检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
更新系统Web证书 堡垒机Web证书是验证系统网站身份和安全的SSL(Secure Sockets Layer)证书,遵守SSL协议的服务器数字证书,并由受信任的根证书颁发机构颁发。
由于堡垒机无法校验启用了ssl的数据库,连接GaussDB时,需要在DBeaver禁用ssl,将sslmode设置成disable。 仅支持通过SsoDBSettings单点登录工具调用客户端。 仅支持调用部分数据库客户端,详情请参见下表。
SSL 选择开启或关闭SSL加密认证,默认。 ,表示禁用SSL加密认证。 ,表示启用SSL加密认证,将加密同步用户或认证用户所传输的数据。 模式 选择“认证模式”。 端口 AD域远程服务器的接入端口,默认389端口。 域 输入AD域的域名。
图1 Safari浏览器限制 更新系统SSL证书 系统默认配置安全的自签发证书,受限于自签发证书的认证保护范围和认证保护时间限制,用户可替换证书。但当证书过期或安全扫描不通过时,用户需更新证书才能确保系统安全。 建议您申购可信任的SSL证书,并及时更新系统Web证书。
SSL 选择开启或关闭SSL加密认证,默认。 ,表示禁用SSL加密认证。 ,表示启用SSL加密认证,将加密同步用户或认证用户所传输的数据。 端口 输入LDAP远程服务器的接入端口,默认389端口。 模式 选择“认证模式”或“同步模式”。
PC端到堡垒机:15432 堡垒机到数据库:PGSQL数据库的端口 如果通信正常,确认PGSQL启用ssl,在DBeaver中禁用ssl。 打开DBeaver客户端,进入“数据库 > 驱动管理器”单击“编辑”选择“连接属性”添加属性:sslmode,参数值为disable。
原因六:配置AD域认证时,未禁用SSL加密认证。 原因七:堡垒机版本较低。 解决办法 原因一: 定期“手动删除”指定日期前的日志、视频等历史数据。设置磁盘空间满时日志“自动删除”,保证磁盘有足够空间。详细配置说明请参见存储配置。 对云堡垒机实例进行规格变更,满足大容量磁盘需求。
选择“资源 > 主机管理”,新建已生成SSH Key的主机资源。 已被纳管的目标主机,可单击“管理”,在主机信息详情页“添加”资源账户。 单击“新建”配置SSH主机资源,配置“主机账户”和“密码”。
Gaussdb开启ssl配置,在DBeaver中配置ssl禁用。 打开DBeaver客户端,选择“数据库 > 驱动管理器 > PostgreSQL”单击“编辑”选择“连接属性”,添加属性sslmode,参数值为disable。 配置工作空间。
选择“稍后为SSL加密选择证书”,单击“下一步”。 选择“以后”,单击“下一步”。 默认,单击“下一步”。 选择“角色服务”,勾选“网络策略服务器”,单击“下一步”。 安装IIS,单击“下一步”。 默认,单击“下一步”。 默认,单击“安装”。 界面显示安装过程,请等待。
SSL 选择开启或关闭SSL加密认证,默认关闭。 关闭,表示禁用SSL加密认证。 开启,表示启用SSL加密认证,将加密同步用户或认证用户所传输的数据。 模式 选择“同步模式”。 端口 AD域远程服务器的接入端口,默认389端口。 登录名 输入AD域服务器的账户的登录名。
表2 Solution as Code一键式部署类最佳实践汇总 场景类型 一键式部署方案 说明 相关服务 等保 等保三级解决方案 该解决方案依托华为云自身安全能力与安全合规生态,为用户提供一站式的等保三级安全解决方案 WAF、HSS、SCM、SA、MTD、CFW、CBH、DBS、CodeArts
通过SSH客户端登录资源进行运维 通过SSH客户端登录堡垒机纳管资源,在不改变用户原来使用SSH客户端习惯的前提下,对授权云主机资源进行运维管理,并且支持系统的命令拦截策略和运维审计功能。
配置SSH控制台端口 SSH控制台端口是通过SSH客户端登录堡垒机的访问端口,默认端口号22。 默认端口修改后,需同时修改实例安全组配置的端口。 本小节主要介绍如何管理系统SSH控制台端口。 前提条件 已获取“系统”模块管理权限。 操作步骤 登录堡垒机系统。 选择“系统 > 系统配置
管理个人SSH公钥 用户个人SSH公钥是用在SSH客户端免密登录系统。 约束限制 仅支持OpenSSH公钥。 添加SSH公钥 登录堡垒机系统。 选择右上角用户名,单击“个人中心”,进入个人中心管理页面。 图1 个人中心页面 选择“SSH公钥”页签,进入个人SSH公钥管理页面。
上传下载到本地的证书文件。 证书文件上传成功之后,输入keystore密码,证书密码验证文件。 单击“确定”,返回安全配置管理页面,查看当前系统Web证书信息。 证书信息更新之后,为了使证书有效,通过华为云控制台或者堡垒机系统工具重启堡垒机系统。 查看证书信息无误,更新完成。
配置HOST_B资源 云堡垒机管理员用户为运维员admin_A配置主机HOST_B运维的权限。 选择“资源 > 主机管理”。 单击“新建”,新建一个FTP/SFTP协议主机HOST_B。 “协议类型”选择FTP或SFTP。为了提高安全性,建议采用SFTP。
SSO运维故障 DBeaver配置自定义驱动连接GaussDB数据库 配置DBeaver连接GaussDB数据库 mysql协议访问数据库,执行备份数据库表提示1251-lost connection to mysql server during query mysql主机运维失败
登录安全管理 配置用户登录安全锁 配置登录密码策略 配置Web登录超时和登录验证 更新系统Web证书 配置手机令牌类型 配置USB Key厂商 配置用户禁用策略(V3.3.30.0及以上版本) 配置RDP资源客户端代理(3.3.26.0及以上版本) 开启国密配置(V3.3.34.0
选择“管理模板 > 系统 > Internet 通信管理”,进入“Internet 通信管理”页面。 双击“关闭自动根证书更新”,打开设置窗口。 勾选“已启用”,启用关闭自动根证书更新。 单击“确定”,完成设置。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
