如需了解国际站更多云产品,请访问国际站。https://www.huaweicloud.com/intl/
不再显示此消息
如需了解国际站更多云产品,请访问国际站。https://www.huaweicloud.com/intl/
不再显示此消息
云堡垒机实例与系统资源的安全组,必须允许相互访问。 系统资源必须处于实例所属安全组允许访问的范围内,且资源所属安全组必须允许实例私有IP访问。 如果实例与系统资源处于不同的安全组,系统默认不能访问。需要在实例的安全组添加“入”的访问规则。 实例的安全组默认端口有443和2222
环境,用户通过配置安全组、子网、EIP等子服务,方便地管理、配置内部网络。以及通过自定义安全组内访问规则,加强安全保护。 与弹性云服务器的关系 弹性云服务器(Elastic Cloud Server,ECS)为CBH提供部署环境,同时CBH为ECS上资源提供安全管理服务。 ECS
选择“手动分配IP地址”后,可查看已使用的IP地址。 安全组 Sys-default 选择当前区域下安全组,系统默认安全组Sys-default。 若无合适安全组可选择,可单击“管理安全组”创建或配置新的安全组。 说明: 一个安全组为同一个VPC网络内具有相同安全保护需求,并相互信任的CBH与资源提
登录。 Linux主机中文件的上传/下载 Linux主机资源上传/下载文件不依赖个人网盘,可直接实现与本地的文件传输。个人网盘可“中转”来自其他主机资源的文件。 登录云堡垒机系统。 选择“运维 > 主机运维”,选择目标Linux主机资源。 单击“登录”,跳转到Linux主机资源运维界面。
一个实例对应一个独立运行的系统,通过配置实例部署系统后台运行基本环境。系统环境独立管理,保障系统运行安全。 一个单点登录系统,提供统一的单点登录入口,轻松地集中管理大规模云上资源,避免资源账户泄露危险,保障资源信息安全。 符合“网络安全法”等法律法规,满足合规性规范审查要求。 满足《萨班斯法案》和《等级保护》系列文件中的技术审计要求;
说明: 因堡垒机管理同一VPC网络下的主机资源,根据网络稳定性与就近优势。私有IP对外访问的端口不受网络安全(安全组和ACL)的限制。EIP为独立的弹性IP,对外访问的端口受网络安全限制,可能导致无法通过堡垒机登录到主机。 故建议“主机地址”优先考虑配置同VPC网络下私有IP地址。 端口
重置用户登录密码 当用户人员变动较大,用户忘记密码、密码丢失、密码过期等,可能造成登录安全事故。为降低用户登录密码风险,加强系统登录安全,堡垒机支持批量修改用户登录密码。 约束限制 系统管理员admin的密码不能被其他任何用户重置,可在admin的个人中心修改。 批量重置仅能生成
(可选)重置用户密码 变更规格成功后,为确保用户密码的安全性和可用性,加强系统登录安全,建议重置系统用户密码。 密码重置方式可选择批量重置和手动重置两种。 登录云堡垒机系统。 选择“用户 > 用户管理”,进入用户列表页面。 批量重置,请执行3。 手动重置,请执行4。 批量重置,统一生成相同的用户登录密码。
云审计支持的CBH实例操作 云审计服务(Cloud Trace Service,简称CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 开启了云审计服务后,系统开始记录云堡垒机
创建数据本地备份 为加强对系统数据的容灾管理,堡垒机支持配置日志备份,提高审计数据安全性和系统可扩展性。 本小节主要介绍如何创建系统本地备份。 注意事项 支持系统本地备份的日志包括系统登录日志、资源登录日志、命令操作日志、文件操作日志、双人授权日志。 系统本地备份创建成功后,会在系统数据盘生成一个日志文件。
访问规则; 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息; 前提条件 已购买标准版及以上版本堡垒机,并已完成堡垒机配置。 安全区域边界:安全审计 等保条例:应在
云堡垒机可以跨区域或跨VPC网络管理主机吗? 如何选择云堡垒机实例区域和可用区? 购买/续费/退订 购买部署相关 云堡垒机实例有哪些规格? 如何配置云堡垒机的安全组? 使用堡垒机时需要配置哪些端口? 云堡垒机支持哪些计费方式? 云堡垒机可以免费使用吗? 云堡垒机实例可以退订吗? 提示资源售罄,如何购买云堡垒机实例?
在云堡垒机管理控制台“重启”云堡垒机实例,检查故障是否解决。若不能解决,需“升级”云堡垒机到最新版本,并根据实际需求进行规格变更。 原因三: 更换浏览器或升级浏览器版本,Web登录推荐使用浏览器及版本,请参见登录云堡垒机系统。 原因四: 若因安全组配置不合理导致异常,请先排查安全组规则,并根据CBH建议安全组规则,
常登录。 Linux主机中文件的上传/下载 Linux主机资源上传/下载文件不依赖个人网盘,可直接实现与本地的文件传输。个人网盘可“中转”来自其他主机资源的文件。 登录堡垒机系统。 选择“运维 > 主机运维”,选择目标Linux主机资源,单击“登录”,跳转到Linux主机资源运维界面。
Cloud)是面向企业、政府、金融等客户,提供计算、存储资源池以及网络、管控多级隔离的综合解决方案。用户独享专属资源池,与公有云资源物理隔离,满足特定性能、应用及安全合规等要求。 父主题: 区域和可用区
支持分步骤同时对多个SSH协议资源批量执行多种运维操作,可同时运维操作包括执行命令、执行脚本、传输文件。 运维任务执行后,按照步骤顺序依次自动执行操作,并返回执行结果。 约束限制 仅专业版堡垒机支持快速运维功能。 仅支持对Linux主机(SSH协议类型)资源执行自动运维任务。 暂不支持对Window
超时退出。 解决办法 原因一: 重新设置“登录超时”时间,延长登录超时时间,详细配置说明请参见Web登录安全配置。 保持云堡垒机运维会话界面在线状态。 原因二: 设置Linux主机的空闲等待时间TMOUT,即设置TMOUT=目标时间。 设置Windows主机的锁屏超时时间,即在W
图1 Safari浏览器限制 更新系统SSL证书 系统默认配置安全的自签发证书,受限于自签发证书的认证保护范围和认证保护时间限制,用户可替换证书。但当证书过期或安全扫描不通过时,用户需更新证书才能确保系统安全。 建议您申购可信任的SSL证书,并及时更新系统Web证书。 父主题:
时,需要将已登录的账号退出才可正常登录。 开放端口要求 为避免网络故障或网络配置问题影响登录系统,请管理员优先检查网络ACL配置是否允许访问堡垒机,并参考表1配置实例安全组。 堡垒机跨版本升级会自动开放80、8080、443、2222共四个端口,升级完成后若不需要使用请第一时间关闭。
网段的VM访问堡垒机。 登录堡垒机检查网络配置,发现出现红框中的路由。 图1 检查网络配置 问题原因 客户的堡垒机未升级,使用的是3.3.26.0之前的版本,堡垒机3.3.26.0之前的版本存在缺陷。在堡垒机业务压力大的情况下,当进行系统状态检查时,线程异常退出导致路由刷新失败,
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
您即将访问非华为云网站,请注意账号财产安全
