Автоматическое повышение привилегий при подключении по SSH
Обычно под УЗ root нельзя подключаться по SSH напрямую, поэтому после подключения для повышения привилегий обычно выполняется команда su и вводится пароль от УЗ root.
JumpServer позволяет автоматизировать этот процесс и запустить SSH сессию с автоматическим повышением прав до root без знания/раскрытия пароля.
Для этого нужно:
1. Зайти в System Settings - Platforms, в списке выбрать нужную платформу на базе Linux (или скопировать стандартную), открыть параметры и в поле Switch Account Method указать нужную команду, которая будет использоваться для переключения УЗ, например "su -"
2. Перейти в Console - Accounts, найти там привилегированную УЗ, например root, открыть для редактирования и в поле Switch from указать УЗ (в моем примере это УЗ serg), с которой будет осуществляться подключение изначально, сохранить изменения.
3. Теперь при подключении по SSH можно выбрать root, но сессия запуститься с УЗ serg и автоматически переключится на root после авторизации, при старте сессии вы увидите надпись "switched to root(root)"
Обычно под УЗ root нельзя подключаться по SSH напрямую, поэтому после подключения для повышения привилегий обычно выполняется команда su и вводится пароль от УЗ root.
JumpServer позволяет автоматизировать этот процесс и запустить SSH сессию с автоматическим повышением прав до root без знания/раскрытия пароля.
Для этого нужно:
1. Зайти в System Settings - Platforms, в списке выбрать нужную платформу на базе Linux (или скопировать стандартную), открыть параметры и в поле Switch Account Method указать нужную команду, которая будет использоваться для переключения УЗ, например "su -"
2. Перейти в Console - Accounts, найти там привилегированную УЗ, например root, открыть для редактирования и в поле Switch from указать УЗ (в моем примере это УЗ serg), с которой будет осуществляться подключение изначально, сохранить изменения.
3. Теперь при подключении по SSH можно выбрать root, но сессия запуститься с УЗ serg и автоматически переключится на root после авторизации, при старте сессии вы увидите надпись "switched to root(root)"
Как писать API запросы с помощью Cursor AI?
Cursor AI - популярный инструмент и среда разработки, который может использовать языковые модели для написания скриптов.
Для лучшего результата нужна платная версия Cursor или API ключ от ChatGPT\DeepSeek, или других чат-ботов.
Чтобы Cursor получил документацию по JumpServer API, нужно:
1. Скачать файл swagger.json по адресу: https://PAM/api/swagger.json , где PAM - имя или IP вашего JumpServer
2. Создать новую директорию для работы Cursor, где будут сохраняться сгенерированные скрипты, и скопировать файл swagger.json в эту директорию
3. После этого попросить Cursor написать нужный вам скрипт на основе документации API в swagger.json
Запросы можно писать на русском языке в свободной форме, например "в отдельном файле создай мне скрипт с выводом всех пользователей, их ролей и названия их организации"
Cursor AI - популярный инструмент и среда разработки, который может использовать языковые модели для написания скриптов.
Для лучшего результата нужна платная версия Cursor или API ключ от ChatGPT\DeepSeek, или других чат-ботов.
Чтобы Cursor получил документацию по JumpServer API, нужно:
1. Скачать файл swagger.json по адресу: https://PAM/api/swagger.json , где PAM - имя или IP вашего JumpServer
2. Создать новую директорию для работы Cursor, где будут сохраняться сгенерированные скрипты, и скопировать файл swagger.json в эту директорию
3. После этого попросить Cursor написать нужный вам скрипт на основе документации API в swagger.json
Запросы можно писать на русском языке в свободной форме, например "в отдельном файле создай мне скрипт с выводом всех пользователей, их ролей и названия их организации"
Корпоративный ИИ-ассистент MaxKB от создателей JumpServer
Решение позволяет превратить вашу кладезь документаци и заметок в интерактивную базу знаний, где ИИ-ассистент сможет отвечать на вопросы ваших коллег и клиентов, используя накопленную в компании информацию.
MaxKB используется в полумиллионе компаний, доступен в бесплатной редакции Community, а также в полнофункциональной редакции Enteprise. MaxKB доступен в облаке и для установки в локальную сеть.
Нам интересно узнать, как вы относитесь к подобного класса решениям - напишите ваши мысли и вопросы в тг @mapceaheh
Задачи, которые решает MaxKB:
- поиск и извлечение знаний из корпоративных данных;
- ответы на запросы сотрудников на основе внутренних документов;
- создание ИИ-ассистентов с доступом к специфичной информации;
- автоматизация бизнес-процессов через LLM и RAG;
- интеграция знаний с другими системами (через MCP).
Основные функции MaxKB:
RAG-пайплайн (Retrieval-Augmented Generation) с подключением собственных источников данных (PDF, HTML, базы знаний и т.д.)
MCP-интеграция для объединения с другими LLM-инструментами и API.
Создание ассистентов для HR, техподдержки, продаж и др. отделов.
Гибкая настройка рабочих пространств с множеством агентов, ролевая модель доступа.
Интерфейс для загрузки, разметки и валидации данных.
Решение позволяет превратить вашу кладезь документаци и заметок в интерактивную базу знаний, где ИИ-ассистент сможет отвечать на вопросы ваших коллег и клиентов, используя накопленную в компании информацию.
MaxKB используется в полумиллионе компаний, доступен в бесплатной редакции Community, а также в полнофункциональной редакции Enteprise. MaxKB доступен в облаке и для установки в локальную сеть.
Нам интересно узнать, как вы относитесь к подобного класса решениям - напишите ваши мысли и вопросы в тг @mapceaheh
Задачи, которые решает MaxKB:
- поиск и извлечение знаний из корпоративных данных;
- ответы на запросы сотрудников на основе внутренних документов;
- создание ИИ-ассистентов с доступом к специфичной информации;
- автоматизация бизнес-процессов через LLM и RAG;
- интеграция знаний с другими системами (через MCP).
Основные функции MaxKB:
RAG-пайплайн (Retrieval-Augmented Generation) с подключением собственных источников данных (PDF, HTML, базы знаний и т.д.)
MCP-интеграция для объединения с другими LLM-инструментами и API.
Создание ассистентов для HR, техподдержки, продаж и др. отделов.
Гибкая настройка рабочих пространств с множеством агентов, ролевая модель доступа.
Интерфейс для загрузки, разметки и валидации данных.
Как подключаться к доменным активам с единой доменной УЗ?
В предыдущих версиях JumpServer была строгая привязка УЗ к конкретному активу, то есть не было возможности подключаться с одной и той же доменной УЗ к разным активам без дублирования этой УЗ.
В последних версиях JumpServer добавили такую возможность:
1. Перейдите в Console - Assets - Directory service и создайте актив, указав параметры домена.
(см. скриншот №1)
Примечание: если у вас нет вкладки Directory Service, обновите JumpServer до последней версии
2. Добавьте необходимые доменные УЗ к этому активу
3. В разделе System Settings - Platforms выберите платформу, которая будет использоваться для доменных активов, например Windows2016, и включите в ней опцию DS Enabled
Примечание: если платформа является основной, ее редактирование заблокировано, просто создайте ее дубликат.
4. В Console - Assets выберите нужный актив и откройте для редактирования. Внизу должен появиться параметр Directory service, укажите имя вашего DS актива, созданного на первом шаге (см. скриншот)
5. Теперь доменные УЗ будут отображаться у каждого доменного актива, и их можно будет использовать для подключения.
В предыдущих версиях JumpServer была строгая привязка УЗ к конкретному активу, то есть не было возможности подключаться с одной и той же доменной УЗ к разным активам без дублирования этой УЗ.
В последних версиях JumpServer добавили такую возможность:
1. Перейдите в Console - Assets - Directory service и создайте актив, указав параметры домена.
(см. скриншот №1)
Примечание: если у вас нет вкладки Directory Service, обновите JumpServer до последней версии
2. Добавьте необходимые доменные УЗ к этому активу
3. В разделе System Settings - Platforms выберите платформу, которая будет использоваться для доменных активов, например Windows2016, и включите в ней опцию DS Enabled
Примечание: если платформа является основной, ее редактирование заблокировано, просто создайте ее дубликат.
4. В Console - Assets выберите нужный актив и откройте для редактирования. Внизу должен появиться параметр Directory service, укажите имя вашего DS актива, созданного на первом шаге (см. скриншот)
5. Теперь доменные УЗ будут отображаться у каждого доменного актива, и их можно будет использовать для подключения.
👍3
Описание всех методов подключений к целевым системам
В новой статье в КБ описали все возможные варианты подключений к целевым системам, скорее всего вы не про все эти методы знаете.
Ставьте лайки, подписывайтесь на канал :)
В новой статье в КБ описали все возможные варианты подключений к целевым системам, скорее всего вы не про все эти методы знаете.
Ставьте лайки, подписывайтесь на канал :)
kb.afi-d.ru
Подключение к целевым ... | KB.AFI-D.RU
JumpServer позволяет подключаться к целевым системам различными способами, в этой статье я перечислю...
❤2
Инструкция по настройке и использованию JumpServer Client
JumpServer Client не обязателен для установки, но может упростить подключение к целевым системам, особенно актуально для подключений к СУБД.
JumpServer Client можно установить на Windows,MacOS и Linux.
Инструкция доступна в новой статье КБ
JumpServer Client не обязателен для установки, но может упростить подключение к целевым системам, особенно актуально для подключений к СУБД.
JumpServer Client можно установить на Windows,MacOS и Linux.
Инструкция доступна в новой статье КБ
kb.afi-d.ru
Установка, настройка и... | KB.AFI-D.RU
JumpServer Client - клиент, который устанавливается на рабочий компьютер пользователя и упрощает по...
❤2
Вышла новая версия JumpServer 4.10.2
Что нового:
- Добавлена поддержка подключения к базам данных MongoDB в с помощью локальных клиентов. (только в JumpServer Enterprise Edition)
- Поддержка настойки языка каждым пользователем.
- Полностью переработан функционал пакетного выполнения команд в нижней части Web-терминала.
- Поддержка автоматической смены пароля после успешного входа на ресурс. (только в JumpServer EE)
Улучшения:
- Chat AI теперь поддерживает интеллектуальные ответы и вставку команд в зависимости от контекста символьных сессий (SSH, Telnet).
- Единый вход (SSO) теперь поддерживает многофакторную аутентификацию (MFA). (только в JumpServer EE)
- Интерфейс Chrome RemoteApp теперь может автоматически переключать язык отображения в соответствии с языком пользователя.
- Добавлена поддержка регулярной очистки просроченных токенов подключения и временных токенов.
- Поддержка массового удаления наборов слабых паролей.
- Количество Celery-воркеров теперь можно задавать через переменную CELERY_WORKER_COUNT.
- При включенном безопасном режиме (SAFE_MODE=true) команда Adhoc будет скрывать подсказки с именем учетной записи.
Полный список улучшений и исправлений доступен по этой ссылке.
Дистрибутив JumpServer Enterprise версии 4.10.2 доступен по этой ссылке.
Дистрибутив JumpServer Community версии 4.10.2 доступен по этой ссылке.
Что нового:
- Добавлена поддержка подключения к базам данных MongoDB в с помощью локальных клиентов. (только в JumpServer Enterprise Edition)
- Поддержка настойки языка каждым пользователем.
- Полностью переработан функционал пакетного выполнения команд в нижней части Web-терминала.
- Поддержка автоматической смены пароля после успешного входа на ресурс. (только в JumpServer EE)
Улучшения:
- Chat AI теперь поддерживает интеллектуальные ответы и вставку команд в зависимости от контекста символьных сессий (SSH, Telnet).
- Единый вход (SSO) теперь поддерживает многофакторную аутентификацию (MFA). (только в JumpServer EE)
- Интерфейс Chrome RemoteApp теперь может автоматически переключать язык отображения в соответствии с языком пользователя.
- Добавлена поддержка регулярной очистки просроченных токенов подключения и временных токенов.
- Поддержка массового удаления наборов слабых паролей.
- Количество Celery-воркеров теперь можно задавать через переменную CELERY_WORKER_COUNT.
- При включенном безопасном режиме (SAFE_MODE=true) команда Adhoc будет скрывать подсказки с именем учетной записи.
Полный список улучшений и исправлений доступен по этой ссылке.
Дистрибутив JumpServer Enterprise версии 4.10.2 доступен по этой ссылке.
Дистрибутив JumpServer Community версии 4.10.2 доступен по этой ссылке.
Вышла новая версия JumpServer 4.10.3
Исправления и улучшения:
- Исправлено некорректное отображение количества записей команд после настройки Elasticsearch для хранения команд.
- Улучшена поддержка прерывания команд с помощью “Ctrl + C” при подключении к Kubernetes.
- Исправлена работа функции “Запомнить пароль” при подключении к ресурсам.
- Устранена проблема, при которой в сессии KoKo отображалось предупреждение об отключении WebSocket.
Полный список улучшений и исправлений доступен по этой ссылке.
Дистрибутив JumpServer Enterprise версии 4.10.3 доступен по этой ссылке.
Исправления и улучшения:
- Исправлено некорректное отображение количества записей команд после настройки Elasticsearch для хранения команд.
- Улучшена поддержка прерывания команд с помощью “Ctrl + C” при подключении к Kubernetes.
- Исправлена работа функции “Запомнить пароль” при подключении к ресурсам.
- Устранена проблема, при которой в сессии KoKo отображалось предупреждение об отключении WebSocket.
Полный список улучшений и исправлений доступен по этой ссылке.
Дистрибутив JumpServer Enterprise версии 4.10.3 доступен по этой ссылке.
❤1
Не забывайте обновлять JumpServer Client
JumpServer Client — это необязательный агент для рабочей станции, но он значительно упрощает подключение к целевым системам в один клик, что особенно удобно при работе с СУБД и SSH-сессиями.
Например, в последней версии v3.0.5 была добавлена поддержка MongoDB Compass — теперь можно подключаться к MongoDB через прокси с помощью локального клиента.
Поддерживаемые клиенты в JumpServer Client для Windows:
🔐 SSH / Telnet:
- PuTTY
- XShell
- SecureCRT
- MobaXterm
📂 SFTP:
- SecureFX
- WinSCP
- Xftp
🖥 RDP:
- Microsoft Remote Desktop Client (для Windows)
🗄 СУБД:
- Navicat Premium Lite 17
- PL/SQL Developer
- DBeaver Community
- SQL Server Management Studio
- Redis Desktop Manager
- Another Redis Desktop Manager
- Toad for Oracle
- MongoDB Compass
✅ Рекомендуем регулярно обновлять клиент до последней версии, чтобы получать доступ к новым возможностям и улучшениям.
JumpServer Client — это необязательный агент для рабочей станции, но он значительно упрощает подключение к целевым системам в один клик, что особенно удобно при работе с СУБД и SSH-сессиями.
Например, в последней версии v3.0.5 была добавлена поддержка MongoDB Compass — теперь можно подключаться к MongoDB через прокси с помощью локального клиента.
Поддерживаемые клиенты в JumpServer Client для Windows:
🔐 SSH / Telnet:
- PuTTY
- XShell
- SecureCRT
- MobaXterm
📂 SFTP:
- SecureFX
- WinSCP
- Xftp
🖥 RDP:
- Microsoft Remote Desktop Client (для Windows)
🗄 СУБД:
- Navicat Premium Lite 17
- PL/SQL Developer
- DBeaver Community
- SQL Server Management Studio
- Redis Desktop Manager
- Another Redis Desktop Manager
- Toad for Oracle
- MongoDB Compass
✅ Рекомендуем регулярно обновлять клиент до последней версии, чтобы получать доступ к новым возможностям и улучшениям.
Мама, я в телевизоре на Хабре!
Лайки и комменты приветствуются :)
https://habr.com/ru/companies/sravni/articles/924308/
Если вдруг вы или ваши коллеги упомянули JumpServer где-нибудь, поделитесь ссылкой
Лайки и комменты приветствуются :)
https://habr.com/ru/companies/sravni/articles/924308/
Если вдруг вы или ваши коллеги упомянули JumpServer где-нибудь, поделитесь ссылкой
Хабр
Прощайте, Excel-пароли; привет, прозрачный аудит! Внедряем в инфраструктуру PAM-инструмент
Если в компании налажен контроль доступа к внутренним ИТ-ресурсам, хорошо не только спецам по ИБ, но и многим другим. Например, лидам, которые отвечают за доступы к базам данных в своих командах. И...
🔥13❤2👏2🤡1
Дашборд Grafana для JumpServer
Базовые средства отчетности и мониторинга JumpServer можно расширить внешними инструментами Metabase, Grafana или Apache Superset.
Сегодня наткнулся на готовый дашборд для Grafana — делюсь находкой:
jumpserver-grafana-dashboard
Что делает скрипт:
1. Автоматически устанавливает Grafana в отдельном контейнере на сервер с JumpServer, делает её доступной по http://JS_IP:3000
2. Подключается к базе данных JumpServer и импортирует дашборд
Ниже - несколько скриншотов готового дашборда
Базовые средства отчетности и мониторинга JumpServer можно расширить внешними инструментами Metabase, Grafana или Apache Superset.
Сегодня наткнулся на готовый дашборд для Grafana — делюсь находкой:
jumpserver-grafana-dashboard
Что делает скрипт:
1. Автоматически устанавливает Grafana в отдельном контейнере на сервер с JumpServer, делает её доступной по http://JS_IP:3000
2. Подключается к базе данных JumpServer и импортирует дашборд
Ниже - несколько скриншотов готового дашборда
👍6
Надёжных партнёров, к кому можно обращаться за интеграцией JumpServer, становится всё больше!
ИБ-интегратор «Айти Таск» расширил портфель PAM-решением JumpServer и уже показал свою эффективность на практике в пилотных проектах:
https://www.cnews.ru/news/line/2025-07-23_ajti_task_rasshiril_portfel
ИБ-интегратор «Айти Таск» расширил портфель PAM-решением JumpServer и уже показал свою эффективность на практике в пилотных проектах:
https://www.cnews.ru/news/line/2025-07-23_ajti_task_rasshiril_portfel
CNews.ru
«Айти Таск» расширил портфель PAM-решением JumpServer - CNews
Специализированный ИБ-интегратор «Айти Таск» пополнил портфель решений китайским продуктом Jump Server — платформой...
🔥4👍2👏1
Вышла новая версия JumpServer 4.10.4
Улучшения
- Добавлена информация о размере файла записи сессий.
- Добавлена нечеткий поиск по командам в Elasticsearch.
- Оптимизирован журнал операций при скачивании логов FTP.
- Оптимизирован журнал операций при просмотре записей сессий.
- Улучшена страница деталей пользовательских сессий.
- Добавлен аудит операций в системе заявок. (JumpServer EE)
- Добавлена возможность включения или отключения TLS-шифрования для SQL Server 2008. (JumpServer EE)
- Задания синхронизации с облаком теперь поддерживают автоматическое обновления информации о хостах. (JumpServer EE)
Полный список улучшений и исправлений доступен по этой ссылке.
Дистрибутив JumpServer Enterprise версии 4.10.4 доступен по этой ссылке.
Улучшения
- Добавлена информация о размере файла записи сессий.
- Добавлена нечеткий поиск по командам в Elasticsearch.
- Оптимизирован журнал операций при скачивании логов FTP.
- Оптимизирован журнал операций при просмотре записей сессий.
- Улучшена страница деталей пользовательских сессий.
- Добавлен аудит операций в системе заявок. (JumpServer EE)
- Добавлена возможность включения или отключения TLS-шифрования для SQL Server 2008. (JumpServer EE)
- Задания синхронизации с облаком теперь поддерживают автоматическое обновления информации о хостах. (JumpServer EE)
Полный список улучшений и исправлений доступен по этой ссылке.
Дистрибутив JumpServer Enterprise версии 4.10.4 доступен по этой ссылке.
❤1
Интеграция JumpServer PAM с KeyCloak на примере MFASOFT
Интеграция JumpServer PAM с Keycloak и двухфакторной аутентификацией (2FA) повышает уровень безопасности доступа к привилегированным учетным записям, снижая риск компрометации при утечке паролей — нарушителю понадобится получить доступ к ещё одному фактору для того, чтобы воспользоваться украденным паролем.
С коллегами из MFASOFT протестировали интеграцию JumpServer PAM с KeyCloak через OpenID Connect, при этом решение от MFASOFT дополнило KeyCloak модулем двухфакторной аутентификации с помощью различных методов (TOTP, Telegram, VKmessenger и пр.)
Инструкция со снимками экрана доступна по ссылке на нашу базу знаний
Видео работы JumpServer PAM c ПК SAS MFASOFT размещено на RuTube
Интеграция JumpServer PAM с Keycloak и двухфакторной аутентификацией (2FA) повышает уровень безопасности доступа к привилегированным учетным записям, снижая риск компрометации при утечке паролей — нарушителю понадобится получить доступ к ещё одному фактору для того, чтобы воспользоваться украденным паролем.
С коллегами из MFASOFT протестировали интеграцию JumpServer PAM с KeyCloak через OpenID Connect, при этом решение от MFASOFT дополнило KeyCloak модулем двухфакторной аутентификации с помощью различных методов (TOTP, Telegram, VKmessenger и пр.)
Инструкция со снимками экрана доступна по ссылке на нашу базу знаний
Видео работы JumpServer PAM c ПК SAS MFASOFT размещено на RuTube
🔥7👍2👏1
Полезные параметры в конфиг-файле JumpServer PAM
Часть функций и настроек JumpServer включается только с помощью параметров в конфиг-файле, который можно отредактировать следующей командой:
Включение возможности автоматической смены пароля после завершения сессии (появится опция "Secret rotation" в политике Asset connect ACL):
Отключение записи введенных паролей (и остального ввода, полученного в ответ на запрос в консоли) в журнал команд:
Включение возможности менять пароль от используемой УЗ (по умолчанию для смены пароля от УЗ необходима другая привилегированная УЗ):
Возможность повторного использования параметров подключения (токенов "SSH Guide" или "DB Guide"):
Ограничение размера сохраняемых копий переданных файлов. Если размер файла превышает указанный размер, файл будет передан, в журнале появится запись об этом, но копия файла сохранена не будет. Чтобы никогда не сохранять копии, установите 0.
Часть функций и настроек JumpServer включается только с помощью параметров в конфиг-файле, который можно отредактировать следующей командой:
nano /opt/jumpserver/config/config.txt
Включение возможности автоматической смены пароля после завершения сессии (появится опция "Secret rotation" в политике Asset connect ACL):
CHANGE_SECRET_AFTER_SESSION_END=true
Отключение записи введенных паролей (и остального ввода, полученного в ответ на запрос в консоли) в журнал команд:
DISABLE_INPUT_AS_COMMAND=true
Включение возможности менять пароль от используемой УЗ (по умолчанию для смены пароля от УЗ необходима другая привилегированная УЗ):
CHANGE_AUTH_PLAN_SECURE_MODE_ENABLED=false
Возможность повторного использования параметров подключения (токенов "SSH Guide" или "DB Guide"):
# включение повторного использования параметров авторизации
CONNECTION_TOKEN_REUSABLE=true
# период, в который параметры авторизации могут быть переиспользованы, в секундах
CONNECTION_TOKEN_REUSABLE_EXPIRATION=86400
Ограничение размера сохраняемых копий переданных файлов. Если размер файла превышает указанный размер, файл будет передан, в журнале появится запись об этом, но копия файла сохранена не будет. Чтобы никогда не сохранять копии, установите 0.
# ограничение размера копии в мегабайтах
FTP_FILE_MAX_STORE=100