检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Server)和应用发布的操作审计。其中,字符协议和数据库协议能够进行操作指令解析,还原操作指令;文件传输能够记录传输的文件名称和目标路径。 简介 本章节介绍了云堡垒机如何通过会话审计功能对安全事件进行追溯调查,完成安全事件的责任界定。 前提条件 已购买云堡垒机,并且使用有审计模块权限的账号登录云堡垒机
开启后资源账户可自动添加账户名为Empty的账户,可进行修改,关闭后创建资源账户时必须自定义账户名称。 操作步骤 登录堡垒机系统。 选择“系统 > 系统配置 > 安全配置”,进入系统安全配置管理页面。 在“资源账户配置”模块的右侧,单击“编辑”,进入“资源账户配置”页面。 自动添加Empty账户的状态默认为开
户所传输的数据。 端口 输入LDAP远程服务器的接入端口,默认389端口。 模式 选择认证模式或同步模式。 堡垒机和AD服务器做对接,域用户的添加需要手动在用户管理处选择LDAP认证添加。 堡垒机和AD服务器对接好之后,可以在“系统配置 > 认证配置”处,把对应OU下的用户同步到堡垒机上。
配置告警发送 本小节主要介绍如何配置系统系统告警的发送范围。 前提条件 已获取“系统”模块管理权限。 操作步骤 登录堡垒机系统。 选择“系统 > 系统配置 > 告警配置”,进入系统告警配置管理页面。 图1 告警配置 在“告警发送配置”区域,单击“编辑”,弹出告警发送配置窗口。 根
实例类型 您选择的实例类型。 登录地址 当前实例的内网IP地址。 弹性IP 当前实例的公网IP地址。 计费模式 当前实例的计费模式。 企业项目 实例所属的企业项目。 在需要重启的实例所在行,单击“操作”列中的“更多 > 重启”。 在弹出的重启实例对话框中,单击“确定”。 重启过程
理页面。 单击页面右上角的“新建”,弹出“新建部门”窗口。 选择“上级部门”,输入待新建的“部门名称”,并根据需要输入简要“部门描述”。 系统内自定义的“部门名称”不能重复。 上级部门仅能在已有部门目录树中选择。 单击“确定”,返回部门管理页面,查看新建的部门。 图1 新建部门示例
实例列表 表1 实例的信息参数说明 参数 说明 实例名称 您自定义实例的名称,创建后不可编辑修改。 运行状态 实例当前的运行状态,包含备机的运行状态。 实例类型 您选择的实例类型。 登录地址 当前实例的内网IP地址。 弹性IP 当前实例的公网IP地址。 计费模式 当前实例的计费模式。 企业项目
单击工单详情页面编辑,即可修改工单授权运维时间。 “审批中”状态的工单仅能查看工单详情信息,不能修改工单内容。“已撤回”和“待提交”状态的工单才能被修改。 删除工单。 单击指定工单“操作”列的“删除”,可以删除该工单。 同时勾选多个工单,单击列表下方的“删除”,批量删除多个工单。 删除后工单信息不能找回,请谨慎操作。
操作步骤 登录堡垒机系统。 选择“部门”,进入部门管理页面。 单击要修改的部门的名称,进入部门详情页面。 图1 部门详情页面 在“基本信息”区域,可查看部门基本信息。 单击“编辑”,弹出部门信息配置窗口,即可修改部门的基本信息。 父主题: 系统部门
选择待纳管容器所在的Namespace。 Pod (可选)选择待纳管容器所在的Pod。 若该Pod下只有您待纳管的Container,则可以不选择。 Container (可选)选择您需要纳管的Container。 若Pod下存在多个容器您未选择,系统默认会自动连接Pod下的第一个Container。
审计和系统模块的全部配置数据。 登录云堡垒机系统。 选择“系统 > 系统维护 > 配置备份与还原”。 单击“新建”创建备份,备份系统配置数据。 图1 创建备份 单击“下载”,导出系统配置文件保存于本地。 图2 下载备份文件 备份资源账户 因不同CBH系统认证密钥的不同,变更规格后
实例当前的运行状态,包含备机的运行状态。 实例类型 您选择的实例类型。 登录地址 当前实例的内网IP地址。 弹性IP 当前实例的公网IP地址。 计费模式 当前实例的计费模式。 企业项目 实例所属的企业项目。 在目标实例“操作”列单击“远程登录”,在弹窗页面选择登录实例的方式。 登
创建数据本地备份 为加强对系统数据的容灾管理,堡垒机支持配置日志备份,提高审计数据安全性和系统可扩展性。 本小节主要介绍如何创建系统本地备份。 注意事项 支持系统本地备份的日志包括系统登录日志、资源登录日志、命令操作日志、文件操作日志、双人授权日志。 系统本地备份创建成功后,会在系统数据盘生成一个日志文件。
在“告警等级配置”区域,单击“编辑”,弹出告警等级配置窗口。 根据各模块事件,配置不同消息类型的告警等级。 “告警等级”支持选择高、中、低。 单击“确定”,返回告警配置页面,即可查看已配置的告警信息。 父主题: 告警配置
略,解除对用户“来源IP”的限制。 检查云堡垒机实例关联的安全组,排查安全组的端口配置是否合理。建议按照CBH推荐端口,重新配置CBH安全组。 用户若通过Web浏览器方式登录资源,请手动添加安全组规则TCP协议443入方向。 检查云堡垒机所在内网关联的网络ACL ,排查ACL规则配置是否合理。
命令”等功能。用户在主机上执行的所有操作,被堡垒机记录并生成审计数据。 约束限制 FTP、SFTP、SCP、DB2、MySQL、Oracle、SQL Server协议类型资源,不支持批量登录。 手动登录账户和双人授权账户,不支持批量登录。 批量登录的多运维会话窗口,不支持“协同分享”功能。
新建系统公告 系统公告是对系统用户广播系统内重大变更的消息提醒。创建系统公告后,每个系统用户页面的顶部将会出现公告内容。 系统用户收到公告消息,单击“已阅”,可取消公告提醒。 约束限制 仅系统管理员admin可创建系统公告。 公告面向对象为全系统用户,不可指定用户。 一次仅能呈现一条系统公告。
实例列表 表2 实例的信息参数说明 参数 说明 实例名称 您自定义实例的名称,创建后不可编辑修改。 运行状态 实例当前的运行状态,包含备机的运行状态。 实例类型 您选择的实例类型。 登录地址 当前实例的内网IP地址。 弹性IP 当前实例的公网IP地址。 计费模式 当前实例的计费模式。 企业项目
安全(安全组和ACL)的限制。EIP为独立的弹性IP,对外访问的端口受网络安全限制,可能导致无法通过云堡垒机登录到主机。 故建议“主机地址”优先考虑配置同VPC网络下私有IP地址。 端口 输入主机的端口号,纳管的RDS实例的数据库端口请参考获取RDS实例的数据库版本、内网地址、数据库端口和管理员账户名获取。
实例列表 表1 实例的信息参数说明 参数 说明 实例名称 您自定义实例的名称,创建后不可编辑修改。 运行状态 实例当前的运行状态,包含备机的运行状态。 实例类型 您选择的实例类型。 登录地址 当前实例的内网IP地址。 弹性IP 当前实例的公网IP地址。 计费模式 当前实例的计费模式。 企业项目
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
