jumpserver

JumpServer 是廣受歡迎的開源堡壘機，是符合 4A 規範的專業運維安全審計系統。通過x-cmd一鍵安裝，即刻體驗高效工作流程。

Language	Python
Homepage	https://www.jumpserver.org/

x install jumpserver

/curl

if [ "$___X_CMD_WEBSRC_REGION" = "cn" ]; then curl -sSL https://resource.fit2cloud.com/jumpserver/jumpserver/releases/latest/download/quick_start.sh | bash else curl -sSL https://github.com/jumpserver/jumpserver/releases/latest/download/quick_start.sh | bash fi

JumpServer - 廣受歡迎的開源堡壘機

如果你管理着幾十台甚至上百台服務器，一定經歷過這些痛點：密碼散落在各個團隊成員手裏，誰登錄過哪台機器無從追溯，離職員工的訪問權限清理總有遺漏，等保合規檢查時被 auditors 追問得啞口無言。JumpServer 是目前國內最成熟的開源堡壘機解決方案，累計安裝超過 50 萬次，用一套系統解決運維訪問的授權、審計、合規問題。

什麼是堡壘機，為什麼需要它

堡壘機（Bastion Host）是運維安全的基礎設施。它作為所有運維訪問的唯一入口，統一管理服務器、資料庫、網絡設備的登錄權限，並完整記錄操作過程。JumpServer 由飛致雲開發維護，完全符合 4A 規範（Authentication 身份驗證、Authorization 授權控制、Account 賬號管理、Audit 安全審計），滿足等保合規要求。

與傳統 VPN 或直連服務器相比，JumpServer 提供了事前的精細化授權、事中的實時監察、事後的完整審計，讓企業能夠真正實現"誰做了什麼、什麼時候做的、怎麼做的"全程可追溯。

支持的資產類型

JumpServer 可以納管企業內幾乎所有需要運維訪問的資源：

資產類型	具體支持	連接方式
SSH	Linux、Unix、網絡設備等	原生 SSH / Web Terminal
Windows	Windows Server、桌面版	Web RDP / 原生 RDP
資料庫	MySQL、Oracle、SQLServer、PostgreSQL、Redis、MongoDB 等	Web CLI / 原生客户端
Kubernetes	K8s 集羣中的 Pods	kubectl / Web Terminal
Web 站點	各類系統的 Web 管理後台	內置瀏覽器
遠程應用	通過 Remote App 連接各類應用	應用虛擬化

這意味着運維人員不需要在本地安裝各種客户端，也不需要記住多套密碼——打開瀏覽器，在 JumpServer 的 Web 界面中就能完成所有操作。

核心功能詳解

統一身份認證

JumpServer 支持多種認證方式：本地賬號、LDAP/AD、CAS、OAuth2.0、SAML2.0、企業微信/釘釘/飛書等。管理員可以強制啓用 MFA（多因素認證），確保即使密碼泄露，攻擊者也無法直接登錄。

精細化授權管理

權限控制粒度非常細：可以精確到"哪個用户能以什麼身份（系統賬號）登錄哪台服務器的什麼時間段"。支持基於用户組、資產組、系統角色進行批量授權，也支持臨時授權和工單審批流程。

無插件 Web Terminal

這是 JumpServer 體驗最好的功能之一。運維人員只需要瀏覽器，就能獲得接近原生終端的操作體驗——支持命令高亮、搜索、複製粘貼、會話回放。相比傳統堡壘機需要安裝 Java 插件或專用客户端，這種"零門檻"設計大大降低了使用阻力。

全程操作審計

所有 SSH、RDP、資料庫操作都會被錄像並保存到對象存儲（支持 S3、OSS、Azure Blob 等）。審計員可以隨時回放會話，查看命令記錄，甚至對敏感命令進行實時告警和阻斷。

資料庫運維審計

針對資料庫場景，JumpServer 提供了 SQL 語句級的審計能力。可以記錄誰執行了哪些查詢、修改操作，對高危操作（DROP、TRUNCATE 等）進行攔截或告警，滿足金融行業對資料庫訪問的合規要求。

多雲與分佈式部署

對於資產分佈在多個雲廠商（阿里雲、騰訊雲、AWS、Azure 等）或全球多個數據中心的企業，JumpServer 支持分佈式部署架構。核心服務部署在總部，各區域部署接入節點，既能統一管控，又能保證跨區域訪問的流暢性。

架構與部署方式

JumpServer 採用模組化架構，核心組件包括：

• Core：主服務，處理業務邏輯和 API
• Koko：SSH 接入服務，處理字符協議
• Lion：RDP/VNC 接入服務，處理圖形協議
• Magnus：資料庫接入服務，代理資料庫連接
• Chen：Web 資產接入服務
• XRelay：RemoteApp 接入服務
• Celery：異步任務處理

這種設計讓各個接入服務可以獨立擴展。如果你們的 SSH 連接特別多，可以單獨擴容 Koko；RDP 用户多，就擴容 Lion。

部署方式選擇

部署方式	適用場景	特點
一體化安裝	中小規模（<1000 資產）	一鍵腳本，單機部署
Docker Compose	中等規模	容器化，易於維護升級
Kubernetes	大規模、雲原生環境	彈性擴縮容，高可用
分佈式部署	超大規模、多地域	接入節點就近訪問

對於大多數團隊，一體化安裝是最快上手的方式：

# 下載安裝腳本
curl -sSL https://github.com/jumpserver/jumpserver/releases/latest/download/quick_start.sh | bash

# 或使用 x-cmd 一鍵安裝
x env use jumpserver

快速上手指南

安裝完成後，通過瀏覽器訪問 http://<服務器IP>:80，默認賬號密碼是 admin/admin（首次登錄強制修改）。

第一步：配置系統設置

在"系統設置"中配置郵件服務器（用於發送通知和重置密碼）、MFA 認證方式、以及審計錄像的存儲後端（建議配置對象存儲，避免本地磁盤滿）。

第二步：創建用户

在"用户管理"中創建運維人員賬號，可以手動創建，也可以從 LDAP/AD 同步。給用户分配角色（普通用户、審計員、管理員）。

第三步：納管資產

在"資產管理"中創建資產樹（建議按業務線或環境劃分：生產環境、測試環境、核心系統等）。添加資產時填寫 IP、端口、系統類型，並創建對應的系統賬號（用於登錄資產的賬號）。

第四步：配置授權

在"權限管理"中創建授權規則：選擇"哪個用户"可以訪問"哪些資產"使用"什麼系統賬號"。支持時間限制（如只允許工作時間訪問）和命令過濾（禁止執行 rm -rf / 等高危命令）。

第五步：用户登錄

運維人員登錄 JumpServer 後，在"我的資產"中可以看到被授權的服務器，點擊即可打開 Web Terminal。也可以使用原生 SSH 客户端：

ssh -p 2222 用户名@jumpserver地址

實際應用場景

場景一：等保合規整改

某金融企業面臨等保三級檢查，需要證明"所有運維操作可追溯"。部署 JumpServer 後，所有 SSH/RDP 訪問必須經過堡壘機，操作錄像自動保存 180 天。Auditors 隨機抽查時，可以直接回放會話錄像，順利通過檢查。

場景二：外包人員管控

公司聘請外部技術團隊做系統維護，以前直接給 VPN 賬號，風險不可控。使用 JumpServer 後，外包人員只能通過 Web Terminal 訪問指定資產，所有操作實時錄像，敏感命令（如修改防火牆規則）需要審批才能執行。項目結束後一鍵回收權限，不留隱患。

場景三：資料庫安全運維

DBA 團隊需要頻繁操作生產資料庫，但又擔心誤操作或數據泄露。JumpServer 的資料庫代理功能讓 DBA 通過標準客户端（如 MySQL Workbench、Navicat）連接，但所有 SQL 都被記錄和審計。配合 SQL 命令過濾，可以禁止 SELECT * 不帶 WHERE 條件等危險操作。

場景四：多雲資產統一管理

某互聯網公司資產分佈在阿里雲、AWS、騰訊雲，運維人員需要登錄多個控制枱。通過 JumpServer 納管所有云主機的內網 IP，運維人員只需記住 JumpServer 一個入口，就能訪問所有資產。配合分佈式部署，各地辦公區都能獲得低延遲的訪問體驗。

企業版與社區版

JumpServer 採用開源核心 + 企業增值的模式：

• 社區版：包含堡壘機的全部核心功能，永久免費，適合中小團隊
• 企業版：提供 X-Pack 擴展包，包括組織級多租户、高級審批流程、更豐富的報表、商業支持等

社區版的功能已經非常完整，如果你的資產規模在幾千台以內，團隊幾十人，社區版完全夠用。當需要更復雜的組織架構、多租户隔離、或與內部審批系統對接時，再考慮企業版。

與同類工具的對比

特性	JumpServer	商業堡壘機	開源替代品
開源程度	核心完全開源	閉源	部分開源
Web Terminal	無插件，體驗好	通常需插件	參差不齊
資料庫審計	內置，SQL 級	通常需額外購買	大多不支持
部署方式	靈活（物理機/容器/K8s）	通常是硬件或虛擬機	較簡單
社區活躍度	高，迭代快	-	較低
中文支持	原生	有	較弱

在國內市場，JumpServer 的優勢非常明顯：本土團隊開發，中文文檔完整，社區活躍（GitHub 2萬+ Star），有大量真實生產環境的驗證案例。

寫在最後

JumpServer 不只是一個"跳板機"，而是一套完整的運維安全審計解決方案。從 2014 年開源至今，它經歷了 10 年的持續迭代，功能成熟度和穩定性都經過了大規模生產環境的驗證。

對於正在尋找堡壘機方案的團隊，建議先用社區版在測試環境試用。安裝過程簡單，半小時內就能跑起來。體驗過 Web Terminal 的便利性，再決定是否全面推廣。記住：堡壘機的價值在於"被用起來"——如果部署後大家還是繞過它直連服務器，那再好的功能也是擺設。

---

相關鏈接

• 官方網站：https://www.jumpserver.org/
• GitHub 倉庫：https://github.com/jumpserver/jumpserver
• 在線文檔：https://docs.jumpserver.org/
• 技術白皮書：https://whitepaper.jumpserver.org/