Создание УЗ и SSH ключей на целевой системе ( Push Accounts)

JumpServer может автоматически создавать на целевых системах учетные записи и SSH ключи с указанными параметрами.

Примечание: любые действия (создание УЗ или SSH ключей, обнаружение УЗ, смена пароля и ротация SSH ключа) на целевых системах JumpServer выполняет от имени привилегированной УЗ, которая добавлена к вашему активу, причем эта УЗ должна быть отмечена как "Privileged" в свойствах аккаунта:Если у вашего актива нет ни одной УЗ, отмеченной как "Privileged", JumpServer даже не будет пытаться выполнить задачи по работе с вашими учетными записями.

Как работает Push Account

1. Если учетная запись не существует на целевой системе и отсутствует в списке УЗ JumpServer - она будет создана на целевой системе и добавлена.

2. Если учетная запись существует на целевой системе и присутствует в списке УЗ JumpServer, если пароли совпадают то ничего не произойдет, если не совпадают, то JumpServer сменит пароль на целевой системе на тот пароль, который сохранен в JumpServer

3. Если учетная запись существует на целевой системе, но отсутствует в списке УЗ JumpServer - будет изменен пароль УЗ на целевой системе(согласно настройкам параметров пароля в задаче) и добавлена в список УЗ в JumpServer

4. Если учетная запись не существует на целевой системе, но присутствует в списке УЗ JumpServer - УЗ будет создана на целевой системе с тем же паролем, который задан в УЗ в JumpServer

Создание УЗ или SSH ключа

Перейдите в раздел PAM - Push Accounts, на вкладке Account push task нажмите кнопку Create и заполните необходимые параметры:

Assets:
здесь можно выбрать несколько активов, на которых будет созданы учетные записи или SSH ключи

Nodes:
выбор папки с активами, то есть JumpServer попробует создать УЗ на ВСЕХ активах в выбранной папке или папках

Accounts:
имена УЗ, которые будут созданы на всех выбранных активах

Secret strategy:
Specified Secret: задать новый пароль вручную
Random generate: сгенерировать пароль автоматически

Password rules:
здесь можно указать параметры генерации пароля

Push parameters:
доступно только для активов типа хост, дополнительные параметры создания УЗ на линукс ОС.

Periodic:
включить периодическое выполнение задачи создания УЗ.

Вышла новая версия JumpServer 4.10.10

Новое в версии:
Добавлена функция маскировки важных данных. (JumpServer EE):
- Маскировка критичных данных работает для всех СУБД во встроенном интерфейсе работы с СУБД(Web GUI) , в режиме СУБД-прокси(то есть при использовании локальных клиентов) пока работает только для MySQL.

Улучшение:
- Улучшена производительность подключения с помощью стандартного RDP клиента(модуль Razor) и снижено потребление памяти (обновлено до FreeRDP3). (JumpServer EE)
- В модуле Adhoc в дереве теперь отображаются только выбранные активы.
- Улучшен процесс выбора RDS сервера при запуске опубликованных приложений RemoteApp
- В интерфейсе настройки темы теперь сохраняются в персональных предпочтениях пользователя.
- В механизм создания УЗ(Push account) добавлен параметр gid для пользовательских групп.

Исправление:
- Исправлена проблема, из-за которой правила ACL отображались некорректно в глобальной организации при выборе всех активов. (JumpServer EE)

Полный список улучшений и исправлений доступен по этой ссылке.

Дистрибутив JumpServer Enterprise версии 4.10.10 доступен по этой ссылке.
(SHA256:6a5707f26616819235409dfab230cc3e7909c1079720c5b00ea51833944e8451)

Дистрибутив JumpServer Community версии 4.10.10 доступен по этой ссылке.
(SHA256:ea9f2494b88e13061cba67b5c2e1277c5135de3209530c4673c2f9cd0d716400)

Вышла новая версия JumpServer 4.10.11. ВАЖНО!

Не пропускайте, а лучше срочно установите эту версию JumpServer, она закрывает одну из критичных уязвимостей, которая была на днях обнаружена одним из наших клиентов при пентесте.

Исправление:
- Улучшена логика проверки прав доступа при получении Super Connection Token.

Полный список улучшений и исправлений доступен по этой ссылке.

Дистрибутив JumpServer Enterprise версии 4.10.11 доступен по этой ссылке.
(SHA256:ecbbdc8035cc41405e17943e0e17119999d2d5ab093e077e010131e338d8eab6)

Дистрибутив JumpServer Community версии 4.10.11 доступен по этой ссылке.
(SHA256:1be60df00491be9d819e24fd91628a70d737e48e43e3025a7792e9d9746b7824)

Вышла новая версия JumpServer 4.10.12

Улучшение:
- Оптимизирована обработка паролей и проверка пользовательских прав во время тестирования подключения LDAP.
- Оптимизирована логика запроса списка пользователей при включении совместной работы в SSH (KoKo), установлен лимит выпадающего списка до 10 пользователей по умолчанию.

Полный список улучшений и исправлений доступен по этой ссылке.

Дистрибутив JumpServer Enterprise версии 4.10.12 доступен по этой ссылке.
(SHA256:fb4f52209ff08e74d12b056d211e15eb64d6e6e7d34a03c98f882b09ee27142c)

Дистрибутив JumpServer Community версии 4.10.12 доступен по этой ссылке.
(SHA256:9adf8e3d88bc25deaabd96715394d7362b6e572db93d8fee4538bb0da47caabb)

Инструкция по обновлению.

Обнаружение неконтролируемых учетных записей (Discover Accounts)

JumpServer может автоматически обнаруживать неконтролируемые учетные записи на целевых системах, обнаруженную учетную запись JumpServer может удалить с целевой системы или добавить в список контролируемых УЗ, выполнив автоматически смену пароля.

Зачем нужно обнаружение УЗ?

Неконтролируемые учетные записи являются большой проблемой и могут быть использованы злоумышленниками.
Неконтролируемая УЗ:
- Часто такие УЗ созданы "для теста" и имеет слабый или стандартный пароль
- УЗ может быть создана бывшим сотрудником\подрядчиком
- Вы не знаете кто знает пароль от этой УЗ, вы не знаете кто ей может пользоваться и пользуется ли.

Инструкция по настройке обнаружения учетных записей находится по этой ссылке

О чем написать статью? О чем сделать видео? Какие вопросы есть по JumpServer?

Пишите в комментариях.

Вышла новая версия JumpServer 4.10.13

Новое в версии:
- Совершенно новый клиент JumpServer с меньшим размером и улучшенным интерфейсом (v4.0.0).
- Поддержка видео-кодирования, позволяющая конвертировать записи, созданные Lion и Razor (video-worker). (JumpServer EE).
- Поддержка SSL-шифрования при подключении к серверу баз данных PostgreSQL.

Улучшение:
- Все базовые образы компонентов обновлены до Debian 13 (trixie).
- Обновлены Docker до v28.5.1 и Docker Compose до v2.40.3.
- Правила ACL для ресурсов теперь применяются и в заданиях (Jobs).
- При добавлении учётных записей теперь можно выбирать несколько шаблонов и узлов ресурсов для пакетного создания.
- Платформа активов поддерживает синхронизацию всех протоколов/портов с активами в один клик с возможностью перезаписи.
- Поддерживается массовый импорт списков слабых паролей.

Исправления:
- Исправлен перевод интерфейса на английский и русский в разделе Workbench

Полный список улучшений и исправлений доступен по этой ссылке.

Дистрибутив JumpServer Enterprise версии 4.10.13 доступен по этой ссылке.
(SHA256:26861b660e5e5d5324f5d8ffde9e633e09e3d2147af049a88ca6c841021bbc69)

Дистрибутив JumpServer Community версии 4.10.13 доступен по этой ссылке.
(SHA256:94f3a216ef28c25bb0cfc32ee88ad10ce2772218245cca5e664e195a445e56d3)

Инструкция по обновлению.

Анализ SSH и СУБД сессий с помощью AI

Недавно FUDO PAM выпустили релиз с функцией:
"AI Session Summary — искусственный интеллект, который анализирует SSH-сессии и автоматически формирует текстовую сводку действий пользователей. Это значительно ускоряет аудит, помогает в расследовании инцидентов и упрощает compliance-проверки."

Из очевидных минусов - AI предлагается использовать внешний через API, что выглядит жуткой идеей.

Я еще весной собирал подобный сценарий для автоматического анализа сессий в JumpServer, насколько вообще актуальна такая функция, при условии что будет использоваться только локальные ресурсы без отправки логов SSH и СУБД наружу?

Кому было бы интересно такое внедрить у себя?

Сжатие видеозаписей RDP сессий: настройка Video-Worker

ВНИМАНИЕ: эта функция работает только в редакции Enterprise Edition

В JumpServer V3.0.0 добавлен компонент Video-Worker, он конвертирует видео-записи сессий Razor (RDP Client) и Lion (Web RDP) в формат MP4 для удобства аудита и экономии места на диске.

Принцип работы

После запуска Video-Worker регистрируется как компонент (аналогично Koko), чтобы получить настройки хранилища записей, куда будет загружаться уже перекодированный MP4-файл.

Если Lion или Razor не могут загрузить запись в Video-Worker, то они откатываются к загрузке в своё собственное хранилище.

При использовании хранилища по умолчанию запись отправляется в каталог: /core/data/media/replay


Важно

- Задача перекодирования зависит от библиотек ffmpeg, которые активно используют CPU, нагрузка может достигать 100%, поэтому не рекомендуется размещать Video-Worker на той же машине, что и JumpServer.

- Для Razor: запись сначала конвертируется в серию изображений, затем ffmpeg собирает их в видео. Процесс использует все доступные ядра CPU.

- Для Lion(Web RDP): используется официальный CLI-инструмент guacenc, который полностью загружает одно CPU-ядро на протяжении всего процесса.


Сравнение размера файла сессии до и после перекодирования:

Сессия 8 часов: размер 4.1 ГБ, после декодирования - 0.80 ГБ
Сессия 1 час: размер 2.4 ГБ, после декодирования - 0.37 ГБ

То есть сжимает примерно в 5 раз.

Инструкция по настройке в нашей базе знаний

Публичный отзыв о JumpServer в Теле2 Казахстан.

В письме про нас не написано, но мы там участвовали и Alexis тоже молодцы :)

Кстати, для тех, кто только что присоединился, по ссылке доступна запись вебинара с живой демонстрацией продукта.