2023年6月19日,JumpServer开源堡垒机正式发布v3.4.0版本。在这一版本中,JumpServer新增支持多种资源选择策略,包括用户登录、命令过滤、资产登录和连接方式;支持记录和审计上传/下载的文件内容,进一步提升系统的安全性保障。同时,支持通过资产授权规则控制文件的删除动作,并且支持将所有用户一键加入用户组。
资产登录方面,新版本支持对用户登录IP和登录时段进行控制,单用户可以同时打开连接多个Web资产。远程应用方面,通过Chrome远程应用连接资产时,支持隐藏地址栏信息,并且支持DBeaver远程应用通过网关连接数据库资产。另外,作业中心支持配置命令黑名单列表,有效规避输入危险命令、错误命令等情况。
X-Pack增强包方面,新版JumpServer支持控制用户连接资产的方式,并支持自定义短信认证服务,支持用户对接自己的短信平台。
新增功能
1. 支持多种资源选择策略(用户登录、命令过滤、资产登录和连接方式)
在JumpServer v3.4.0版本中,针对一些需要匹配的场景,例如用户登录、命令过滤、资产登录、连接方式等场景,我们升级了单调的输入框插件,修改为支持多种资源选择策略的复合选择输入框。
▲ 图1 JumpServer支持多种资源选择策略
2. 支持记录和审计上传/下载的文件内容
在JumpServer v3.4.0版本中,新增支持对文件上传/下载的文件审计功能。
审计员可以在“会话审计”菜单下的“文件传输”页面中查看具体上传/下载的文件内容。系统默认备份文件的大小阈值为100MB,审计员可以在config.txt配置文件中修改参数FTP_FILE_MAX_STORE,以实现阈值的更改,配置单位为MB(兆)。当此配置项的值小于或等于0时,不进行文件备份。
▲ 图2 支持记录和审计上传/下载的文件内容
3. 支持通过资产授权规则控制文件的删除动作
在JumpServer v3.4.0版本中,授权规则的动作新增了控制“删除”动作的能力。这样一来,管理员可以更加灵活地处理对用户的权限控制。注意:该删除动作只针对SFTP、Web SFTP提供支持,Windows上的删除动作暂不支持 。
▲ 图3 支持通过资产授权规则控制文件的删除动作
4. 支持将所有用户一键加入用户组
在JumpServer v3.4.0版本中,管理员可以一键将所有用户加入到指定用户组中,从而进一步提升工作效率。
▲ 图4 支持将所有用户一键加入用户组
5. 资产登录方面,支持对用户登录IP和登录时段进行控制
在JumpServer v3.4.0版本中,针对资产登录的控制,我们和“用户登录”控制策略保持一致,增加了对某个/某组IP和登录时间段的限制访问控制,加强了管理员对某些特定资产的安全保护。
▲ 图5 支持对登录IP和登录时段进行控制
6. 支持单用户同时打开并连接多个Web资产
在JumpServer v3.4.0版本中,单个用户可以同时打开并连接多个Web资产,提高了连接资产的效率。
7. 通过Chrome远程应用连接资产时,支持隐藏地址栏信息
在JumpServer v3.4.0版本中,管理员可以隐藏用户连接Chrome远程应用时所显示的地址栏信息,防止用户通过单个会话跳转到其他页面进行操作。
前提条件为:应用发布机设置中开启“已有RDS许可证”选项,并禁用“RDS 单用户单会话”选项,同时重新部署发布机。
▲ 图6 通过Chrome远程应用连接资产时,支持隐藏地址栏信息
8. 作业中心支持配置命令黑名单列表
在JumpServer v3.4.0版本中,作用中心新增命令黑名单列表,管理员将某些命令配置到黑名单列表中后,执行任务时将会过滤掉黑名单中的命令,有效规避输入危险命令、错误命令等情况的出现。
▲ 图7 作业中心支持配置命令黑名单列表
9. 支持DBeaver远程应用通过网关连接数据库资产
在JumpServer v3.4.0版本中,通过DBeaver远程应用连接资产时,支持使用网域的方式连接指定的资产。
10. 支持控制用户连接资产的方式(X-Pack增强包内)
JumpServer连接资产的方式是多样的,包括通过命令行、图形界面、客户端等方式连接。
JumpServer v3.4.0版本支持对资产的连接方式进行控制,管理员可以配置使用人员具体可以使用哪些连接组件进行资产连接操作。
▲ 图8 支持控制用户连接资产的方式(X-Pack增强包内)
11. 支持自定义短信认证服务(X-Pack增强包内)
在JumpServer v3.4.0版本中,我们支持自定义短信认证服务,用户可以在配置界面中对接自己的短信平台,并通过http/https协议的方式发送短信。
▲ 图9 支持自定义短信认证服务(X-Pack增强包内)
功能优化
■ 优化PC端登录企业微信客户端时,不需要手机扫码即可成功登录JumpServer (感谢社区开发者X-Mars的贡献);
■ 优化Select2资源选择组件的显示问题(超过10条即显示数量);
■ Web Terminal页面资产连接弹窗中增加连接参数的选项;
■ “会话分享”链接限制同一用户只能使用一次;
■ 账号推送支持设置Home目录;
■ 资产列表搜索支持备注模糊搜索;
■ 优化删除全部用户时的提示信息;
■ 远程应用发布机平台支持WinRM协议;
■ 优化服务端点Host字段的帮助信息,且禁止修改默认服务端点的Host字段;
■ LDAP测试可连接性使用异步方式进行调用,点击“测试”按钮后,后台进行任务执行,不影响前台页面操作;
■ 优化资产授权规则中的动作字段说明;
■ 优化系统设置中字段的名称显示(包含时间单位);
■ 优化定时检测命令和录像存储的可连接性,并发送消息通知;
■ 优化删除远程应用时,自动删除同步创建的自定义资产平台;
■ 优化Web资产的脚本代填功能,增加Sleep等待指令;
■ 资产平台详情添加资产列表页(只显示当前组织下的资产);
■ KoKo组件开启VSCode模式后,支持使用SCP传输文件;
■ KoKo组件连接Ubuntu系统时,支持使用sudo方式切换;
■ LDAP同步设置支持将用户同步到多个组织(X-Pack增强包内);
■ 具有超级工单权限的用户申请工单时,可以指定申请人(X-Pack增强包内);
■ 短信服务配置中,测试手机号支持选择区号(X-Pack增强包内)。
Bug修复
■ 修复资产账号导入报错的问题;
■ 修复终端端点使用资产标签匹配机制时,后端服务报错的问题;
■ 修复导入远程应用时,自动创建的自定义平台没有设置自动化字段的问题;
■ 修复用户使用MFA登录认证输入错误时,没有记录具体错误信息的问题;
■ 修复禁用平台的账号切换功能中历史创建的切换账号依然可以正常切换的问题;
■ 修复密码输入框不显示密码规则的问题;
■ 修复前端页面不显示JSON格式参数的问题;
■ 修复创建资产指定“模板添加”选项后,没有自动关联切换自账号的问题;
■ 修复作业中心中执行任务偶尔报错的问题;
■ 修复系统管理员之间不能互相更新的问题;
■ 修复作业中心Playbook文件树无法右键点击的问题;
■ 修复从JumpServer v2版本升级到v3版本时,一些资产没有节点的问题;
■ 修复账号改密提示失败,但实际上成功的问题(X-Pack增强包内);
■ 修复全局组织下查看账号详情报错的问题(X-Pack增强包内);
■ 修复创建云账号无法添加认证信息的问题(X-Pack增强包内);
■ 修复同步阿里云资产时,IP地址为0.0.0.0的问题(延时绑定弹性公网IP的情况)(X-Pack增强包内)。