检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
管理命令任务 堡垒机支持快速运维功能,用户可通过命令方式快速运维多个目标资源。通过将命令在多个SSH协议主机资源上执行,并根据发起的命令,返回相应执行结果。 本小节主要介绍如何管理命令任务,包括创建命令任务、执行命令任务、中断命令任务、查看任务执行结果等。 约束限制 仅专业版堡垒机支持快速运维功能。
命令控制策略 新建命令控制策略 查询和修改命令控制策略 管理命令集 自定义关联命令 父主题: 策略管理
选择“策略 > 命令控制策略 > 命令集”,进入命令集列表页面。 创建命令集。 单击“新建”,弹出新建命令集窗口。 配置命令集名称。 系统内“命令集名称”不能重复 单击“确定”,返回规则集列表页面,查看新建的命令集。 添加命令集规则。 在目标命令集行,单击“操作”列的“添加命令”,弹出添加命令窗口。
策略生效时间和策略的失效时间。 时段限制 限制策略的生效时间段。 单击“下一步”,关联命令或命令集。 关联命令:可设置多个命令,每行输入一条命令。详细设置说明请参见自定义关联命令。 关联命令集:关联已创建的命令集。详细命令集说明请参见管理命令集。 单击“下一步”,关联用户或用户组。
inux“动态授权”操作命令的权限。 图1 命令被拦截示例 本小节主要介绍如何管理命令控制工单。 约束限制 仅SSH和Telnet协议类型的Linux主机,支持拦截敏感操作生成工单。 前提条件 已获取“命令授权工单”模块管理权限。 已触发命令拦截,生成命令授权工单。 操作步骤 登录堡垒机系统。
可修改策略的基本信息。 可修改信息包括“策略名称”、“有效期”、“执行动作”、“时间限制”等。 查看和修改策略关联的命令。 在“命令”区域,单击“编辑”,弹出关联命令窗口,可立即修改命令参数。 单击“移除”,可立即删除该关联命令。 查看和修改策略关联的命令集。 在“命令集”区域,
自定义关联命令 命令控制策略关联的自定义的命令,关联命令后,在执行相关命令或参数时,触发拦截和允许操作。 自定义关联命令大小写敏感,严格按照设置的关联命令进行审核和过滤,若执行命令与设置命令不一致,则不能触发策略规则。详细设置说明和示例,请参考如下说明: 支持单命令格式。 如设置
是,执行以下命令,把之前安装的firefox docker镜像删除。 # docker rmi 127.0.0.1:5000/psm-firefox:0.2 删除后,继续执行5。 否,执行5。 执行以下命令,部署脚本。 # /bin/bash install.sh 执行以下命令,检查服务状态。
录名,单击“连接”,连接会话。 方式二 在新的空白会话窗口,执行登录命令:协议类型 用户登录名@系统登录IP 端口,例如执行ssh admin@10.10.10.10 2222,登录后选择目标服务器。 在新的空白会话窗口,执行登录命令:协议类型 堡垒机用户登录名@主机账户名@Linux主机IP@堡垒机IP
通过SSH客户端登录堡垒机纳管资源,在不改变用户原来使用SSH客户端习惯的前提下,对授权云主机资源进行运维管理,并且支持系统的命令拦截策略和运维审计功能。 本小节以Xshell登录SSH协议类型资源为例,介绍如何通过SSH客户端登录资源进行运维,以及如何下载登录资源的配置文件。 约束限制 仅SSH、TELNE
云堡垒机支持文件传输功能,以及审计传输的文件。Linux主机和Windows主机的文件传输方式有所区别。 Linux主机 Linux主机上传/下载文件,可选择Web运维和FTP/SFTP客户端运维两种方式,具体的操作方法请参见Linux主机中文件的上传/下载。 Web运维 需先将Linux主机配置为SSH协议主机资源。
安全事件的实时发现与预警。 Linux命令审计:基于字符协议(SSH、TELNET)的命令操作审计,记录命令运维全程,支持解析字符操作命令,还原操作指令,根据输入、输出结果关键字搜索快速定位回放。 Windows操作审计:基于图形协议(RDP、VNC)终端和应用发布的行为操作审计
含响应的错误码,以及描述错误信息。 CBH系统的常见错误码,以及错误排查方法,请参见表1。 表1 常见运维错误码 错误码 错误提示 排查方法 ERROR_CLIENT_514 Code:C_514 文件传输响应时间过长,请重试或联系系统管理员 检查CBH系统与FTP服务的网络,是否存在传输丢包现象;
资源运维审计 全程记录用户的运维操作,支持多种运维审计技术和审计形式,可随时审计用户操作行为,识别运维风险,为安全事件追溯和分析提供依据。 运维审计技术 Linux命令审计 基于字符协议(SSH、TELNET)的命令操作审计,记录命令运维全程,支持解析字符操作命令,还原操作指令,根据输入、输出结果关键字搜索快速定位回放。
具一键登录数据库,提供对数据库操作的全程记录,实现对云数据库的操作指令进行解析,100%还原操作指令。 自动化运维 自动化运维是将系统运维管理中复杂的、重复的、数量基数大的操作,通过统一的策略、任务将复杂运维精准化和效率化,帮助运维人员从重复的体力劳动中解放出来,提高运维效率。
加强对数据库关键操作的限制管理。 当运维用户登录数据库进行运维操作时,触发“动态授权”数据库控制策略的操作命令,系统会自动拦截操作命令,生成数据库授权工单。管理员将会收到工单审批申请。当管理员用户批准工单后,运维用户才有执行该数据库“动态授权”操作命令的权限。 本小节主要介绍如何管理数据库授权工单。
见SSO单点客户端运维。 运维用户可对数据库资源执行增删改查运维命令,并可在实时会话查看正在执行的操作命令,在历史会话查看历史操作命令记录。 运维用户在操作关键命令时,触发“动态授权”操作命令,系统自动拦截操作命令,生成数据库授权工单。运维用户需提交工单申请,待管理员审批工单后,才能继续操作。
行”,用户需在该主机资源的Sudoers文件下执行任务。 任务描述 简要描述运维任务信息。 单击“下一步”,配置执行账户或账户组,选择已创建的SSH协议类型资源账户或账户组。 单击“下一步”,配置任务步骤。 单击“添加任务步骤”,选择添加任务类型“执行命令”、“执行脚本”或“传输文件”。
云堡垒机配置LTS后状态依然为禁用该怎么处理? 问题描述 配置完LTS服务后,系统显示还处于禁用状态。 解决方法 安装ICAgent的命令是以curl命令开始,如果curl命令前面存在set +o history; 字段,请删除后和堡垒机对接,适配的安装ICAgent参数如下: curl http://icagent-{region}
命令控制策略”,新建字符(SSH或Telnet)命令集和命令控制策略。 命令控制策略“执行动作”需选择“动态授权”。 详细动态授权配置说明请参见命令控制策略和数据库控制策略。 命令控制策略设置成功后,授权用户登录云堡垒机,登录目标主机,执行相关命令触发命令拦截,生成命令授权工单。 图1 动态拦截 授权用户选择“工单
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
