前言:在企业运维场景中,服务器的安全访问与操作管控至关重要。JumpServer 作为开源堡垒机的典型代表,凭借集中管控、权限精细分配、操作全链路审计等核心能力,成为保障运维安全合规的关键工具。
无论是中小企业简化运维权限管理,还是大型企业构建多层级安全防护体系,JumpServer 都能适配。它能让运维操作“可管、可控、可追溯”,从根源上降低误操作、违规操作带来的风险 。
本文将打破传统教程的碎片化讲解,从环境筹备到 JumpServer 部署,再到 SSH 公钥接入服务器、日常运维与审计,打造一套覆盖“部署 - 配置 - 使用 - 管控”的完整闭环,助力运维人员高效搭建安全运维体系,让服务器管理既稳又高效 。
一、先分清:别再混淆两个包
很多人会和我一样下错包,先明确区别:
| 包类型 | 作用 | 包含文件 | 适合场景 |
|---|---|---|---|
| 核心代码包 | JumpServer项目源码 | 只有项目代码,无部署脚本 | 二次开发 |
| 官方安装器包 | 一键部署工具(Docker方式) | 含jmsctl.sh、compose配置 |
生产/测试部署 |
二、正确步骤:官方安装器部署全流程
1. 下载官方安装器包
JumpServer官方安装器的下载地址是其GitHub Releases页面:
👉 官方安装器下载链接
- 找到对应版本(比如我用的
v4.10.13),下载jumpserver-installer-vX.X.X.tar.gz(带installer标识的压缩包); - 避免下载“Source code”(这是核心代码包,没用)。
2. 解压安装器包
将下载好的压缩包上传到Linux服务器,执行解压:
# 假设包在/root目录下
cd /root
tar -zxvf jumpserver-installer-v4.10.13.tar.gz
3. 进入安装器目录
解压后会生成对应的目录,进入目录准备部署:
cd jumpserver-installer-v4.10.13
此时能看到关键文件:jmsctl.sh(一键管理脚本)、compose(Docker容器配置目录)——这就是官方安装器的标志!
4. 初始化配置
执行install命令生成配置文件,过程中会提示设置管理员账号/密码、服务端口等(按实际需求填写):
./jmsctl.sh install
5. 启动JumpServer服务
配置完成后,一键启动所有Docker容器:
./jmsctl.sh start
启动后用docker ps验证:能看到jms_core、jms_web、jms_redis等容器处于Up状态,说明部署成功。
6. 访问验证
打开浏览器,输入https://服务器IP 或 https://你的域名(若已配置HTTPS和域名,推荐更安全的https),输入刚才设置的管理员账号/密码,就能进入JumpServer后台了。
三、常用管理命令(必备)
部署完成后,用jmsctl.sh就能管理服务:
# 查看服务状态
./jmsctl.sh status# 停止服务
./jmsctl.sh stop# 重启服务
./jmsctl.sh restart# 备份数据
./jmsctl.sh backup# 升级版本
./jmsctl.sh upgrade
四、注意事项
- 确保服务器已安装
Docker和Docker Compose(安装器会自动检测,缺的话会提示安装); - 若需要修改配置,直接编辑目录下的
config.txt文件,改完执行./jmsctl.sh restart生效; - 企业版功能需额外下载对应安装包,需联系JumpServer官方获取权限;
- 【生产环境必做】启用 HTTPS:为防止数据传输被窃听,建议配置 HTTPS。
- 方法:编辑安装目录下的
config.txt文件; - 修改
DOMAIN字段为你的域名,例如DOMAIN=jumpserver.example.com; - 修改
HTTPS_PORT字段为443; - 确保
ENABLE_HTTPS设置为true(大部分安装器版本默认开启); - 保存文件后,执行
./jmsctl.sh install重新初始化证书,然后./jmsctl.sh restart重启服务。安装器会自动申请并配置 Let's Encrypt 免费证书。
- 方法:编辑安装目录下的
五、JumpServer 初始配置与登录
(一)访问与初始化
- 浏览器输入服务器 IP(或域名),访问
https://你的服务器IP或https://你的域名(推荐,更安全),跳转 JumpServer 初始化页面; - 设置管理员账号(如
admin)、密码,配置邮箱、LDAP 等(可选,后期可在系统设置调整 ),完成初始化。
(二)登录与基础界面
- 用管理员账号登录,进入主界面(可看到审计台、资产、权限等模块 )。
六、SSH 公钥配置准备(客户端侧)
(一)Linux 客户端生成密钥
- 本地 Linux 终端执行:
按提示设置存储路径(默认ssh-keygen -t rsa -b 4096 # 推荐 4096 位加密~/.ssh/id_rsa)、密码(可选 ),生成id_rsa(私钥 )和id_rsa.pub(公钥 )。 - 查看公钥:
复制公钥内容,后续配置到 JumpServer 。cat ~/.ssh/id_rsa.pub
七、JumpServer 端 SSH 公钥配置
(一)进入个人信息 - SSH 公钥设置
- 登录 JumpServer 后,点击右上角用户名(如
admin)→ 选择 “个人信息设置” 。 - 切换到 “SSH 公钥设置” 标签(界面如图:含原公钥、更新公钥区域 )。
(二)添加/更新 SSH 公钥
- 在 “更新 SSH 公钥” 区域,粘贴本地生成的公钥内容(
id_rsa.pub里的字符串 )。 - 点击 “提交” ,完成公钥关联。
八、接入服务器配置(资产纳管与授权)
(一)创建系统用户(推荐,更规范)
- 进入 JumpServer “资产” 模块 → 点击 “系统用户” → 点击 “创建系统用户”;
- 填写系统用户信息:
- 用户名:例如
opsuser(建议创建一个专用的运维用户,而非直接使用root); - 认证方式:选择 “SSH 密钥”;
- 用户名:输入服务器上已存在的用户名(例如
root或opsuser); - 密钥:粘贴该用户在服务器上
~/.ssh/authorized_keys文件中对应的公钥,或 JumpServer 会自动生成; - 特权:如果需要该用户有 sudo 权限,可以在此处配置;
- 用户名:例如
- 点击 “提交”,完成系统用户创建。
(二)添加服务器资产
- 进入 JumpServer “资产” 模块 → 点击 “创建资产” ;
- 填写资产信息:
- 主机名:自定义(如
web-server-01); - IP 地址:服务器真实 IP(如
192.168.1.100); - 端口:
22(默认 SSH 端口,若修改需对应填写 ); - 系统类型:
Linux; - 系统用户:点击选择,下拉菜单中选择刚刚创建的系统用户(如
opsuser);
保存资产,完成服务器纳管。
- 主机名:自定义(如
(三)配置资产授权
- 进入 “权限” 模块 → 选择 “资产授权” → 点击 “创建授权规则” ;
- 配置授权:
- 资产:选择刚添加的服务器;
- 用户:选择当前用户(或用户组);
- 系统用户:选择为该资产配置的系统用户(如
opsuser)。这会告诉 JumpServer 使用哪个用户身份登录目标服务器;
保存授权,完成权限绑定。
说明:由于在创建“系统用户”时已经关联了 SSH 密钥,所以在此处选择了系统用户,就相当于间接选择了认证方式和密钥。
(四)通过 JumpServer 连接服务器
- 进入 “会话” 模块 → 找到已授权服务器 → 点击 “连接” ;
- JumpServer 自动通过 SSH 公钥建立连接,成功后即可在会话界面执行命令(如
ls、top)、传输文件,操作全程记录审计日志。
九、操作审计与日常运维
(一)审计日志追溯
- 进入 “审计台 - 会话审计” ,可查看所有运维会话:登录用户、操作时间、执行命令、文件传输记录等;
- 故障排查时,通过审计日志精准定位操作行为,确保合规性。
(二)进阶运维扩展
- 批量操作:利用 JumpServer “命令批量执行” 功能,向多台服务器推送脚本、配置;
- 权限细化:通过用户组、角色配置,区分开发、运维人员的服务器操作权限(如开发只读、运维可修改 )。
十、总结
从 JumpServer 部署(Docker 快速落地 ),到 SSH 公钥接入服务器、权限管控与审计,构建了完整的运维安全闭环。无论是中小企业快速落地,还是大型企业细化权限治理,这套流程都能适配。掌握后可大幅提升服务器运维的安全性与效率,让运维操作 “可管、可控、可追溯” 。
(注:生产环境建议强化安全配置,如启用 HTTPS、对接企业 LDAP、定期备份数据;文中命令需根据实际环境调整,确保部署稳定 。 )
