支持对协议和会话分享动作进行授权,新增API Key白名单功能,JumpServer堡垒机v3.9.0发布
2023年11月20日,JumpServer开源堡垒机正式发布v3.9.0版本。在这一版本中,JumpServer对授权功能进行了优化,增加了对“会话分享”及“资产协议”的配置,方便管理员以更细的颗粒度对各种资源进行控制;针对使用API Key与JumpServer进行交互的行为,新版本的JumpServer增加了API Key白名单功能,用于拦截非法IP,提高了系统的安全性;针对使用SSH命令行方式连接资产的用户,用户可以在首次连接会话时看到管理员配置的公告信息。
同时,在这一版本中,账号备份功能不仅可以将资产账号备份文件发送到指定人的邮箱,还可以将资产账号备份文件发送到指定的SFTP服务器上。
X-Pack增强包方面,JumpServer在账号收集任务执行完成后,支持对比任务执行前后资产账号发生的变化,并将对比结果发送给任务指定接收人。除此之外,管理员还可以通过角色自定义功能,将“系统工具”权限开放给指定用户。
新增功能
1.新增资产授权规则,支持对协议和会话分享动作进行授权
在JumpServer v3.9.0版本中,资产授权规则新增对协议和会话分享的权限控制,方便管理员以更细的颗粒度对用户和资产进行控制。
▲图1 资产授权规则支持对协议及会话分享进行授权
2.新增语言切换功能(控制台、工作台、审计台)
在JumpServer v3.9.0版本中,用户可以在Web操作页面进行语言切换功能。
▲图2 新增语言切换功能
3.远程应用发布机新增支持使用同名账号进行连接
在JumpServer v3.9.0版本中,远程应用发布机可以选择“使用同步账号”功能,账号使用上将优先使用同名账号。
▲图3 远程应用发布机支持使用同名账号进行连接
4.API Key支持配置IP白名单
在JumpServer v3.9.0版本中,API Key支持白名单策略,可以对非法IP请求进行过滤拦截,提高了系统的安全性。
▲图4 API Key支持配置IP白名单
5.新增控制数据库连接时的复制、粘贴动作(Web GUI)(Chen组件)
在JumpServer v3.9.0版本中,当使用Web GUI方式连接数据库时,管理员可以控制用户是否可以复制、粘贴工作台的内容。
▲图5 新增控制数据库连接时的复制、粘贴动作
6.账号备份功能支持配置SFTP存储方式
在JumpServer v3.9.0版本中,账号备份功能支持将备份后的账号信息发送到指定的SFTP服务器上。
▲图6 账号备份功能支持配置SFTP存储方式
7.Windows类型资产连接时,支持配置是否开启智能调整窗口大小功能
在JumpServer v3.9.0版本中,用户可在“个人信息”→“偏好设置”中配置“RDP智能大小”选项,该功能将自动计算匹配出本地窗口大小与远程窗口大小的缩放比例。
▲图7 Windows类型资产连接时,支持配置是否开启智能调整窗口大小功能
8.系统公告设置新增支持Markdown View预览模式
在JumpServer v3.9.0版本中,在公告中使用Markdown语法时,可以在页面右侧实时预览公告的呈现效果。
▲图8 系统公告设置新增支持Markdown View预览模式
9.SSH命令行连接方式支持查看系统公告信息(KoKo组件)
在JumpServer v3.9.0版本中,用户使用SSH命令行方式连接资产时,公告将会展示在连接会话窗口中。
▲图9 SSH命令行连接方式支持查看系统公告信息
10.新增资产连接高级选项的编码格式
在JumpServer v3.9.0版本中,连接资产的编码类型新增了GB2312和IOS-8859-1两种编码格式。用户可以在连接资产时,点击“高级选项”项目中的“字符集”选项进行配置。
▲图10 新增资产连接高级选项的编码格式
11.“定时清理” 新增作业中心执行历史日志的保留天数配置项
在JumpServer v3.9.0版本中,用户可以在“系统任务”→“定时清理”中,配置历史执行的保留天数。
▲图11 “定时清理” 新增作业中心执行历史日志的保留天数配置项
12.“账号收集”任务新增支持资产账号信息变动的消息通知(X-Pack增强包内)
在JumpServer v3.9.0版本中,执行“账号收集”任务后,如果资产上的用户发生了变化,系统会自动发送消息给任务中所配置的指定接收人。
▲图12 “账号收集”任务新增支持资产账号信息变动的消息通知(X-Pack增强包内)
13.工作台新增支持“系统工具”功能(管理员可配置用户角色开启,默认关闭)(X-Pack增强包内)
在JumpServer v3.9.0版本中,管理员可以在角色列表中配置相应权限,将“系统工具”功能发放给指定用户。
▲图13 工作台新增支持“系统工具”功能(X-Pack增强包内)
功能优化
■ 优化用户连接资产无协议时的提示信息;
■ 优化OAuth2.0认证方式中获取Access Token的Content类型;
■ 优化生成RSA Key的默认长度为2048位字符;
■ 优化用户登录日志和在线用户IP地址的获取逻辑;
■ 在线用户新增活跃属性的标识;
■ 优化在线用户扫描机制(Redis命令使用Sca替代Keys);
■ 优化命令存储为本地数据库时,命令列表支持资产模糊搜索;
■ 优化资产账号密码,支持使用特殊字符’和";
■ 优化发布机终端名称不包含空白字符的问题;
■ 优化仪表盘查询文件日志的SQL语句,减少查询次数;
■ 优化远程应用名称不能包含“()”字符的问题;
■ 优化“作业中心”操作台,在资产数中选择父节点后,展开子节点时默认也是选中状态;
■ 优化保存快捷命令时,命令为空不能保存的问题;
■ 优化用户最后执行的命令未被记录的问题(Magnus组件);
■ 优化API Key认证记录用户的时间逻辑,避免次数太多导致数据库被锁。
Bug修复
■ 修复DB2资产平台已存在的问题;
■ 修复包含Apps资产节点时,可能导致数据库迁移失败的问题;
■ 修复资产连接信息超长,导致JumpServer客户端拉起无响应的问题;
■ 修复发布机名称包含特殊字符时,导致部署失败的问题;
■ 修复Elasticsearch(6版本)查询不到命令记录的问题;
■ 修复禁用用户MFA页面显示错误的问题;
■ 修复使用“切换自”的交换机账号登录时卡住的问题;
■ 修复MySQL数据库测试可连接性失败的问题;
■ 修复作业日志搜索用户报错的问题;
■ 修复快捷命令找不到mssql_module路径的问题;
■ 修复自动化任务中资产包含多个协议时,端口获取不准确的问题;
■ 修复连接Telnet协议资产时,客户端拉起无响应的问题;
■ 修复快捷命令Playbook部分任务不可执行的问题;
■ 修复快捷命令SQLServer资产执行失败的问题;
■ 修复连接远程应用时,“服务端点”下的“端点规则”未生效的问题;
■ 修复CentOS系统用户使用sudo方式切换登录会失败的问题(KoKo组件);
■ 修复MySQL无默认数据库时,无法通过Web GUI方式连接的问题(Chen组件);
■ 修复使用本地客户端方式连接数据库时,记录命令的风险等级不准确的问题(Magnus组件);
■ 修复账号改密记录无法搜索查询的问题(X-Pack增强包内);
■ 修复云同步任务中,策略不能被清空的问题(X-Pack增强包内);
■ 修复账号密码规则提交不生效的问题(X-Pack增强包内);
■ 修复云同步策略为“不等于”时,策略不生效的问题(X-Pack增强包内);
■ 修复云同步任务的优先级无法更新的问题(X-Pack增强包内);
■ 修复账号开启了“切换自”功能,改密执行到“测试改密后的账号连通性”时,测试可连接性失败的问题(X-Pack增强包内);
■ 修复账号改密Root账号密钥未修改成功的问题(X-Pack增强包内);
■ 修复云同步策略设置的账号模版和实际账号未进行关联的问题(X-Pack增强包内);
■ 修复创建工单账号字段搜索后,点击下拉选项时会重复添加的问题(X-Pack增强包内);
■ 修复Oracle使用16位密码时,无法使用本地客户端进行连接的问题(Magnus组件)(X-Pack增强包内);
■ 修复Windows资产账号推送、账号改密使用WinRM方式会执行失败的问题(X-Pack增强包内)。