开源堡垒机介绍

1.什么是堡垒机

堡垒机堡垒机即在一个特定的网络环境下，为了保障网络和数据不受来自外部和内部用户的入侵和破坏的服务器设备，集4A规范，即：身份验证、账号管理、授权控制、安全审计于一体，用于纳管企业服务器设备、应用设备等。

 

 

 

2.为什么需要堡垒机？

    在大环境下，网络安全日益重要，无论来自外部或者内部的攻击，都有可能对企业的信息安全造成严重影响。那么能如何解决这个问题呢？

本文推荐使用开源堡垒机，原因如下：

    首先，堡垒机切断了终端对服务器资源直接访问，对纳管的服务器进行访问都需要采用堡垒机作为代理的方式。通俗的讲，堡垒机扮演着保安的角色，所有运维开发人员对网络设备、服务器、乃至应用的访问都需要从这堡垒机经过。因此堡垒机能够拦截非法访问和恶意攻击，对不合法命令进行命令阻断，过滤掉所有对目标设备的非法访问行为。在企业内部，也可通过堡垒机根据不同用户所拥有的服务器访问权限，对服务器的访问进行限制。并且在某些用户访问权限需要变更的时候，管理员可在堡垒机上直接对这部分用户的访问权限进行修改，增加或减少拥有权限的服务器。用户无法获得堡垒机纳管的服务器的密码，在权限变更后就无法继续对没有权限的服务器进行访问，防止内部人员对重要服务器进行恶意操作，保证企业信息安全，并对内部人员误操作和非法操作进行审计监控，以便事故回顾与责任追踪。

    另一方面，网络安全等级保护是国家信息安全保障基本制度、基本策略、基本方法。在法律方面中华人民共和国网络安全法》明确规定信息系统运营、使用单位应当按照网络安全等级保护制度的要求，履行安全保护义务，如果拒不履行，将会受到相应处罚。也就是说，如果不开展等保工作就等同于违法。信息系统运营、使用单位通过开展等保工作可以发现系统内部的安全隐患与不足之处，可通过安全整改提升系统的安全防护能力，降低被攻击的风险。企业部署堡垒机，有助于通过等保测评。

3.开源堡垒机选择

下面为收集的四款开源堡垒机，按照当前github上的star进行排序，通过对比肯定能选出适合自己的堡垒机，注意：开源不等于免费哦~

第一款--JumpServer

star数：18.8k
社区活跃：非常活跃
项目介绍：
         JumpServer 是全球首款开源的堡垒机，使用 GNU GPL v2.0 开源协议，是符合 4A 规范的运维安全审计系统，使用 Python 开发，遵循 Web 2.0 规范，配备了业界领先的 Web Terminal 方案，交互界面美观、用户体验好，同时采纳分布式架构，支持多机房跨区域部署以及横向扩展，无资产数量及并发限制。

功能：

        身份认证: 提供运维人员集中身份认证功能，使得运维人员仅需一次身份认证，就可以直接访问多台目标设备；
        账号管理: 包括集中管理资产账号、应用账号、自定义任务定期收集主机用户，以及定期批量改密功能；
        授权控制: 支持对资产、应用等进行多维度授权，包括用户、用户组、资产、资产节点、应用以及系统用户等，同时也支持对动作、时间和特权指令进行独特控制；
        安全审计: 包括对运维操作会话的实时阻断、对资产和应用等操作的指令审计，以及会话录像的下载和离线回放。

优势：
        开源开放: 零门槛，线上快速获取和安装；
        无需插件: 仅需浏览器，极致的 Web Terminal 使用体验；
        云端存储: 审计录像云端存储，永不丢失；
        多云纳管: 一套系统，同时管理不同云上面的资产；
        分布式部署: 轻松支持大规模并发访问；
        多应用支持: 数据库，Kubernetes。

项目地址：https://github.com/jumpserver/jumpserver
文档地址：https://docs.jumpserver.org/zh/master/
demo体验：https://demo.jumpserver.org/

第二款--Spug

star数：7.7k
社区活跃：活跃
项目介绍：
        面向中小型企业设计的轻量级无 Agent 的自动化运维平台，整合了主机管理、主机批量执行、主机在线终端、文件在线上传下载、应用发布部署、在线任务计划、配置中心、监控、报警等一系列功能。

特性：
        批量执行: 主机命令在线批量执行；
        在线终端: 主机支持浏览器在线终端登录；
        文件管理: 主机文件在线上传下载；
        任务计划: 灵活的在线任务计划；
        发布部署: 支持自定义发布部署流程；
        开源免费: 前后端代码完全开源；
        报警中心: 支持短信、邮件、钉钉、微信等报警方式。
项目地址：https://github.com/openspug/spug
文档地址：https://www.spug.cc/docs/about-spug/
demo体验：https://demo.spug.cc/ 

第三款--CODO

star数：3.2k
社区活跃：比较活跃
项目介绍：

        CODO是一款为用户提供企业多混合云、一站式DevOps、自动化运维、完全开源的云管理平台、自动化运维平台。前后端分离、前端基于Vue iviewAdmin 后端Python Tornado进行开发。

特性：
        权限管理：基于RBAC角色管理访问控制，用户登陆鉴权，支持开启用户MFA认证；
        自定义任务：支持自定义模板、脚本，且任务可干预，可定时、可重做；            
        API网关：系统模板化，前后端分离，自由开发新模板注册即可快速接入；       
        微服务设计：采用微服务设计理念，服务之间，开发人员协同开发互不影响。
项目地址：https://github.com/opendevops-cn/opendevops
项目文档：https://docs.opendevops.cn/
demo体验：https://demo.opendevops.cn/login
demo登陆凭据：demo/2ZbFYNv9WibWcR7GB6kcEY

第四款--OpsCloud

star数：1.1k
社区活跃：比较活跃
项目介绍：
        Opscloud是面向云的DevOps平台。
平台特性：
        高性能，可扩展，无单点故障；
        分布式任务锁，大量使用缓存和异步线程提升性能；
        支持海量服务器运维，数千台服务器配置生产仅需几秒；
        基于角色的访问控制RBAC(Role-Based Access Control)，LDAP完整支持；
        支持低权限启动，敏感数据加密；
        代码即文档，全接口API；
        前后端分离，支持跨域部署；
        全网唯一Java（Springboot）语言开源的DevOps平台。
项目地址：https://github.com/ixrjog/opscloud4
项目文档：https://www.kancloud.cn/ixrjog/opscloud/1780645
demo体验：暂无