176 lines
6.7 KiB
Text
176 lines
6.7 KiB
Text
|
On js-core :
|
|||
|
|
apt update && apt install -y curl python3 gettext docker
|
|||
|
|
|
|||
|
|
Log in to the Linux server using the "root" or another user with superuser privileges.
|
|||
|
|
|
|||
|
|
Change to the /opt directory.
|
|||
|
|
|
|||
|
|
curl -sSL https://github.com/jumpserver/jumpserver/releases/latest/download/quick_start.sh | bash
|
|||
|
|
but didn't work so I used :
|
|||
|
|
curl -sSL https://github.com/jumpserver/jumpserver/releases/download/v4.10.1/cn-quick_start.sh | bash
|
|||
|
|
|
|||
|
|
|
|||
|
|
|
|||
|
|
|
|||
|
|
On js-target :
|
|||
|
|
|
|||
|
|
|
|||
|
|
On js-client :
|
|||
|
|
|
|||
|
|
|
|||
|
|
|
|||
|
|
|
|||
|
|
|
|||
|
|
Voici la version complétée de ta comparaison, avec **Teleport Enterprise**, **Wallix Bastion (complet)**, et **Delinea / CyberArk** (Priviliged Access Management leaders), et une **explication détaillée de la prise en charge du proxy SSH** dans chaque cas :
|
|||
|
|
|
|||
|
|
---
|
|||
|
|
|
|||
|
|
### ✅ **JumpServer**
|
|||
|
|
|
|||
|
|
* ✅ LDAP, SSO supporté (LDAP, AD, OAuth2 partiellement)
|
|||
|
|
* ✅ Audit vidéo (SSH + RDP via KoKo & Guacamole)
|
|||
|
|
* ✅ Audit texte (session logs)
|
|||
|
|
* ✅ Audit événements (tentatives, connexions, erreurs)
|
|||
|
|
* ✅ Self-hosted
|
|||
|
|
* ✅ RDP (via Guacamole intégré)
|
|||
|
|
* ✅ CLI access (via KoKo client ou SSH direct avec bridge)
|
|||
|
|
* ⚠️ Proxy SSH : *Pas supporté nativement*, nécessite un client KoKo spécifique pour le "tunnel" SSH. Impossible d'utiliser simplement `ssh user@target`.
|
|||
|
|
|
|||
|
|
🟢 **Open source** (Community Edition) et **self-hosted**, très complet pour le prix. Bastion tout-en-un.
|
|||
|
|
🔴 Le manque de SSH natif via bastion peut être bloquant dans des environnements automatisés/DevOps.
|
|||
|
|
|
|||
|
|
---
|
|||
|
|
|
|||
|
|
### ✅ **HashiCorp Boundary**
|
|||
|
|
|
|||
|
|
* ✅ SSO (OIDC, LDAP)
|
|||
|
|
* ✅ Audit texte (logs via HCP Boundary or integrated tools)
|
|||
|
|
* ✅ Audit événements (vault-style, détaillé)
|
|||
|
|
* ✅ Self-hosted
|
|||
|
|
* ✅ CLI access (`boundary connect ssh`)
|
|||
|
|
* ⚠️ Proxy SSH : *Non natif*. Nécessite un client CLI (`boundary connect ssh`) → il crée un tunnel local (à la `ssh -L`) mais ne remplace pas `ssh user@target`.
|
|||
|
|
|
|||
|
|
🟡 Moderne, API-first, très intéressant dans une approche Zero Trust.
|
|||
|
|
🔴 Mais non utilisable en remplacement de `ssh user@host`.
|
|||
|
|
|
|||
|
|
💰 **Prix Entreprise** : `$20–30/user/mois`
|
|||
|
|
|
|||
|
|
---
|
|||
|
|
|
|||
|
|
### ✅ **OVH The Bastion**
|
|||
|
|
|
|||
|
|
* ✅ Audit texte (via `script`)
|
|||
|
|
* ✅ Audit événements
|
|||
|
|
* ✅ Self-hosted
|
|||
|
|
* ✅ CLI access (`ssh -t bastion sudo su - targetuser`)
|
|||
|
|
* ⚠️ Proxy SSH : *Nécessite une commande intermédiaire*, pas de SSH direct. L'utilisateur doit se connecter à TheBastion puis "sauter" manuellement ou via commandes wrapper.
|
|||
|
|
|
|||
|
|
🟡 Utile pour infra simple, open source, bien audité.
|
|||
|
|
🔴 Trop rigide pour un usage DevOps ou multi-service.
|
|||
|
|
|
|||
|
|
💰 **Pas de version payante**
|
|||
|
|
|
|||
|
|
---
|
|||
|
|
|
|||
|
|
### 🔴 **Bastillion**
|
|||
|
|
|
|||
|
|
* ✅ Audit texte (via Web console logs)
|
|||
|
|
* ✅ Self-hosted
|
|||
|
|
* ❌ Pas de SSO
|
|||
|
|
* ❌ Pas d’audit vidéo
|
|||
|
|
* ❌ Pas d’audit d’événement structuré
|
|||
|
|
* ❌ Pas de RDP
|
|||
|
|
* ❌ Pas de CLI access (Web shell uniquement)
|
|||
|
|
* ⚠️ Proxy SSH : *Aucun support natif*. Interface Web uniquement.
|
|||
|
|
|
|||
|
|
🔴 Trop limité. Shell Web uniquement, pas adapté aux environnements modernes.
|
|||
|
|
|
|||
|
|
💰 **Pas de version payante**
|
|||
|
|
|
|||
|
|
---
|
|||
|
|
|
|||
|
|
### ✅ **Teleport OSS (Community)**
|
|||
|
|
|
|||
|
|
* ✅ Audit vidéo (SSH uniquement)
|
|||
|
|
* ✅ Audit texte (via session recordings + structured logs)
|
|||
|
|
* ✅ Audit événements (auth, exec, etc.)
|
|||
|
|
* ✅ Self-hosted
|
|||
|
|
* ✅ CLI access (`ssh user@host` via `tsh`)
|
|||
|
|
* ⚠️ SSO : *Uniquement comptes locaux*
|
|||
|
|
* ❌ Pas de RDP
|
|||
|
|
* ✅ Proxy SSH : **Oui, complet**. Remplace totalement un bastion : `ssh user@host` fonctionne via Teleport Proxy (avec agent ou mode proxy recording). UX utilisateur conservée.
|
|||
|
|
|
|||
|
|
🟢 Expérience CLI native. Excellent compromis pour audit + UX.
|
|||
|
|
🔴 Pas de RDP, pas de SSO externe (dans la CE).
|
|||
|
|
|
|||
|
|
💰 **Enterprise** : \$20–40/user/mois
|
|||
|
|
|
|||
|
|
---
|
|||
|
|
|
|||
|
|
### ✅ **Teleport Enterprise**
|
|||
|
|
|
|||
|
|
* ✅ SSO (OIDC, SAML, GitHub, etc.)
|
|||
|
|
* ✅ Audit vidéo (SSH, RDP)
|
|||
|
|
* ✅ Audit texte et événements
|
|||
|
|
* ✅ Self-hosted
|
|||
|
|
* ✅ CLI access (`ssh user@host` ou `tsh ssh`)
|
|||
|
|
* ✅ RDP (via "Desktop Access" — mode agent)
|
|||
|
|
* ✅ Proxy SSH : **Oui, complet**. Le proxy de Teleport permet un accès SSH natif, totalement transparent. Possibilité de configurer le DNS ou des templates SSH pour mapper automatiquement les hôtes.
|
|||
|
|
|
|||
|
|
🟢 UX exceptionnelle, sécurisation moderne, extensible (Kubernetes, DB, apps...).
|
|||
|
|
🔴 Nécessite agents pour RDP + config initiale fine.
|
|||
|
|
|
|||
|
|
💰 **Enterprise** : \$20–40/user/mois
|
|||
|
|
|
|||
|
|
---
|
|||
|
|
|
|||
|
|
### ✅ **Wallix Bastion (complet)**
|
|||
|
|
|
|||
|
|
* ✅ SSO complet (LDAP, SAML, MFA)
|
|||
|
|
* ✅ Audit vidéo (SSH, RDP, VNC)
|
|||
|
|
* ✅ Audit texte
|
|||
|
|
* ✅ Audit événements
|
|||
|
|
* ✅ Self-hosted
|
|||
|
|
* ✅ RDP natif (client ou Web)
|
|||
|
|
* ✅ CLI access via agent/bastion
|
|||
|
|
* ⚠️ Proxy SSH : *Partiellement transparent*. Fonctionne via client CLI ou Web Gateway. L’utilisateur peut utiliser une commande `ssh` modifiée (via script ou agent) mais pas de support natif pur `ssh user@host`.
|
|||
|
|
|
|||
|
|
🟢 Ultra-complet, conforme ANSSI, support professionnel.
|
|||
|
|
🔴 Complexe à déployer. Pas open source.
|
|||
|
|
|
|||
|
|
💰 **Prix** : Sur devis (généralement \$10–40/user/mois)
|
|||
|
|
|
|||
|
|
---
|
|||
|
|
|
|||
|
|
### ✅ **Delinea / CyberArk (Privileged Access Management)**
|
|||
|
|
|
|||
|
|
* ✅ SSO complet (LDAP, OIDC, MFA, PAM)
|
|||
|
|
* ✅ Audit vidéo (SSH, RDP)
|
|||
|
|
* ✅ Audit texte et événements
|
|||
|
|
* ✅ Self-hosted (ou SaaS)
|
|||
|
|
* ✅ RDP + Web + SSH
|
|||
|
|
* ✅ CLI access via vault / agent
|
|||
|
|
* ⚠️ Proxy SSH : *Via client ou wrapper uniquement*, pas de SSH natif pur. Ils utilisent des connecteurs spécifiques ou des vaults d’identifiants.
|
|||
|
|
|
|||
|
|
🟢 Bastion sécurisé, intégré IAM, conforme PCI / ISO.
|
|||
|
|
🔴 Très coûteux, infra lourde à maintenir.
|
|||
|
|
|
|||
|
|
💰 **Prix** : très variable, souvent \$50–100/user/mois selon modules
|
|||
|
|
|
|||
|
|
---
|
|||
|
|
|
|||
|
|
### 🧠 En résumé :
|
|||
|
|
|
|||
|
|
| Solution | SSH natif (`ssh user@host`) | RDP | SSO | Open source | Audit Vidéo | Recommandé pour |
|
|||
|
|
| -------------------- | --------------------------- | --- | --- | ----------- | ----------- | ------------------------------ |
|
|||
|
|
| **Teleport CE** | ✅ | ❌ | ❌ | ✅ | ✅ (SSH) | Petites équipes, DevOps |
|
|||
|
|
| **Teleport Ent.** | ✅ | ✅ | ✅ | ❌ | ✅ | Infra critique, sécurité forte |
|
|||
|
|
| **JumpServer CE** | ❌ (client KoKo) | ✅ | ✅ | ✅ | ✅ | Bastion polyvalent, 100% open |
|
|||
|
|
| **JumpServer Ent.** | ⚠️ (via KoKo) | ✅ | ✅ | ❌ | ✅ | Bastion complet auto-hébergé |
|
|||
|
|
| **Boundary OSS** | ❌ (client `boundary`) | ⚠️ | ✅ | ✅ | ❌ | Zero Trust, infra moderne |
|
|||
|
|
| **Wallix Bastion** | ⚠️ (via agent/wrapper) | ✅ | ✅ | ❌ | ✅ | Milieux régulés, entreprise |
|
|||
|
|
| **CyberArk/Delinea** | ⚠️ (via client/agent) | ✅ | ✅ | ❌ | ✅ | Compliance, sécurité extrême |
|
|||
|
|
|
|||
|
|
Souhaites-tu que je t’aide à prototyper une archi avec l’un d’eux ?
|
|||
|
|
|