检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Key验证。 配置后优先使用SSH Key登录资源。 Passphrase SSH Key对应私钥序列,可选择配置。 未生成私钥密码情况下,登录主机无需输入密码。 已生成私钥密码情况下,每次登录主机需手动输入私钥密码。 账户描述 对资源账户的简要描述。 未配置主机账户和密码时,默认创建
单击“正常速度”,可配置会话多倍速率播放。可分别选择正常速度、2X速度、4X速度、8X速度、16X速度。 会话截屏。 单击,可立即截取播放的会话窗口,生成本地PNG格式快照。 会话播放列表。 单击,展开会话窗口右侧的播放列表,可选择播放历史会话。 在搜索框输入登录名或资源账户名,搜索目标历史会话。
配置主备节点HA备份信息。 表1 启用HA配置参数说明 参数 说明 热备初始角色 选择主节点或备节点。 必须先配置主节点的堡垒机。 HA群组验证密钥 系统自动生成,用于双机互相验证。 配置主节点HA参数时,需记录HA群组验证密钥,并配置到备节点。 取值范围是8~20位的数字或字母。 备节点IP地址
命令授权工单提交方式 选择命令授权工单提交方式,可选择手动提交或自动提交。 默认为手动提交。 手动提交:触发生成命令控制工单后,需运维人员提交工单至管理员处审批。 自动提交:触发生成命令控制工单后,自动提交至管理员处审批。 单击“确认”,返回工单配置管理页面,可查看已配置的基本工单模式配置。
创建用户 身份鉴别信息是否具有复杂度要求并定期更换:云堡垒机支持“手动执行”、“定时执行”、“周期执行”三种改密执行方式,还支持“生成不同密码”、“生成相同密码”、“指定相同密码”三种改密方式。具体操作详见云堡垒机改密策略。 图6 改密策略 等保条例:应采用口令、密码技术、生物技术
登录安全:镜像加密,SSH远程登录安全加固,内核参数安全加固,系统账户口令使用强密码并且默认登录失败超过3次将锁定登录。 数据安全:敏感信息加密存储,系统根密钥独立动态生成。 应用安全:防SQL注入攻击、防CSV注入攻击、防XSS恶意攻击、API接口认证机制。 系统安全 系统全自动化安装,LUKS加密用户系统数据盘。
理?。 单击“确定”,配置完成。 配置完成后,需要在云日志服务(LTS)中完成以下操作: 新建主机组,将堡垒机添加入主机组中。 配置堡垒机生成的日志路径。堡垒机启用LTS后,日志路径地址为:/opt/lts_log。 父主题: 外发配置
Host,CBH),通过设置数据库控制策略,设置预置命令执行策略,动态识别并拦截高危命令(包括删库、修改关键信息、查看敏感信息等),中断数据库运维会话。同时自动生成数据库授权工单,发送给管理员进行二次审批授权。只有管理员审批工单授权执行操作后,运维用户才能执行该高危操作,继续数据库运维会话。 约束限制
被管理员强制断开!” 动态授权:触发该策略规则后,拒绝执行该命令,界面提示“命令“xxx”已被拦截,请提交命令授权工单申请动态授权”,同时生成命令授权工单。用户需提交工单,并审核通过后,才能继续执行该命令。 约束限制 仅SSH和Telnet协议类型的Linux主机,支持命令控制策略设置操作细粒度控制。
SSH协议类型主机资源配置SSH Key后,需优先使用SSH Key登录。 手动登录 在新建资源时选择“手动登录”方式或选择“以后添加”账户,生成“[Empty]”资源账户,即未配置主机或应用账户名和密码。 运维人员访问资源时,需要输入主机或应用的账户名和相应密码登录资源。 提权登录
运维操作全程记录,详细记录历史运维会话信息,支持一键导出历史会话日志。 会话视频 支持对Linux命令审计、Windows操作审计全程录像记录,回放录像视频。 支持生成视频文件,一键下载会话视频。 运维报表 集中可视化呈现运维统计信息,包括运维时间分布、资源访问次数、会话时长、双人授权、命令拦截、字符数命令、传输文件数等信息。
“自动巡检”在每月5号、15号、25号的凌晨一点,启动验证所有纳管的主机资源账户。验证完成后,系统管理员admin会收到验证结果消息(消息中心),不会生成任务。 实时验证 登录堡垒机系统。 选择“资源 > 资源账户”,进入资源账户列表页面。 勾选指定账户,单击列表下方的“验证”,弹出验证配置框。
华为云账户中支付,而不需要客户手动去进行支付。 1:是(会自动选择折扣和优惠券进行优惠,然后自动从客户华为云账户中支付),自动支付失败后会生成订单成功(该订单应付金额是优惠后金额)、但订单状态为“待支付”,等待客户手动支付(手动支付时,客户还可以修改系统自动选择的折扣和优惠券)
华为云账户中支付,而不需要客户手动去进行支付。 1:是(会自动选择折扣和优惠券进行优惠,然后自动从客户华为云账户中支付),自动支付失败后会生成订单成功(该订单应付金额是优惠后金额)、但订单状态为“待支付”,等待客户手动支付(手动支付时,客户还可以修改系统自动选择的折扣和优惠券)
运维任务 支持 - CSV “专业版”支持导出单个“运维任务”执行日志。 历史会话 支持 支持 CSV,MP4 支持导出多条历史会话,同时支持生成并下载单个会话视频。 系统日志 支持 - CSV - 运维报表 支持 - PDF、DOC、XLS、HTML “运维报表”支持文本格式导出。
管理员强制断开!” 动态授权:触发该策略规则后,拒绝执行该操作,界面提示“操作“xxx”已被拦截,请提交数据库授权工单申请动态授权”,同时生成数据库授权工单。用户需提交工单,并审核通过后,才能继续执行该命令。 约束限制 仅专业版堡垒机支持数据库运维操作审计。 仅针对MySQL、O
运维操作全程记录,详细记录历史运维会话信息,支持一键导出历史会话日志。 会话视频 支持对Linux命令审计、Windows操作审计全程录像记录,回放录像视频。 支持生成视频文件,一键下载会话视频。 运维报表 集中可视化呈现运维统计信息,包括运维时间分布、资源访问次数、会话时长、双人授权、命令拦截、字符数命令、传输文件数等信息。
创建用户并授权使用CBH实例 如果您需要对您所拥有的云堡垒机(Cloud Bastion Host,CBH)服务进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,IAM),通过IAM,您可以: 根据企业的业务组织,在您的
云容器引擎-成长地图 | 华为云 云堡垒机 云堡垒机(Cloud Bastion Host,CBH)是华为云的一款4A统一安全管控平台,为企业提供集单点登录、统一资产管理、多终端访问协议、文件传输、会话协同等功能于一体的运维管理服务。 进入控制台 图说CBH 全景图 立即使用 成长地图
更新系统Web证书 堡垒机Web证书是验证系统网站身份和安全的SSL(Secure Sockets Layer)证书,遵守SSL协议的服务器数字证书,并由受信任的根证书颁发机构颁发。 堡垒机系统默认配置安全的自签发证书,但受限于自签发证书的认证保护范围和认证保护时间,用户可替换证书。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
