检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
系统全自动化安装,LUKS加密用户系统数据盘。 系统自带防火墙功能,防止常规网络攻击,例如暴力破解等。 统一HTML5方式访问入口,仅开放一个系统Web访问端口,减少攻击面。 针对SSH登录参数配置加固,提高SSH登录系统的安全性。 父主题: 产品咨询
FullAccess权限后,需要增加VPC FullAccess后才能在控制台为堡垒机更新安全组。 云资产委托 数据加密服务 DEW 弹性云服务器 ECS 云数据库 RDS 统一身份认证服务 IAM IAM用户设置了CBH FullAccess权限后,参照CBH FullAccess手动添加权限添加相关权限。
参考CBH安全组规则放开出/入方向端口,再重新登录云堡垒机系统。 若因云堡垒机登录IP被网络ACL限制,请先排查网络ACL规则,并重新配置ACL规则,添加云堡垒机公网IP(即弹性IP)为允许。 浏览器登录云堡垒机需放开入方向TCP协议443端口,SSH客户端登录云堡垒机需放开入方向TCP协议2222端口。
zed,值设置为2。 图2 设置值大小 修改注册表后提示错误 若您通过修改注册表后提示“无法连接至远程计算机”,则需要做如下调整。 图3 无法连接 打开远程桌面连接程序,单击“显示选项”,选择“显示”。 减小“显示配置”的分辨率,并且修改颜色为“增强色(16位)”。 图4 远程桌面显示设置
在“/etc/ssh/sshd_config”文件中,查找“PermitRootLogin”参数,确认参数值是否为“no”。 修改“/etc/ssh/sshd_config”文件。 查找“PermitRootLogin”参数,修改参数值为“yes”或注释掉参数所在行。 #PermitRootLogin no 执行以下命令,重启sshd服务。
用户获取主机资源“剪切板”权限,分别需要开启主机“剪切板”功能和授权用户“剪切板”使用权限。 主机资源开启“剪切板”功能,请参见修改主机配置。 授权用户“剪切板”权限,请参见修改访问控制策略或申请访问授权工单。 原因二 重载或重启Windows主机中rdpclip.exe剪切板程序。 无法复制超长文本到Windows主机
运维资源列表可登录资源不可见怎么办? 通过Web浏览器登录资源,不弹出会话界面怎么办? 应用运维异常,调用程序失败怎么办? SSO工具异常,不能登录数据库资源怎么办? 通过堡垒机登录服务器资源,报“并发会话超出许可限制”怎么办? 如何解决“mstsc客户端访问服务器资源时,移动界面应用有黑屏”的问题?
自定义堡垒机到Syslog服务器的标识符。用于在Syslog日志服务器,区分所接收的日志来自于相应的堡垒机。 服务器IP 输入Syslog服务器的IP地址。 端口 输入Syslog服务器的端口。 协议 选择Syslog服务器协议类型。 可选择TCP或UDP。 若选择TCP,可以单击“测试连通性”确认服务器是否可达。
网络连接正常,请排查其他可能原因。 网络连接异常,请参考CBH安全组规则,检查云堡垒机和FTP/SFTP服务器主机安全组是否放开22端口;检查FTP/SFTP服务器主机的ACL是否放开22端口,并添加云堡垒机公网IP(即弹性IP)为允许。 原因三: 开启用户目录上传权限。 登录云堡垒机系统,选择“系统
请实例时自定义设置的密码。 在首次登录云堡垒机系统后,请按照系统提示修改密码,否则无法进入系统运行页面。 密码管理 为充分保证安全,建议您设置的各类密码满足以下要求: 在首次登录云堡垒机系统后,请按照系统提示修改密码和配置手机号码,否则无法进入云堡垒机系统。 密码必须满足密码安全策略:
“容器详情”页面。 图1 容器详情页面 在“基本信息”行的右侧单击“编辑”,在弹出的对话框中修改容器的相关信息,具体参数规则详见表1。 修改完参数信息后,单击“确定”,完成容器的信息修改。 删除容器 登录堡垒机系统。 选择“资源 > 云服务器管理”,进入云服务器管理页面。 在待删除容器所在的操作列单击“删除”。
更改VPC 为方便您的堡垒机和云上其他项目处于同一VPC下,您可以在堡垒机控制台更改VPC。 约束条件 控制台中“运行状态”为“运行中”的实例才可以更改VPC。 在切换VPC前需要确保切换的目标VPC子网下“可用IP数”满足对应数量要求,查看可用IP数可通过虚拟私有云服务控制台选择子网,进入目标子网查看。
离; 云堡垒机支持对用户的操作权限进行限制,分别为三大类:访问控制策略、命令控制策略和数据库控制策略。 云堡垒机可以对登录用户角色的一些操作权限进行控制,比如您可以对运维主管的账号授予删除和修改代理服务器的权限。 图9 角色权限细粒度 您可以对各个账户进行访问控制,具体可细分到文
会将数据备份至远程FTP/SFTP服务器。 传输模式 选择日志传输模式。 可选择FTP或SFTP模式。 服务器IP 输入FTP或SFTP服务器的IP地址。 端口 输入FTP或SFTP服务器的端口。 用户名 输入FTP或SFTP服务器上用户名,用于测试配置的FTP或SFTP服务器是否可达。 密码 输入FTP或SFTP
在“授权用户”区域查看应用资源已关联的登录账户。 批量修改应用资源运维选项 在应用列表中勾选需要修改运维选项的应用资源,在列表左下方选择“更多 > 修改更多选项”。 在弹窗中勾选需要修改的选项。 如果是为应用资源进行批量修改,执行成功后,不可回退,请谨慎操作。 确认无误,单击“确定”,完成修改。 修改应用资源的部门
以帮助您使用CBH快速管理资源。 CBH最佳实践 表1 CBH最佳实践 分类 相关文档 变更规格 变更云堡垒机规格 高危操作的复核审批 数据库运维高危操作的复核审批 等保合规 云堡垒机等保最佳实践 跨云、跨VPC、线上线下统一运维 跨云跨VPC线上线下统一运维最佳实践 事后追溯 如何使用堡垒机对安全事故进行事后追溯
为代理服务器配置安全组规则 进行代理服务器入方向规则配置,允许堡垒机访问代理服务器。 图2 入方向规则配置 在“协议端口”中填写socks5代理服务器默认的“1080”端口。 在“源地址”中填写堡垒机的IP地址。 进行代理服务器出方向规则配置,允许代理服务器访问待纳管的业务服务器。 图3
× × × × √ √ √ √ √ Postgresql √ √ × × × × × × √ √ √ √ √ Gaussdb √ √ × × × × × × √ √ √ √ √ DB2 √ √ × × × × × × √ √ √ √ √ MYSQL √ √ × × × × × × √
系统管理”,进入系统管理页面。 图3 系统管理 展开“系统时间”区域,可管理系统时间。 图4 系统时间 手动更新系统时间。 单击“修改”,弹出系统时间修改窗口。 选择目标日期和时刻。 单击确定,返回系统管理页面,系统时间更新完成。 同步服务器时间。 默认同步当前系统的时间。 选择系
导出用户信息 堡垒机支持批量导出用户信息,用于本地备份用户配置,以及便于快速修改用户基本信息。 约束限制 支持导出用户登录名、认证类型、认证服务器、用户姓名、手机号码、邮箱、角色、所属部门、用户组等基本信息。 为保障用户账号安全,账号登录密码不支持导出。 前提条件 已获取“用户”模块操作权限。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
