■ 修复服务长时间运行时会出现内存泄漏的问题(Magnus组件);
■ 修复通过Windows 2008 R2连接资产时,不能录像的问题(Razor组件,X-Pack增强包内);
■ 修复通过Linux XRDP连接资产时,没有录像和服务停止的问题(Razor组件,X-Pack增强包内)。
FIT2CLOUD 飞致云创立于 2014 年,是多云时代技术领先的企业级软件提供商。 FIT2CLOUD 飞致云秉持“ 软件用起来才有价值,才有改进的机会 ”的核心价值观,致力于基于创新的开源模式,向企业级用户交付被广泛验证、可信赖的关键基础软件。FIT2CLOUD 的产品与解决方案涵盖以下四个领域:软件测试、云原生运行时、多云管理及安全合规,其旗舰产品包括:MeterSphere 开源持续测试平台、KubeOperator 开源容器平台、CloudExplorer 多云管理平台和 JumpServer 开源堡垒机。