senke/talas-group
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
talas-group/04_INFRA_DEPLOIEMENT/Notes_Operations/install_jumpserver_bastion.txt
senke 66471934af Initial commit: Talas Group project management & documentation 
Knowledge base of ~80+ markdown files across 14 domains (00-13),
Logseq graph, hardware design files (KiCAD), infrastructure configs,
and talas-wiki static site.

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
2026-04-04 20:10:41 +02:00

175 lines
6.7 KiB
Text
Raw Permalink Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

On js-core :
apt update && apt install -y curl python3 gettext docker
Log in to the Linux server using the "root" or another user with superuser privileges.
Change to the /opt directory.
curl -sSL https://github.com/jumpserver/jumpserver/releases/latest/download/quick_start.sh | bash
but didn't work so I used :
curl -sSL https://github.com/jumpserver/jumpserver/releases/download/v4.10.1/cn-quick_start.sh | bash
On js-target :
On js-client :
Voici la version complétée de ta comparaison, avec **Teleport Enterprise**, **Wallix Bastion (complet)**, et **Delinea / CyberArk** (Priviliged Access Management leaders), et une **explication détaillée de la prise en charge du proxy SSH** dans chaque cas :
---
### ✅ **JumpServer**
* ✅ LDAP, SSO supporté (LDAP, AD, OAuth2 partiellement)
* ✅ Audit vidéo (SSH + RDP via KoKo & Guacamole)
* ✅ Audit texte (session logs)
* ✅ Audit événements (tentatives, connexions, erreurs)
* ✅ Self-hosted
* ✅ RDP (via Guacamole intégré)
* ✅ CLI access (via KoKo client ou SSH direct avec bridge)
* ⚠️ Proxy SSH : *Pas supporté nativement*, nécessite un client KoKo spécifique pour le "tunnel" SSH. Impossible d'utiliser simplement `ssh user@target`.
🟢 **Open source** (Community Edition) et **self-hosted**, très complet pour le prix. Bastion tout-en-un.
🔴 Le manque de SSH natif via bastion peut être bloquant dans des environnements automatisés/DevOps.
---
### ✅ **HashiCorp Boundary**
* ✅ SSO (OIDC, LDAP)
* ✅ Audit texte (logs via HCP Boundary or integrated tools)
* ✅ Audit événements (vault-style, détaillé)
* ✅ Self-hosted
* ✅ CLI access (`boundary connect ssh`)
* ⚠️ Proxy SSH : *Non natif*. Nécessite un client CLI (`boundary connect ssh`) → il crée un tunnel local (à la `ssh -L`) mais ne remplace pas `ssh user@target`.
🟡 Moderne, API-first, très intéressant dans une approche Zero Trust.
🔴 Mais non utilisable en remplacement de `ssh user@host`.
💰 **Prix Entreprise** : `$2030/user/mois`
---
### ✅ **OVH The Bastion**
* ✅ Audit texte (via `script`)
* ✅ Audit événements
* ✅ Self-hosted
* ✅ CLI access (`ssh -t bastion sudo su - targetuser`)
* ⚠️ Proxy SSH : *Nécessite une commande intermédiaire*, pas de SSH direct. L'utilisateur doit se connecter à TheBastion puis "sauter" manuellement ou via commandes wrapper.
🟡 Utile pour infra simple, open source, bien audité.
🔴 Trop rigide pour un usage DevOps ou multi-service.
💰 **Pas de version payante**
---
### 🔴 **Bastillion**
* ✅ Audit texte (via Web console logs)
* ✅ Self-hosted
* ❌ Pas de SSO
* ❌ Pas daudit vidéo
* ❌ Pas daudit dévénement structuré
* ❌ Pas de RDP
* ❌ Pas de CLI access (Web shell uniquement)
* ⚠️ Proxy SSH : *Aucun support natif*. Interface Web uniquement.
🔴 Trop limité. Shell Web uniquement, pas adapté aux environnements modernes.
💰 **Pas de version payante**
---
### ✅ **Teleport OSS (Community)**
* ✅ Audit vidéo (SSH uniquement)
* ✅ Audit texte (via session recordings + structured logs)
* ✅ Audit événements (auth, exec, etc.)
* ✅ Self-hosted
* ✅ CLI access (`ssh user@host` via `tsh`)
* ⚠️ SSO : *Uniquement comptes locaux*
* ❌ Pas de RDP
* ✅ Proxy SSH : **Oui, complet**. Remplace totalement un bastion : `ssh user@host` fonctionne via Teleport Proxy (avec agent ou mode proxy recording). UX utilisateur conservée.
🟢 Expérience CLI native. Excellent compromis pour audit + UX.
🔴 Pas de RDP, pas de SSO externe (dans la CE).
💰 **Enterprise** : \$2040/user/mois
---
### ✅ **Teleport Enterprise**
* ✅ SSO (OIDC, SAML, GitHub, etc.)
* ✅ Audit vidéo (SSH, RDP)
* ✅ Audit texte et événements
* ✅ Self-hosted
* ✅ CLI access (`ssh user@host` ou `tsh ssh`)
* ✅ RDP (via "Desktop Access" — mode agent)
* ✅ Proxy SSH : **Oui, complet**. Le proxy de Teleport permet un accès SSH natif, totalement transparent. Possibilité de configurer le DNS ou des templates SSH pour mapper automatiquement les hôtes.
🟢 UX exceptionnelle, sécurisation moderne, extensible (Kubernetes, DB, apps...).
🔴 Nécessite agents pour RDP + config initiale fine.
💰 **Enterprise** : \$2040/user/mois
---
### ✅ **Wallix Bastion (complet)**
* ✅ SSO complet (LDAP, SAML, MFA)
* ✅ Audit vidéo (SSH, RDP, VNC)
* ✅ Audit texte
* ✅ Audit événements
* ✅ Self-hosted
* ✅ RDP natif (client ou Web)
* ✅ CLI access via agent/bastion
* ⚠️ Proxy SSH : *Partiellement transparent*. Fonctionne via client CLI ou Web Gateway. Lutilisateur peut utiliser une commande `ssh` modifiée (via script ou agent) mais pas de support natif pur `ssh user@host`.
🟢 Ultra-complet, conforme ANSSI, support professionnel.
🔴 Complexe à déployer. Pas open source.
💰 **Prix** : Sur devis (généralement \$1040/user/mois)
---
### ✅ **Delinea / CyberArk (Privileged Access Management)**
* ✅ SSO complet (LDAP, OIDC, MFA, PAM)
* ✅ Audit vidéo (SSH, RDP)
* ✅ Audit texte et événements
* ✅ Self-hosted (ou SaaS)
* ✅ RDP + Web + SSH
* ✅ CLI access via vault / agent
* ⚠️ Proxy SSH : *Via client ou wrapper uniquement*, pas de SSH natif pur. Ils utilisent des connecteurs spécifiques ou des vaults didentifiants.
🟢 Bastion sécurisé, intégré IAM, conforme PCI / ISO.
🔴 Très coûteux, infra lourde à maintenir.
💰 **Prix** : très variable, souvent \$50100/user/mois selon modules
---
### 🧠 En résumé :
| Solution | SSH natif (`ssh user@host`) | RDP | SSO | Open source | Audit Vidéo | Recommandé pour |
| -------------------- | --------------------------- | --- | --- | ----------- | ----------- | ------------------------------ |
| **Teleport CE** | ✅ | ❌ | ❌ | ✅ | ✅ (SSH) | Petites équipes, DevOps |
| **Teleport Ent.** | ✅ | ✅ | ✅ | ❌ | ✅ | Infra critique, sécurité forte |
| **JumpServer CE** | ❌ (client KoKo) | ✅ | ✅ | ✅ | ✅ | Bastion polyvalent, 100% open |
| **JumpServer Ent.** | ⚠️ (via KoKo) | ✅ | ✅ | ❌ | ✅ | Bastion complet auto-hébergé |
| **Boundary OSS** | ❌ (client `boundary`) | ⚠️ | ✅ | ✅ | ❌ | Zero Trust, infra moderne |
| **Wallix Bastion** | ⚠️ (via agent/wrapper) | ✅ | ✅ | ❌ | ✅ | Milieux régulés, entreprise |
| **CyberArk/Delinea** | ⚠️ (via client/agent) | ✅ | ✅ | ❌ | ✅ | Compliance, sécurité extrême |
Souhaites-tu que je taide à prototyper une archi avec lun deux ?
Reference in a new issue View git blame Copy permalink