2023 年 6 月 19 日、JumpServer オープンソース要塞マシンはバージョン v3.4.0 を正式にリリースしました。このバージョンの JumpServer は、ユーザー ログイン、コマンド フィルタリング、アセット ログインと接続方法を含むさまざまなリソース選択戦略をサポートし、アップロード/ダウンロードされたファイル コンテンツの記録と監査をサポートし、システム セキュリティをさらに向上させます。同時に、アセット承認ルールによるファイルの削除の制御をサポートし、ワンクリックですべてのユーザーをユーザー グループに追加することをサポートします。
アセットのログインに関しては、新バージョンではユーザーのログイン IP とログイン時間の制御がサポートされており、1 人のユーザーが同時に複数の Web アセットを開いて接続できます。リモート アプリケーションに関しては、Chrome リモート アプリケーションを介してアセットに接続する場合、アドレス バー情報の非表示をサポートし、DBeaver リモート アプリケーションがゲートウェイを介してデータベース アセットに接続することをサポートします。さらに、オペレーション センターはコマンド ブラックリストの設定をサポートしており、危険なコマンドや間違ったコマンドの入力を効果的に回避できます。
X-Pack 拡張パッケージに関しては、JumpServer の新しいバージョンは、ユーザーが資産に接続する方法の制御をサポートし、カスタム SMS 認証サービスをサポートし、ユーザーが独自の SMS プラットフォームに接続することをサポートします。
新機能
1. 複数のリソース選択戦略 (ユーザー ログイン、コマンド フィルタリング、アセット ログインおよび接続方法) をサポートします。
JumpServer v3.4.0 バージョンでは、ユーザー ログイン、コマンド フィルタリング、アセット ログイン、接続モードなど、一致させる必要があるいくつかのシナリオ向けに単調な入力ボックス プラグインをアップグレードし、複合プラグインに変更しました。複数のリソース選択戦略をサポートする選択 入力ボックス。
▲図 1 JumpServer は複数のリソース選択戦略をサポート
2.アップロード/ダウンロードされたファイルコンテンツの記録と監査のサポート
JumpServer v3.4.0では、ファイルアップロード/ダウンロードのファイル監査機能が新たに追加されました。
監査者は、「セッション監査」メニューの「ファイル転送」ページで、アップロード/ダウンロードされた特定のファイルのコンテンツを表示できます。システムのデフォルトのバックアップ ファイル サイズのしきい値は 100MB です。監査人は、config.txt 構成ファイルのパラメータ FTP_FILE_MAX_STORE を変更してしきい値を変更できます。構成単位は MB (メガバイト) です。この設定項目の値が 0 以下の場合、ファイルのバックアップは実行されません。
▲図 2 アップロード/ダウンロードされたファイル コンテンツの記録と監査をサポート
3. アセット認可ルールによるファイルの削除制御のサポート
JumpServer v3.4.0 では、認可ルールのアクションに「削除」アクションを制御する機能が追加されています。このようにして、管理者はユーザーの権限制御をより柔軟に処理できるようになります。注: この削除アクションは SFTP および Web SFTP でのみサポートされており、Windows での削除アクションは現在サポートされていません。
▲図 3 アセット認可ルールによるファイルの削除制御のサポート
4. ワンクリックですべてのユーザーをユーザーグループに追加できるようになりました
JumpServer v3.4.0 では、管理者はワンクリックですべてのユーザーを指定したユーザー グループに追加できるため、作業効率がさらに向上します。
▲図 4 は、ワンクリックですべてのユーザーをユーザー グループに追加することをサポートします
5. アセットログインに関しては、ユーザーのログインIPとログイン時間の制御をサポートします。
JumpServer v3.4.0 バージョンでは、アセット ログインの制御について、「ユーザー ログイン」制御戦略と一致しており、特定/グループの IP およびログイン時間帯への制限付きアクセス制御を追加し、特定の IP に対する管理者の制御を強化しています。特定の資産のセキュリティ保護。
▲図5はログインIPとログイン時間の制御をサポート
6. 単一ユーザーが複数の Web アセットを開いて同時に接続できるようにする
JumpServer v3.4.0 では、1 人のユーザーが同時に複数の Web アセットを開いて接続できるため、アセットの接続効率が向上します。
7. Chrome リモート アプリケーションを介してアセットを接続する場合、アドレス バーの情報の非表示をサポートします。
JumpServer v3.4.0 バージョンでは、管理者はユーザーが Chrome リモート アプリケーションに接続するときに表示されるアドレス バー情報を非表示にすることができ、ユーザーが 1 つのセッションを通じて操作のために他のページにジャンプすることを防ぎます。
前提条件は、アプリケーション公開マシン設定で「既存の RDS ライセンス」オプションを有効にし、「RDS シングルユーザー シングルセッション」オプションを無効にし、同時に公開マシンを再デプロイすることです。
▲図 6 Chrome リモート アプリケーションを介してアセットに接続する場合、アドレス バー情報の非表示がサポートされます
8. オペレーション センターは設定コマンド ブラックリスト リストをサポートします
JumpServer v3.4.0 では、コマンド ブラックリストがファンクション センターに追加され、管理者が特定のコマンドをブラックリストに設定すると、タスクの実行時にブラックリスト内のコマンドが除外され、危険なコマンドの入力や間違ったコマンドの発生を効果的に回避できます。等
▲図7 オペレーションセンターがサポートする設定コマンドブラックリスト一覧
9. DBeaver リモート アプリケーションをサポートし、ゲートウェイ経由でデータベース資産に接続します。
JumpServer v3.4.0 では、DBeaver リモート アプリケーションを通じてアセットに接続する場合、ドメインを使用した指定されたアセットへの接続がサポートされます。
10. ユーザーがアセットに接続する方法の制御をサポート (X-Pack 拡張パッケージ内)
JumpServer がアセットに接続するには、コマンド ライン、グラフィカル インターフェイス、クライアントを介した接続など、さまざまな方法があります。
JumpServer v3.4.0 バージョンはアセット接続方法の制御をサポートしており、管理者はユーザーがアセット接続操作に使用できる接続コンポーネントを構成できます。
▲図 8 ユーザーがアセットに接続する方法の制御をサポート (X-Pack 拡張パッケージ内)
11. カスタム SMS 認証サービスをサポート (X-Pack 拡張パッケージ内)
JumpServer v3.4.0 では、カスタム SMS 認証サービスをサポートしており、ユーザーは構成インターフェイスで独自の SMS プラットフォームに接続し、http/https プロトコル経由で SMS を送信できます。
▲図 9 はカスタム SMS 認証サービスをサポートしています (X-Pack 拡張パッケージ内)
機能の最適化
■ エンタープライズ WeChat クライアントにログインするときに、QR コードをスキャンせずに JumpServer に正常にログインできるように PC 端末を最適化しました (コミュニティ開発者の X-Mars の貢献に感謝します)。
■ Select2 リソース選択コンポーネントの表示問題を最適化します (10 を超えると番号が表示されます)。
■ 接続パラメータのオプションが、Web ターミナル ページのアセット接続ポップアップ ウィンドウに追加されます。
■ 「セッション共有」リンクは、同じユーザーが 1 回のみ使用できます。
■ アカウント プッシュは、ホーム ディレクトリの設定をサポートします。
■ アセットリスト検索はコメントあいまい検索をサポートします。
■ すべてのユーザーを削除するときのプロンプト情報を最適化します。
■ リモート アプリケーション公開マシン プラットフォームは WinRM プロトコルをサポートします。
■ サービス エンドポイントのホスト フィールドのヘルプ情報を最適化し、デフォルトのサービス エンドポイントのホスト フィールドの変更を禁止します。
■ LDAP テスト接続は非同期で呼び出され、[テスト] ボタンをクリックすると、タスクはフォアグラウンド ページの動作に影響を与えることなくバックグラウンドで実行されます。
■ 資産認可ルールのアクションフィールドの説明を最適化します。
■ システム設定のフィールド名の表示を最適化しました (時間単位を含む)。
■ タイミング検出コマンドとビデオ ストレージの接続を最適化し、メッセージ通知を送信します。
■ リモート アプリケーションの削除を最適化する場合、同期的に作成されたカスタム アセット プラットフォームが自動的に削除されます。
■ Web アセットのスクリプト埋め込み機能を最適化し、スリープ待機コマンドを増やします。
■ 資産プラットフォームの詳細により、資産リスト ページが追加されます (現在の組織に属する資産のみが表示されます)。
■ KoKo コンポーネントが VSCode モードを開くと、SCP を使用したファイル転送がサポートされます。
■ KoKo コンポーネントが Ubuntu システムに接続されている場合、sudo による切り替えをサポートします。
■ LDAP 同期設定は、(X-Pack 拡張パッケージで) ユーザーを複数の組織に同期することをサポートします。
■ スーパー作業指示権限を持つユーザーが作業指示を申請する場合、(X-Pack 拡張パッケージで) 申請者を指定できます。
■ SMS サービス構成では、テスト用携帯電話番号は市外局番の選択をサポートします (X-Pack 拡張パッケージ内)。
バグの修正
■ 資産アカウントのインポートエラーレポートの問題を修正します。
■ 端末エンドポイントが資産タグ照合メカニズムを使用するときにバックエンド サービスがエラーを報告する問題を修正します。
■ リモート アプリケーションのインポート時に、自動的に作成されたカスタム プラットフォームがオートメーション フィールドを設定しない問題を修正しました。
■ MFA ログイン認証を使用してユーザーがエラーを入力した場合に、特定のエラー情報が記録されない問題を修正しました。
■ 無効化されたプラットフォームのアカウント切り替え機能で過去に作成された切り替えアカウントが引き続き正常に切り替えられる問題を修正しました。
■ パスワード入力ボックスにパスワード規則が表示されない問題を修正します。
■ フロントエンド ページにパラメータが JSON 形式で表示されない問題を修正します。
■ アセットを作成し、「テンプレートの追加」オプションを指定した後、アカウントからの自動関連付けと切り替えが行われない問題を修正します。
■ ジョブ センターでタスクを実行するときに時折エラーが報告される問題を修正します。
■ システム管理者が相互に更新できない問題を修正します。
■ オペレーション センターの Playbook ファイル ツリーを右クリックできない問題を修正します。
■ JumpServer v2 から v3 にアップグレードするときに一部のアセットにノードがない問題を修正しました。
■ アカウントのパスワード変更プロンプトが失敗しても実際には成功するという問題を修正します (X-Pack 拡張パッケージで)。
■ グローバル組織 (X-Pack 拡張パッケージ内) でアカウントの詳細を表示するときのエラー報告エラーを修正します。
■ クラウドアカウント作成時に認証情報を追加できない問題を修正(X-Pack拡張パッケージ内)。
■ Alibaba Cloud アセットを同期するときに IP アドレスが 0.0.0.0 になる問題を修正します (Elastic Public IP の遅延バインディングの場合) (X-Pack 拡張パッケージ内)。