检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
任务中心 任务中心是系统执行任务接收状态提示管理中心。 任务类型:导入用户、导入主机、导入云主机、导入应用、导入应用服务器、导入账户、账户改密、AD域同步、系统维护(升级和还原)、生成视频、账户同步、账户验证、配置备份、自动运维、导入动态令牌、安装Agent。 任务状态共有3种,
26.0及以上的版本需要执行该操作,“V3.3.26.0”之前的版本不执行本章节的相关操作。 选择“管理模板 > 系统 > Internet 通信管理”,进入“Internet 通信管理”页面。 双击“关闭自动根证书更新”,打开设置窗口。 勾选“已启用”,启用关闭自动根证书更新。 单击“确定”,完成设置。
”需勾选“文件管理”才会生效。 勾选代表允许对文件上传或下载; 不勾选代表禁止对文件上传或下载。 更多选项 在运维过程中管理文件或文件夹权限,RDP剪切板、键盘审计和会话窗口显示水印功能。 说明: SSH和RDP协议主机支持文件管理。 VNC协议主机不能直接文件管理,但可通过应用发布方式实现文件管理。
把文件夹打包成压缩文件,再进行上传/下载。 排查是否配置了上传/下载权限 未开启资源“文件管理权限”,也未授权用户“文件管理”的上传/下载权限。 开启资源“文件管理”权限。 授权用户“文件管理”的上传/下载权限。 排查浏览器的缓存空间 浏览器的缓存空间不足 用户手动清理浏览器缓存空间后,再次上传。
26.0及以上的版本需要执行该操作,“V3.3.26.0”之前的版本不执行本章节的相关操作。 选择“管理模板 > 系统 > Internet 通信管理”,进入“Internet 通信管理”页面。 双击“关闭自动根证书更新”,打开设置窗口。 勾选“已启用”,启用关闭自动根证书更新。 单击“确定”,完成设置。
动态授权是授权用户运维操作触发规则集,系统对字符命令或数据库会话操作进行拦截,自动生成授权工单。授权用户若需继续执行操作,需管理员批准工单。 以命令控制策略的动态授权为例。 管理员用户登录云堡垒机,选择“策略 > 命令控制策略”,新建字符(SSH或Telnet)命令集和命令控制策略。 命令控制策略“执行动作”需选择“动态授权”。
查看系统报表 运维用户登录堡垒机系统,以及在系统内进行操作后,审计管理员可查看系统详细报表,主要涵盖“用户控制”、“用户与资源操作”、“用户源IP数”、“用户登录方式”、“异常登录”、“会话控制”、“用户状态”等趋势图和详细数据。 约束限制 趋势图最多呈现连续180天系统统计数据变化趋势。
单击“确定”,返回策略列表页面,查看新建的同步账户策略。 账户同步策略执行后,可以下载执行日志,获取同步的资源账户信息。 后续管理 账户同步策略创建完成后,可在策略列表页面,管理已创建策略,包括管理关联资源、删除策略、启停策略、立即执行策略等。 若需补充关联资源,可单击“关联”,快速关联资源账户、账户组。
功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 开启了云审计服务后,系统开始记录云堡垒机实例的相关操作,云审计服务管理控制台将保存最近7天的操作记录。云审计服务支持的CBH实例操作参考表1。 表1 支持CBH实例操作列表 操作名称 资源类型 事件名称 创建堡垒机
可能原因 云堡垒机系统限制了用户IP地址或MAC地址登录,用户登录IP地址或MAC地址被设置了登录黑名单,不能登录云堡垒机系统。 解决办法 请管理员排查用户登录限制配置,查看是否配置“登录IP地址限制”和“登录MAC地址限制”白名单或黑名单。 若配置了白名单,请根据配置的IP/MAC地址,使用配置范围内的服务器登录。
据,以防因升级失败而影响使用,备份说明请参见备份CBH数据。 操作步骤 登录管理控制台。 单击左上角的,选择区域或项目,在页面左上角单击,选择区域,选择“安全与合规 > 云堡垒机”,进入云堡垒机实例管理页面。 图1 实例列表 表1 实例的信息参数说明 参数 说明 实例名称 您自定义实例的名称,创建后不可编辑修改。
略,动态识别并拦截高危命令(包括删库、修改关键信息、查看敏感信息等),中断数据库运维会话。同时自动生成数据库授权工单,发送给管理员进行二次审批授权。只有管理员审批工单授权执行操作后,运维用户才能执行该高危操作,继续数据库运维会话。 约束限制 目前仅支持二次审核MySQL或Oracle数据库的执行命令。
CBH最佳实践汇总 本文汇总了云堡垒机(CBH)服务的常见应用场景的操作实践,并为每个场景提供详细的方案描述和操作指南,以帮助您使用CBH快速管理资源。 CBH最佳实践 表1 CBH最佳实践 分类 相关文档 变更规格 变更云堡垒机规格 高危操作的复核审批 数据库运维高危操作的复核审批
使用客户端登录堡垒机 客户端登录是在不改变用户原使用客户端习惯的条件下,可对授权资源进行运维管理。运维人员可选择使用SSH客户端和MSTSC客户端直接登录运维资源。 通过SSH客户端登录支持的登录方式包括静态密码、公钥登录、手机短信、手机令牌、动态令牌等。 通过MSTSC客户端登录仅支持静态密码的登录方式。
的运维日志,为审计运维和代运维人员的操作行为,提供有效监控,减少网上安全事故,助力企业长久稳定发展。 大量资产和人员管理场景 随着民生政务和传统企业集团的上云管理,云上人员账户数量不断增加,以及云上服务器、网络设备等资产数量也成倍增长。同时很多企业为解决人力不足的问题选择把系统运
在操作CBH前请仔细阅读,避免出现网络安全事件。 账户管理 云堡垒机系统的系统管理员默认账号为admin,登录密码为申请实例时自定义设置的密码。 在首次登录云堡垒机系统后,请按照系统提示修改密码,否则无法进入系统运行页面。 密码管理 为充分保证安全,建议您设置的各类密码满足以下要求:
况下,不限制用户使用个人网盘,个人网盘空间可无限使用。 前提条件 用户已获取“系统”模块管理权限。 操作步骤 登录云堡垒机系统。 选择“系统 > 数据维护 > 存储配置”,进入系统存储配置管理页面。 查询“网盘空间”区域“个人网盘空间”和“网盘总空间”配置项。 “个人网盘空间”和
查看历史会话 运维人员通过堡垒机登录资源运维结束后,审计管理员将会收到历史会话记录。通过历史会话记录,可查询详细的操作记录,在线审计历史会话。 约束限制 通过Web运维支持文本和视频审计。 通过SSH客户端运维、客户端文件传输和数据库运维仅支持文本审计,不支持视频审计。 不支持记录资源账户自动巡检的登录资源数据。
云堡垒机支持备份哪些系统数据? 为加强对数据的容灾管理,云堡垒机支持手动备份和自动备份,提高审计数据安全性和系统可扩展性。 版本升级前,如何备份云堡垒机系统中的数据,请参考版本升级前,如何备份云堡垒机系统中数据?。 手动备份 通过手动导出/下载各功能模块数据文件保存在本地,可手动备份日志请参见表1。
查看运维报表 运维用户通过堡垒机登录资源,以及进行运维操作后,审计管理员可查看运维详细报表,主要涵盖“运维时间分布”、“资源访问次数”、“会话时长”、“来源IP访问数”、“会话协同”、“双人授权”、“命令拦截”、“字符命令数”和“传输文件数”等趋势图和详细数据。 约束限制 趋势图
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
