检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
信息。 表格内容需为文本格式。 表3 主机导入模板参数说明 参数 说明 名称 (必填)填入自定义主机资源名。 IP地址/域名 (必填)填入主机的IP地址或域名。 协议类型 (必填)选择主机资源的协议类型,仅能填写一种类型。 专业版支持协议类型有SSH、RDP、VNC、TELNET
选择“策略 > 命令控制策略 > 命令集”,进入命令集列表页面。 查询命令集。 快速查询:在搜索框中输入关键字,根据命令集名称、命令/参数等快速查询策略。 单击命令集名称,或者单击“管理”,进入命令集详情页面。 查看和修改命令集基本信息。 在“基本信息”区域,单击“编辑”,弹出基本
输入LDAP服务器上待过滤的用户。 “认证模式”选择“查询”时,参照表2配置相关参数。 仅V3.3.36.0及以上版本支持“查询”认证模式,如需使用此模式,请参照升级实例版本章节将系统版本升级至最新版本。 图3 查询模式 表2 LDAP域查询模式参数说明 参数 说明 服务器地址 输入LDAP服务器地址。
云审计服务(Cloud Trace Service,简称CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 开启了云审计服务后,系统开始记录云堡垒机实例的相关操作,云审计服务
变更规格完成后,系统管理员admin需逐个选择CBH系统导航树中的以下节点,验证变更规格后系统配置信息是否正确。 待验证系统配置信息,包括部门、用户、资源、策略、工单、审计、运维和系统配置等模块的信息,如表1。 表1 验证系统配置 一级节点 二级或三级节点 验证内容 部门 - 验证部门层级数、部门名称、用户数、主机数等配置信息。
执行日志”,进入快速运维执行日志列表页面。 查询日志。 在搜索框中输入关键字,根据执行参数,快速查询目标执行日志。 查看执行日志详情。 选择目标执行日志,单击“管理”,进入“执行日志详情”页面。 图1 执行日志详情页面 在“基本信息”区域,可查看运维任务执行基本信息和简要结果。 在“执行详情”区域,可查看运维任务执行详细结果。
(可选)勾选一个或多个系统登录日志。 若未勾选日志,默认导出全量历史登录日志。 右上角单击,任务创建成功,单击“去下载中心”查看打包进度为100%时,单击“操作”列的“下载”,下载文件到本地,打开本地文件,即可查看导出的系统登录日志信息。 导出系统操作日志 登录堡垒机系统。 选择“审计 > 系统日志”,进入系统日志列表页面。
基本原理:通过AD域系统终端代理使用第三方库执行认证业务。 IP:AD域服务器的IP地址。 端口:根据实际情选择,默认选择389端口。 域:AD域的域名。 系统AD域认证配置操作说明请参见配置AD认证。 RADIUS认证 管理员配置RADIUS系统认证方式,并创建RADIUS认证用户。使用
原因二:配置应用程序非云堡垒机默认支持的应用程序,不支持调用。 解决办法 修改“程序启动路径”配置 登录云堡垒机系统,在应用服务器详情页面,查看配置的应用“程序启动路径”。 登录Windows应用服务器,查询应用安装路径,获取程序exe启动路径。 对比路径是否一致。若不一致,则需修改配置的“程序启动路径”。 重新安装支持的应用程序
不能触发策略规则。详细设置说明和示例,请参考如下说明: 支持单命令格式。 如设置拒绝执行查询命令,即设置关联命令为ls,执行单命令操作时触发策略规则。 支持命令路径格式。 如设置动态授权查询日志,即设置关联命令为ls /var/log/,执行命令参数操作时触发策略规则。此时若执行ls
出方向 TCP 443 同一安全组内通过SSH客户端登录堡垒机 出方向 TCP 2222 短信服务 出方向 TCP 10743、443 DNS域名解析 出方向 UDP 53 通过堡垒机访问PGSQL数据库 入方向 TCP 15432 通过堡垒机访问PGSQL数据库 出方向 TCP 5432
根据本地Navicat客户端安装的绝对路径,选中Navicat工具的exe文件后,单击“打开”。 图2 查找本地工具绝对路径 返回SsoDBSettings单点登录工具配置界面,可查看已选择的Navicat客户端路径。 图3 确认配置路径 单击“保存”,返回堡垒机“主机运维”列表页面,即可登录数据库资源。
”,具体的获取方法请参见获取RDS实例的数据库版本、内网地址、数据库端口和管理员账户名。 说明: 若主机安装了AD域服务,添加的主机账户为域名\主机账户名,例如ad\administrator。 密码 输入主机账户对应的密码,即RDS实例的登录密码。 默认勾选“验证”,配置完成确定后,自动验证资源账户的状态。
源。 工单审批流程设置如表1所示,具体操作请参考工单配置。 表1 工单配置参数说明 参数 值 审批流程 分级流程 审批形式 多人审批 审批节点 用户所属部门-部门管理员 审批级数 3 审批流程 用户提起工单电子流,按用户所属部门申请访问资源。 大队管理员User A和User B
等保条例:应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; 云堡垒机支持查看实时会话、查看历史会话及查看查看系统日志的功能。 您可以在系统日志中查看系统登录日志,具体可细分为登录时间、登录用户、来源IP、日志内容、登录方式、登录结果和备注等内容。 图12
标签管理 查询租户在项目中的资源标签集合 查询堡垒机实例资源的标签信息 统计符合标签条件的实例数量 使用标签过滤实例 操作堡垒机实例资源标签 父主题: API说明
消息中心小窗口 单击“查看更多”,进入消息中心列表页面。 图2 消息中心列表 查询消息。 在搜索框中输入关键字,根据消息标题内容快速查询消息。 查看消息列表。 消息按发生时间顺序倒序排列,可查看全部已读、未读的消息 。 查看消息详情。 单击目标消息名称,进入消息详情页面。 可查看消息基本信息。
单击右上角,展开任务中心小窗口。 可查看最新三条“执行中”任务。 图1 任务中心小窗口 单击“查看更多”,进入任务中心列表页面。 图2 任务中心列表 查询任务。 在搜索框中输入关键字,根据任务标题内容快速查询任务。 查看任务列表。 在任务列表可以查看到正在进行的任务、已完成的任务和被停止的任务。 查看任务详情。
通过SSH客户端运维、客户端文件传输和数据库运维仅支持文本审计,不支持视频审计。 视频仅可回放有效会话记录,即登录资源到最后一次会话操作的这一段记录。 生成视频后,视频将缓存在系统空间,占用系统存储空间,建议及时将视频保存在本地并清理磁盘空间,或者通过变更版本规格扩大系统盘空间,不同资产的规格差异请参考规格差异。
查看监控指标 您可以通过管理控制台,查看CBH的相关指标,及时了解堡垒机防护状况,并通过指标设置防护策略。 前提条件 CBH已对接云监控,即已在云监控页面设置监控告警规则。有关设置监控告警规则的详细操作,请参见设置监控告警规则。 操作步骤 登录管理控制台。 单击管理控制台左上角的,选择区域。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
