检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
用户才有执行该Linux“动态授权”操作命令的权限。 图1 命令被拦截示例 本小节主要介绍如何管理命令控制工单。 约束限制 仅SSH和Telnet协议类型的Linux主机,支持拦截敏感操作生成工单。 前提条件 已获取“命令授权工单”模块管理权限。 已触发命令拦截,生成命令授权工单。
前支持字符协议(SSH、TELNET)、图形协议(RDP、VNC)、文件传输协议(FTP、SFTP、SCP)、数据库协议(DB2、MySQL、Oracle、SQL Server)和应用发布的操作审计。其中,字符协议和数据库协议能够进行操作指令解析,还原操作指令;文件传输能够记录传输的文件名称和目标路径。
通过FTP/SFTP客户端登录文件传输类资源 通过文件传输客户端登录堡垒机纳管资源,在不改变用户原来使用客户端习惯的前提下,对授权云主机资源进行远程文件传输管理。用户在主机上执行的所有操作,被堡垒机记录并生成审计数据。 本小节主要介绍如何获取客户端登录信息,并登录文件传输类资源。 约束限制 仅
通过堡垒机登录服务器资源,报“并发会话超出许可限制”怎么办? 问题现象 多个用户同时通过SSH连接方式登录云堡垒机纳管的服务器时,堡垒机允许同时登录的账号数有上限,当登录的账号数超出上限值时,必须退出一个账号才能再登录一个账号。 问题原因 该问题是由于并发数限制导致的。 解决办法
配置邮件外发 邮件服务器,为改密提示和消息告警等通知提供邮件发送服务。 根据需求设置私有邮箱服务器或是公共邮箱服务器,并可测试所填写服务器信息是否有效。 目前支持两种发送方式,分别为SMTP和Exchange,其中Exchange仅支持Exchange2010版本。 本小节主要介绍如何配置系统邮件外发。
源账户添加到系统,可实现对资源账户全生命周期管理,单点登录资源,管理或运维无缝切换。 资源类型 纳管资源类型丰富,包括Windows、Linux等主机资源,MySQL、Oracle等数据库资源,Kubernetes服务器以及Windows应用程序资源。 支持C/S架构运维接入,包
安装服务器 前提条件 已获取服务器管理员账号与密码。 操作步骤 使用管理员账号登录服务器。 打开“服务器管理器”,选择“仪表板”,进入仪表板界面。 图1 仪表板页面 单击“添加角色和功能”,打开“添加角色和功能向导”窗口,根据向导指示,逐步单击“下一步”操作。 图2 开始之前 选择基于角色或基于功能的安装。
安装服务器 前提条件 已获取服务器管理员账号与密码。 操作步骤 使用管理员账号登录服务器。 打开“服务器管理器”,选择“仪表板”,进入仪表板界面。 图1 仪表板页面 单击“添加角色和功能”,打开“添加角色和功能向导”窗口,根据向导指示,逐步单击“下一步”操作。 图2 开始之前 选择基于角色或基于功能的安装。
数据库命令审计 基于数据库协议(DB2、MySQL、Oracle、SQL Server)的命令操作审计,记录从SSO单点登录数据库到数据库命令操作全程,支持解析数据库操作指令,100%还原操作指令。 文件传输审计 基于远程桌面的文件传输操作审计,以及基于文件传输协议(FTP、SFTP、
确认安装启动许可证安装向导。 图6 确认许可证安装向导 图7 启用许可证安装向导 许可证计划选择“企业协议”。 图8 选择许可证计划 输入企业协议号码。 企业协议号码需提前向第三方平台申购获取官方远程桌面授权许可。 图9 输入协议号码 选择服务器版本为“Windows server 2016”,选择许可证
安装服务器 打开“服务器管理器”,选择“仪表板”,进入仪表板界面。 图1 仪表板页面 单击“添加角色和功能”,打开“添加角色和功能向导”窗口,根据向导指示,逐步单击“下一步”操作。 图2 开始之前 选择基于角色或基于功能的安装。 图3 选择安装类型 在服务器池中选择目标服务器。 图4
配置系统运维端口 系统运维端口是登录SSH、SFTP、FTP类型资源的端口,包括通过SSH客户端登录堡垒机的端口,默认端口号2222。 默认端口修改后,需同时修改实例安全组配置。 本小节主要介绍如何管理系统运维端口。 前提条件 已获取“系统”模块管理权限。 操作步骤 登录堡垒机系统。
数据库命令审计:基于数据库协议(DB2、MySQL、Oracle、SQL Server)的命令操作审计,记录从SSO单点登录数据库到数据库命令操作全程,支持解析数据库操作指令,100%还原操作指令。 文件传输审计:基于远程桌面的文件传输操作审计,以及基于文件传输协议(FTP、SFTP、
配置RADIUS远程认证 堡垒机与RADIUS服务器对接,认证登录系统的用户身份。 本小节主要介绍如何配置RADIUS域认证模式,并可对配置的RADIUS认证进行用户有效性测试。 前提条件 用户已获取“系统”模块管理权限。 已获取RADIUS服务器相关信息。 操作步骤 登录堡垒机系统。
新建命令控制策略 命令控制策略用于控制用户访问资源的关键操作权限,实现Linux主机运维操作的细粒度控制。 针对SSH和Telnet字符协议主机,根据管理员配置的策略限制,Guacd代理对用户运维过程中执行的命令进行审计和过滤,并返回审计的命令、过滤结果和命令返回的内容,用于会话操作记录、动态授权、断开连接等动作。
安装远程桌面服务和RD授权 远程桌面服务安装和配置 选择“服务器管理器 > 角色 > 添加角色”。 勾选“远程桌面服务”,单击“下一步”。 单击“下一步”。 单击“下一步”。 选择“始终安装远程桌面会话主机”,单击“下一步”。 选择“角色服务”,勾选“远程桌面会话主机”和“远程桌面授权”,单击“下一步”。
说明: 启用后系统每天定时在凌晨00:30进行前一日的数据备份(改密日志为实时备份), 会将数据备份至远程FTP/SFTP服务器。 传输模式 选择日志传输模式。 可选择FTP或SFTP模式。 服务器IP 输入FTP或SFTP服务器的IP地址。 端口 输入FTP或SFTP服务器的端口。
选择请求方法,可选择POST或GET。 URL地址 输入通用URL地址或带有参数的URL地址。 不支持md5加密方式的网关地址。 HTTP头部 HTTP请求头部名称与值用英文冒号“:”隔开。 只支持HTTP和HTTPS协议网关。 API参数 输入短信网关API参数,关键字$MOBILE和$TEXT将被替换成手机号码和短信内容。
即可,其余端口若不需要使用请第一时间关闭。 表1 入/出方向规则配置参考 场景描述 方向 协议/应用 端口 通过Web浏览器登录堡垒机(HTTP、HTTPS) 入方向 TCP 80、443、8080 通过MSTSC客户端登录堡垒机 入方向 TCP 53389 通过SSH客户端登录堡垒机
量创建用户、批量导入资源、批量授权运维、批量登录资源等高效运维管理方式。 操作指令准确拦截 针对资源敏感操作进行二次复核,系统预置标准Linux字符命令库或自定义命令,对运维操作指令和脚本的准确拦截,并可通过异步“动态授权”,实现对敏感操作的动态管控,防止误操作或恶意操作的发生。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
