检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
错误次数超过系统设置的次数限制后,用户“来源IP”、“用户+来源IP”或“用户”账号将被锁定。 本小节主要介绍如何配置用户登录安全锁,包括修改锁定方式、锁定时长、可尝试密码次数等。 前提条件 用户已获取“系统”模块管理权限。 操作步骤 登录堡垒机系统。 选择“系统 > 系统配置 >
审计与日志 审计 云堡垒机系统用户个人数据的所有操作,包括增加、修改、查询和删除,云堡垒机系统都会记录审计日志,并可备份到远程服务器或本地电脑。拥有审计权限用户可以查看并管理下级管理部门用户账号的日志,系统管理员Admin拥有系统最高权限,可查看并管理登录系统全部用户账号操作记录。
堡垒机赠送的短信服务有以下限制: 1分钟内发送短信不超过1条。 1小时内发送短信不超过5条 。 1天内发送短信不超过15条。 如果不够使用的话,建议修改短信网关配置,设置为“自定义”短信网关,详细操作请参见配置短信外发。 父主题: 系统配置类
首次登录系统时,系统会强制用户修改密码。 手动重置,可手动设置不同的用户登录密码。 导出用户列表。 勾选需导出的用户,单击“导出”,导出用户信息。如果不选择,则默认导出全部用户。 图3 导出全部用户 配置用户密码。 将用户信息文件保存到本地,手动修改“用户登录名”对应的“密码明文”,并保存。
查看历史会话 运维人员通过堡垒机登录资源运维结束后,审计管理员将会收到历史会话记录。通过历史会话记录,可查询详细的操作记录,在线审计历史会话。 约束限制 通过Web运维支持文本和视频审计。 通过SSH客户端运维、客户端文件传输和数据库运维仅支持文本审计,不支持视频审计。 不支持记录资源账户自动巡检的登录资源数据。
信息。 批量修改用户登录配置 登录堡垒机系统。 在左侧导航树中,选择“用户 > 用户管理”,进入用户列表页面。 勾选待修改配置的用户账号,单击左下角“更多”,展开批量操作项。 批量修改或取消多因子认证配置。 单击“修改多因子认证”,弹出多因子认证修改窗口。 图1 修改账号多因子认证方式
运维人员登录堡垒机系统,执行配置权限、审计管理等操作后,审计管理员将会收到系统日志记录。通过系统日志记录,可查询详细的系统登录和操作记录,在线审计系统日志。系统日志包括系统登录日志和系统操作日志两部分。 前提条件 已获取“系统登录日志”或“系统操作日志”模块管理权限。 导出系统登录日志
该安全组中访问规则的保护。详细介绍请参见安全组简介。 云堡垒机可与资源主机ECS等共用安全组,各自调用安全组规则互不影响。 如需修改安全组,请参见更改安全组章节。 在创建HA实例前,需要安全组在入方向中放通22、31036、31679、31873这四个端口。 堡垒机创建时会自动开
反馈后,重置admin登录验证为初始状态,而不改变系统其它配置。 当系统非admin用户未绑定手机令牌时,系统管理员admin可为目标用户修改登录“多因子认证”方式。详细操作请参见配置用户登录限制。 父主题: 多因子认证类
钥。 修改SSH公钥 登录堡垒机系统。 选择右上角用户名,单击“个人中心”,进入个人中心管理页面。 图5 个人中心页面 选择“SSH公钥”页签,进入个人SSH公钥管理页面。 图6 个人SSH公钥 在目标SSH公钥“操作”列,单击“编辑”,弹出编辑个人SSH公钥窗口。 可修改公钥名称和SSH公钥。
若工单被管理员驳回,可修改工单信息后再次提交工单。 图3 已提交工单状态 撤回工单。 单击指定工单“操作”列的“撤回”,即可取消已提交的工单申请,工单状态变为“已撤回”。 修改工单信息。 单击“管理”,进入工单详情页面,即可查看工单基本信息。 单击工单详情页面编辑,即可修改工单授权运维时间。
若工单被管理员驳回,可修改工单信息后再次提交工单。 撤回工单。 单击指定工单“操作”列的“撤回”,即可取消已提交的工单申请,工单状态变为“已撤回”。 修改工单信息。 单击“管理”,进入工单详情页面,即可查看工单基本信息。 单击工单详情页面编辑,即可修改工单授权运维时间。 “审批
查看和修改命令集基本信息。 在“基本信息”区域,单击“编辑”,弹出基本信息编辑窗口,即可修改命令集的基本信息。 可修改信息包括“命令集名称”,“部门”不可修改。 查看和修改命令参数。 在“命令”区域,单击“添加”,弹出添加命令窗口,可立即添加预置的命令参数。 单击“移除”,可立即删除该命令参数。 删除命令集
确认无误,单击“确定”,标签修改完成。 删除标签 登录管理控制台。 单击左上角的,选择区域或项目,在页面左上角单击,选择区域,选择“安全与合规 > 云堡垒机”,进入云堡垒机实例管理页面。 图3 实例列表 表3 实例的信息参数说明 参数 说明 实例名称 您自定义实例的名称,创建后不可编辑修改。 运行状态
启停用户 堡垒机系统用户快速管理,支持一键批量“启用”或“禁用”其他用户,修改用户账号使用状态。 系统管理员admin默认保持“已启用”状态,不支持禁用admin用户。 启用 默认为启用,用户状态为“已启用”,用户在权限范围内可正常使用。 禁用 用户状态为“已禁用”。用户账号被禁
导出用户信息 堡垒机支持批量导出用户信息,用于本地备份用户配置,以及便于快速修改用户基本信息。 约束限制 支持导出用户登录名、认证类型、认证服务器、用户姓名、手机号码、邮箱、角色、所属部门、用户组等基本信息。 为保障用户账号安全,账号登录密码不支持导出。 前提条件 已获取“用户”模块操作权限。
泄露风险。 账户自动改密 通过设置改密策略,可定时定期修改账户密码,确保资源的账户安全。 账户自动同步 通过设置账户同步策略,可定时定期核查和同步主机资源账户,包括拉取主机账户统计异常系统资源账户,以及推送系统新建、删除、修改的资源账户到主机,确保资源账户健康生存周期。 批量管理
在列表下方选择“更多 > 修改多因子认证”。 在弹窗中勾选邮箱认证为目标账户登录堡垒机实例的认证方式。 如果目标账户已有其他登录认证方式需继续使用,则需要一并勾选。 如果需要对目标账户所属部门的所有账户或下属部门所有账户一并添加邮箱认证,勾选“修改全部”即可。 单击“确定”,完成添加,添加后可在“用户
户组、维护账户组资源,管理账户组信息、删除账户组等。 账户组与部门挂钩,不属于个人。当前登录用户新建的账户组默认放在登录用户部门下,不支持修改部门。上级部门拥有“账户组”管理权限用户可查看下级部门的所有账户组信息,反之不能,同级之间的账户组可相互查看。 上级部门管理员为下级部门账
系统配置概述 系统配置包括安全、网络、端口、外发、认证、工单、告警、审计、HA备份等配置。为确保系统安全运行,默认仅系统管理员admin可修改系统配置,整体管理系统运行状况。 安全配置,详情请参见登录安全管理。 网络配置,详情请参见系统网络配置。 端口配置,详情请参见系统端口配置。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
