基于JumpServer的運維安全審計系統研究與實現

收稿日期：2023-05-05

基金項目：內蒙古自治區高等學院科學技術研究項目（NJZY22247）；內蒙古自治區哲學社會科學專項項目（ZSZX21090）；河套學院教學研究與改革項目（HTXYJY2102）；河套學院新冠肺炎重點研發項目（HYZX202089）

DOI：10.19850/j.cnki.2096-4706.2023.21.018

摘" 要：隨著IT技術的不斷進步，信息系統在各行各業的應用范圍日趨廣泛，但網絡安全風險也變得愈發嚴峻。目前，網絡安全的防護重點大多集中在外部入侵，一定程度上忽略了內部風險，但運維人員的違規操作會從內部破壞系統，因此需要針對運維操作進行安全審計，確保系統的正常運行。基于此，將JumpServer作為核心技術，設計一個運維安全審計系統，實現了登錄審計、操作審計、文件傳輸審計等多種功能，能夠全面地監控系統的運維行為，有效提高了IT系統的安全性和可靠性，具有一定的應用推廣價值。

關鍵詞：網絡安全；運維；安全審計；JumpServer

中圖分類號：TP393" 文獻標識碼：A" " 文章編號：2096-4706（2023）21-0076-04

Research and Implementation of Operation and Maintenance Security Audit System Based on JumpServer

CAO Yuanqing

（School of Mathematics and Computer Science， Hetao College， Bayannur" 015000， China）

Abstract： With the continuous progress of IT technology， the application range of information systems in various industries is becoming increasingly widespread， but network security risks have also become increasingly severe. At present， the focus of network security protection is mostly on external intrusion， which to some extent ignores internal risks. However， the illegal operations of operation and maintenance personnel will destroy the system from the inside. Therefore， it is necessary to conduct security audits for operation and maintenance operations to ensure the normal operation of the system. Based on this， using JumpServer as the core technology， an operation and maintenance security audit system is designed， which realizes various functions such as login audit， operation audit， file transfer audit， etc.， it can comprehensively monitor the operation and maintenance behavior of the system， and effectively improve the security and reliability of the IT system， it has certain application and promotion value.

Keywords： network security; operation and maintenance; security audit; JumpServer

0" 引" 言

IT系統在企業和組織的日常運營中發揮著至關重要的作用，它不僅提高了企業和組織的生產效率和競爭力，還帶來了更高的質量、安全和可靠性[1]。一個完整的IT系統由硬件、軟件、網絡設備、數據庫等多個部分組成。硬件包括計算機、服務器、存儲設備等；軟件包括操作系統、應用軟件、數據庫管理系統等。這些組成部分互相協作，形成一個完整的IT系統，為企業和組織提供必要的支持和服務[2]。

IT系統的正常運行離不開運維人員的管理和維護，運維人員需要使用一些系統運維常用軟件來保障系統的穩定性和安全性。常用的遠程連接軟件包括TeamViewer、Remote Desktop Connection、VNC Viewer、AnyDesk等，雖然這些軟件可以較為方便地進行遠程連接和控制，不需要在現場操作，用戶界面也比較友好，容易上手和使用，但缺乏對內網運維人員運維操作的管控[3]，也不能完成事后追溯，存在網絡安全隱患，無法滿足系統的安全性要求。

1" 運維安全審計技術

運維安全審計是一套用于評估IT系統或網絡安全態勢的程序、工具和技術，旨在識別潛在的漏洞、風險和威脅，并推薦適當的措施來減輕這些風險[4]，從而確保IT系統安全，免受潛在的網絡攻擊，并保護敏感數據免遭未經授權的訪問或盜竊。整個過程可以使用專門的軟件工具自動執行，也可以由IT安全專業人員手動執行。

運維安全審計系統的工作原理是通過對系統運維過程中的操作、記錄和日志進行全面、實時的監控和審計，保障系統運維的合規性和安全性。具體而言，它可以幫助企業或組織規范運維行為、提高系統的安全性、穩定性和運維效率[5]。如圖1所示，其主要功能體現在以下幾個方面：

1）訪問控制。該功能通過堡壘機對訪問請求的嚴格控制，只允許具備相應權限的用戶訪問操作資源，從而確保運維人員在賬號有效權限、期限內合法訪問操作資源，降低操作風險，以實現安全監管的目的。

2）賬號管理。該功能通過統一管理運維人員的賬號（包括賬號的創建、修改、刪除、授權等操作）確保賬號的安全可控，避免因賬號管理不當而出現安全漏洞和數據泄露。

3）資源授權。該功能通過對資源進行授權，明確哪些用戶可以對哪些資源進行操作，從而避免未授權用戶對敏感資源的訪問和操作，保證資源的安全性和機密性。

4）指令審核。該功能通過記錄用戶的操作指令和結果，對用戶行為進行審核和追溯，從而避免出現運維人員惡意操作、故意破壞、誤操作等不當行為，保障系統的穩定運行。

5）審計錄像。在錄像過程中，運維人員進行的所有操作都會被記錄下來，包括訪問的資源、執行的指令以及操作的結果等，可以有效地幫助安全管理員進行安全審計和追蹤問題的根源。同時，審計錄像還可以作為安全教育和培訓的重要材料，用以指導運維人員正確使用系統，減少操作風險。

6）身份認證。該功能通過對用戶的身份進行認證，確保運維人員的身份合法，避免非法入侵和操作，保障系統的安全和穩定運行。

7）操作審計。該功能通過對運維人員的操作行為進行記錄和分析，發現運維人員的操作問題、疏漏或不當行為，及時采取措施加以糾正，提高系統的安全性和穩定性。

圖1" 運維安全審計系統基本原理

在圖1中，運維審計系統對運維終端的權限審核和行為審計可以通過如下4種方式實現：

1）權限管理。運維安全審計系統可以跟蹤記錄運維用戶的權限分配和修改記錄。該系統不但可以審計誰擁有何種權限，何時分配或修改這些權限，還可以幫助組織確保權限分配的正確性，防止未經授權的訪問。

2）記錄行為日志。運維安全審計系統可以記錄所有運維用戶的活動，例如登錄時間、登錄位置、訪問的系統、修改的配置等。這些日志可以幫助組織追蹤和審計運維用戶的行為，發現潛在的安全風險和違規行為。

3）實時監控。運維安全審計系統可以實時監控運維用戶的活動，以便及時發現和應對不當行為。例如，它可以監控運維用戶在生產環境中執行的命令和操作，以及對敏感數據的訪問。如果發現異常行為，系統可以立即發出警報并進行適當的響應。

4）自動化規則。運維安全審計系統可以設置自動化規則，以確保運維用戶的行為符合組織的安全策略。例如，可以設置某項規則，如禁止運維用戶在生產環境中執行危險命令或修改敏感配置。

總的來說，運維安全審計系統可以通過多種方式審計運維用戶的權限和行為。這些審計方式可以幫助組織追蹤和審計運維用戶的行為，及時發現潛在的安全風險和違規行為，保護組織的信息安全[6]。

2" JumpServer運維安全審計技術的實現

2.1" 系統拓撲

運維安全審計系統拓撲如圖2所示，3臺服務器已經托管到堡壘機，運維用戶可以直接通過堡壘機調用本地工具對服務器進行運維。

2.2" 系統功能實現

Jumpserver充當用戶和遠程系統之間的網關，它是一種安全且集中的訪問管理解決方案，允許管理員控制和監視用戶對服務器和網絡中其他資源的訪問，具體的功能實現流程如圖3所示。

由圖3可以看出，以網絡拓撲的形式記錄下控制報文的軌跡，事實上，除了圖3中的4個步驟之外，還有后續的3個步驟是在系統內部進行，共同完成對運維用戶詳細操作的記錄，完整的7步流程如下所示：

1）用戶嘗試連接到網絡中的目標服務器。

2）連接請求被路由到充當網關的跳轉服務器。

3）跳轉服務器驗證用戶的憑據。

4）如果用戶被授權訪問目標服務器，則跳轉服務器代表用戶創建到目標服務器的連接。

5）用戶被授予通過跳轉服務器訪問目標服務器的權限。

6）所有用戶活動都由跳轉服務器來監控和記錄。

7）當用戶與目標服務器斷開連接時，連接終止，跳轉服務器記錄該活動。

2.3" 系統環境

安裝Jumpserver需要滿足一定的硬件和軟件要求，并且需要對服務器進行一定的配置和優化。在安裝之前，需要對環境進行仔細的評估和規劃，以確保系統的穩定性和安全性。針對校園網實際運維環境評估的運維審計系統的環境配置如下：

1）服務器。CPU為2款八核Magny-Cours架構AMD EPYC 7261型號處理器（主頻2.5 GHz），內存16 GB×2 DDR4 2666MHz ECC，存儲為2塊1.2 TB SAS硬盤，雙千兆網卡。

2）操作系統。CentOS 6.4 x86_64_mini，配置IP地址為192.168.202.98，并安裝部署Jumpserver運維安全審計系統，除此之外，還需要安裝其他依賴包和組件，如OpenSSH、OpenSSL、PyMySQL、Django、Django-Celery等。

3）客戶端。在運維管理人員的客戶端計算機上，需要通過瀏覽器訪問運維審計系統，實現用戶登錄和運維操作。

2.4 具體配置步驟及指令

對物理設備的拓撲架構設計和部署完成后，開始進行具體的配置工作，詳細步驟如下：

1）安裝軟件和依賴包，如OpenSSH、OpenSSL、MySQL、Python等。指令為：

sudo yum install openssh-server

sudo systemctl enable sshd

sudo systemctl start sshd

sudo yum install openssl

sudo yum install mariadb-server

sudo systemctl enable mariadb

sudo systemctl start mariadb

sudo yum install python

2）創建Jumpserver數據庫，并創建相應的用戶和密碼。指令為：

sudo mysql -u root -p

CREATE DATABASE jumpserver DEFAULT CHARACTER SET utf8 COLLATE utf8_general_ci;

GRANT ALL PRIVILEGES ON jumpserver.* TO 'jumpserveruser'@'localhost' IDENTIFIED BY 'password';

3）安裝和配置Nginx作為Jumpserver的Web服務器，配置SSL證書以保證Web訪問的安全性。指令為：

sudo yum install epel-release

sudo yum install nginx

sudo systemctl enable nginx

sudo systemctl start nginx

sudo nano /etc/nginx/conf.d/jumpserver.conf

sudo openssl req -x509 -nodes -days 365 -newkey rsa：2048 -keyout /etc/nginx/certs/jumpserver.key -out /etc/nginx/certs/jumpserver.crt

sudo systemctl reload nginx

4）下載和安裝Jumpserver的安裝包，并解壓到指定的目錄下。指令為：

wget https：//github.com/jumpserver/jumpserver/releases/download/v2.8.3/jumpserver-2.8.3.tar.gz

sudo yum install tar

tar -zxvf jumpserver-2.8.3.tar.gz

sudo mv jumpserver-2.8.3 /opt/

5）配置Jumpserver的settings.py文件，包括數據庫連接信息、密鑰、日志、郵箱等。指令為：

cd /opt/jumpserver-2.8.3

cp config_example.py config.py

SECRET_KEY = 'change_me'

LOG_DIR = \"/opt/jumpserver/logs\"

6）運行Jumpserver的初始化命令，以創建數據庫表和初始用戶。指令為：

cd /opt/jumpserver-2.8.3

source /opt/py3/bin/activate

python manage.py init_db

7）配置Jumpserver的角色、用戶、服務器等，以設置訪問權限。指令為：

cd /opt/jumpserver-2.8.3

source /opt/py3/bin/activate

python manage.py shell

from django.contrib.auth.models import User

admin = User.objects.create_superuser（'admin'， 'admin@example.com'， 'password'）

8）啟動Jumpserver的服務，啟動RabbitMQ消息隊列服務。指令為：

cd /opt/jumpserver-2.8.3

source /opt/py3/bin/activate

/opt/py3/bin/python jms start all

systemctl start rabbitmq-server

9）配置SSH、Telnet、RDP、VNC等協議的連接信息，以實現訪問管理。

10）測試Jumpserver的功能和安全性，并做好備份和恢復等措施。

配置完成后的Jumpserver運維審計系統Web界面如圖4所示。

值得注意的是，基于Jumpserver的運維審計系統包含有許多重要的信息，如服務器的訪問憑證、用戶密碼等，因此，需要確保Jumpserver的安全。例如，將管理員用戶的密碼設置為強密碼，并使用HTTPS等加密方式保護Web界面的訪問。此外，定期備份Jumpserver的數據是非常重要的，以防止數據丟失或遭受攻擊，可以使用一些備份工具（如rsync、tar等）將Jumpserver的數據備份到其他位置。定期安裝補丁和更新是非常重要的，以確保Jumpserver的安全性和穩定性。除了備份，還需要使用yum update命令來更新CentOS操作系統，利用pip install -U jumpserver命令更新Jumpserver程序。總之，運維審計系統的維護對于保證審計記錄的完整性、發現和修復安全漏洞、提高系統的性能和可靠性、證明合規性以及追溯事件來源和責任都是非常重要的。

3" 結" 論

運維安全審計是現代信息系統中不可缺少的重要工作之一，它可以幫助監控運維人員的操作行為，及時發現并防范安全威脅。本論文所提出的基于JumpServer的運維安全審計系統，采用了現代化的技術手段，具有實時監控、記錄操作日志、審計分析等多種功能，能夠有效提高運維人員的安全意識，保障企業和高校等組織的信息安全。

參考文獻：

[1] 趙偉.基于JumpServer的IT系統安全運維審計的研究與實現 [J].電子元器件與信息技術，2021，5（10）：1-3.

[2] 陳長輝，鐘煜明.日志計算應用及運維分析探索 [J].網絡安全技術與應用，2022（6）：27-28.

[3] 程科.基于形成本發明的公共信息系統運維成本計算的探索 [J].中國內部評估，2021（10）：56-58.

[4] 蔡莉莉.基于Karaf的網絡運維管理系統設計與現實 [J].鐵路通信信號工程技術，2022，19（12）：48-53.

[5] 何陽，陳康波，何寧.基于泰森多邊形評價體系的5G網絡運營應用與現實 [J].廣東通信技術，2022，42（12）：58-61.

[6] 嚴萍.高性能互聯網絡運維過程中網絡端口阻塞故障的隨機森林檢測技術 [J].電子測試，2022，36（4）：34-36.

作者簡介：曹園青（1985—），男，漢族，內蒙古巴彥淖爾人，講師，碩士研究生，研究方向：物聯網、計算機網絡、電化教育。