「JumpServer」で始める！OSSの特権ID管理（PAM）でサーバーアクセスを完全統制

JumpServerは、オープンソースで利用可能な強力な特権アクセス管理（PAM）ソリューションです。サーバーやデータベースへのアクセスをセキュアに一元管理したいエンジニアやシステム管理者に最適です。

なぜこういうツールでSSHがネイティブじゃないのか、いつも変なWeb UI経由なのか、どうしても理解できないな。

昔いた会社では、Citrix => RDP => Putty => ジャンプホスト => ターゲットサーバーと経由しないとSSHさせてもらえなかったよ。

レイヤーごとにキーマップが違うし、本当に地獄だった。

この業界で長年やってきたけど、踏み台サーバー（bastion host）を導入している会社って、環境がセキュアじゃないというサインの第2位だね（1位は「fail2banで守ってるから」と言い張るパターン）。

数多くの会社を買収したり評価したりしてきたけど、踏み台サーバーを使っているところって、それだけで全て守られていると錯覚して、他のセキュリティ対策をサボりがちになるんだよ。

「ファイアウォールの内側にあって踏み台サーバーを通るから、中のサーバーにはポリシーなんていらない」なんて考えになる。でも結局、インターネットに穴が開いたり、従業員の入れ替わりがあったりで、時間が経つとボロボロになる。

踏み台サーバー自身がroot権限で放置されている会社なんて数え切れないよ。常に動いていて代替も効かないから再起動もできず、誰もメンテナンスしないからアップデートもされない。まさに典型的な怠慢だね。

踏み台サーバー自体が悪いとは言わないけど、アーキテクチャの他の部分における経験不足や怠慢の表れであることが多い。あくまで自分の経験則だけどね。

Webブラウザ経由で？ しかもデフォルトパスワードがChangeMeなの？ :O

これ何なの？ Citrixの代替か何かかな。

ドキュメントを見たけど疑問が増えるばかり。「無料版」にはLinuxサーバーとしか書かれていないし（GNUユーティリティですらない？）、インストールがcurl | bashのみ（対象はRHEL、Suse、Debian/Ubuntu、Alpineとバラバラ）。gitを少し覗いただけで「mysqldump -uroot -h127.0.0.1 -p jumpserver -P3307」とか出てくるし…

自分なら大人しくwireguard、headscale、netbird、tailscaleあたりを使うよ。

リポジトリのコード量とコンポーネントの多さに呆れるな。

正直、これが「安全に使える」レベルだとは到底思えない。

Apache Guacamoleの信頼できないバージョンって感じだな。

以前Bastionを使ったことがあるけど、eval機能があるようなPythonみたいなインタープリタ言語をこの手の用途で使うのはあまり気が進まないな。

最初はよく使っていたけど、環境が成熟してくるとアプリサーバーやコンテナに直接SSHする必要なんてほとんどなくなるしね。

今のプロジェクトでは、こういうのは一切セットアップしていないよ。