前言: 堡垒机双因子登录
堡垒机往往是内部权限的集合体,拿到了堡垒机的用户账号密码,很容易就顺藤摸瓜攻破各种应用系统,除了常规的用户名复杂密码的要求外,我们常常都要求采用双因子的登录方式。双因子最常见的就是账号密码+短信验证,复杂点就有账号密码+MFA工具。
一、堡垒机设置复杂密码要求:
加强 JumpServer 用户的密码复杂度要求。
“系统设置” → “安全设置” → “密码强弱规则” 中设置登录 JumpServer 的用户密码的强弱。可以设置密码的长度,分别为管理员与其他用户设置;可以设置密码的复杂度(是否需要包含大小写字母,数字,特殊字符);可以设置在更改密码时不可以设置最近的几次密码。
同时,可以在 “系统设置” → “安全设置” 中设置用户密码过期时间以及异地登录。增强用户密码修改意识以及异地登录提醒。
二、用户登录IP,黑白名单限制
用户登录限制可以根据用户或者 IP 或用户和 IP 进行限制。“系统设置”→“安全设置”→“登录限制”中设置登录 JumpServer 的限制。
根据用户设置用户登录 JumpServer 的限制。用户登录超过错误次数之后,多少时间才能重新登录,即锁定。如下图即用户输错七次密码即会锁定,30 分钟才能继续登录。
根据 IP 地址设置登录 JumpServer 的限制。限制 IP 登录失败的次数,禁止 IP 登录失败重新尝试的时间,同样可设置 IP 登录黑白名单。
三、短信双因子验证
短信认证的开启在 “系统设置” → “短信设置” 中,目前支持阿里云和腾讯云的短信服务。
设置对应的阿里云短信服务信息。
设置后,即可在使用 MFA 的位置选择短信验证。
四、MFA工具双因子验证
在 “系统设置” → “安全设置” → “认证” 中可以设置全局启动 MFA 认证以及第三方登录用户实现 MFA 认证。
用户下一次登录时绑定 MFA 认证即可。
不开启全局启动 MFA 的情况下,在创建用户时,可选择针对单个用户开启 MFA 双因子认证。
注:全局开启 MFA 规则高于单个用户关闭 MFA 规则。
首次登录时,绑定 MFA 认证。
第二次登录,即可直接使用 MFA 进行登录验证。
五、支持的MFA工具
安卓版:
Google Authenticator
Microsoft Authenticator
阿里云 App 虚拟 MFA
CKEY 令牌
IOS版:
Google Authenticator
Microsoft Authenticator
阿里云 App 虚拟 MFA
微信小程序:
MinaOTP
MFA Authentication
CKEY 令牌
商业产品:
宁盾
总结:功能强大
应该说Jumpserver是一套功能强大的堡垒机软件,开源免费版本对于一些日常的需求是足够的,大大降低了中小企业IT成本。
