检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
用户被授予的策略中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先原则。 如果您给用户授予“CBH FullAccess”的系统策略,但不希望用户拥有“CBH FullAccess”中定义的重启云堡垒机的权限,您可以创建一条拒绝重启云堡垒机的自定义策略,然后同时将“CBH
系统运维审计 基于用户身份系统唯一标识,从用户登录系统开始,全程记录用户在系统的操作行为,监控和审计用户对目标资源的所有操作,实现对安全事件的实时发现与预警。 Linux命令审计:基于字符协议(SSH、TELNET)的命令操作审计,记录命令运维全程,支持解析字符操作命令,还原操作指令,根据输入、输出结果关键字搜索快速定位回放。
双人授权即金库授权模式。配置双人授权后,运维人员若需访问核心资源,要求管理员现场授权认证,通过认证后才能访问核心资源。即使运维人员账号丢失,也不会泄露核心资源信息,降低运维风险,保障核心资产安全。 约束限制 授权候选人仅可选择本部门及上级部门的部门管理员,包括系统管理员admin。 前提条件 已获取“访问控制策略”模块操作权限。
云堡垒机系统有哪些安全加固措施? 云堡垒机有完整的安全生命周期管理,从系统开发过程的安全编码规范,到经过严格安全漏洞扫描、渗透测试等安全性测试,并通过了公安部门的安全检测,符合“网络安全法”等法律法规,满足合规性规范审查要求,达到信息安全等级评定Ⅲ级标准。 系统数据安全 登录安全
个字符。 规则要求:可设置英文大写字母(A~Z)、英文小写字母(a~z)、数字(0~9)和特殊字符,且需同时包含其中三种。 不能设置为用户名或倒序的用户名。 建议定期修改密码,以提高登录账户的安全性。 特性声明 您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中
100GB 4000GB 表 不同规格配置说明中的“并发数”是基于字符协议客户端运维(如SSH客户端、MySQL客户端)的并发数,基于图形协议运维(如H5 Web运维、RDP客户端运维)的并发数只有该值的1/3。 版本差异 标准版和专业版的基础功能均支持身份认证、权限控制、账户管理、
合规证书 华为云服务及平台通过了多项国内外权威机构(ISO/SOC/PCI等)的安全合规认证,用户可自行申请下载合规资质证书。 图1 合规证书下载 资源中心 华为云还提供以下资源来帮助用户满足合规性要求,具体请查看资源中心。 图2 资源中心 销售许可证&软件著作权证书 另外,华为
在“产品类”区域,单击“更多工单产品分类”,选择“安全与合规 > 云堡垒机”。 选择问题类型后,单击“新建工单”,根据您的需求,填写相关参数。 其中,“问题描述”请填写相关内容和申请原因,提供对应区域的“项目ID”和需要增加的CBH实例配额数。 “项目ID”获取方法请参考我的凭证。 填写完毕后,勾选协议并单击“提交”。
验证工单基本模式、审批流程等配置信息。 告警配置 验证告警方式、告警等级等配置信息。 存储配置 验证自动删除功能的配置信息。 日志备份 验证远程备份至Syslog服务器、远程备份至FTP/SFTP服务器的配置信息。 配置备份与还原 验证自动备份配置信息。 父主题: 变更规格后验证
1天内发送短信不超过15条。 配置手机短信认证 管理员登录云堡垒机系统。 选择“用户 > 用户管理”。 单击待修改的用户登录名,或者单击相应“管理”,进入“用户详情”页面。 单击“用户配置”区域的“编辑”,修改用户的登录配置。 配置“多因子认证”为“手机短信”。 单击“确认”,完成用户“手机短信”双因子认证配置。
即系统个人网盘。当用户个人网盘空间内存不足时,可由管理员配置“个人网盘空间”,来解决个人网盘内存空间不足的问题。 设置“个人网盘空间”后,默认为系统每个用户预置相同大小的个人网盘空间。 设置“个人网盘空间”和“网盘总空间”为零,表示在系统数据盘内存充足情况下,不限制用户使用个人网盘,个人网盘空间可无限使用。
符合“网络安全法”等法律法规,满足合规性规范审查要求。 满足《萨班斯法案》和《等级保护》系列文件中的技术审计要求; 满足金融监管部门的技术审计要求; 满足各类法令法规(如SOX、PCI、企业内控管理、等级保护、ISO/IEC27001等)对运维审计的要求。
操作步骤 登录堡垒机系统。 选择“系统 > 数据维护 > 存储配置”,进入系统存储配置管理页面。 在“存储概览”区域,即可查看系统分区和数据分区的空间使用情况。 图1 存储空间概览 父主题: 数据维护
/var/log/secure 执行以下命令,编辑“/etc/hosts.deny”文件,删除云堡垒机的IP。 vim /etc/hosts.deny (可选)将CBH的IP加入白名单。 执行以下命令,编辑Linux主机的“/etc/hosts.allow”文件,允许所有IP地址登录,避免影响云堡垒机正常使用。
否 Array of Match objects 搜索字段,key为要匹配的字段,如resource_name等。 value为匹配的值。key为固定字典值,不能包含重复的key或不支持的key。 根据key的值确认是否需要模糊匹配,如resource_name默认为模糊搜索(不区
设置完成后,符合部门和角色要求的用户自动成为节点审批人。如果没有符合部门和角色要求的用户,则自动向上级部门内寻找,直到找到“总部”为止。 部门属性:“用户所属部门”为工单申请人所属部门的管理员;“资源所属部门”为工单申请资源所属部门的管理员。 角色属性:需要拥有管理员和工单审批权限的角色,默认为部门管理员。
新建账户同步策略 账户同步策略用于对主机资源账户自动同步,管理主机上资源账户,及时发现僵尸账户或未纳管账户,加强对资源的管控。 账户同步策略支持以下功能项: 支持通过策略手动、定时、周期同步主机上资源账户。 支持拉取目标主机上账户,判断账户的可用情况,并更新系统资源账户状态。 支
勾选需要创建账户的多台主机,单击下方的“更多 > 添加账户”。 只支持协议类型相同的主机。 填写添加的账户信息,如表3所示。 表3 批量添加资源账户参数 参数名称 参数说明 登录方式 选择创建的账户的登录方式。 自动登录 手动登录 CSMS凭证登录 提权登录 主机账户 添加账户的名称,可自定义。
开启,表示启用SSL加密认证,将加密同步用户或认证用户所传输的数据。 模式 选择“同步模式”。 端口 AD域远程服务器的接入端口,默认389端口。 登录名 输入AD域服务器的账户的登录名。 密码 输入AD域服务器的账户的密码。 域 输入AD域的域名。 Base DN 输入AD域远程服务器上的基准DN。 部门过滤 输入AD域远程服务器上待过滤的部门。
(可选)设置加密密码:可选择设置。不设置,下载的应用服务器文件为未加密的CSV格式;设置密码,下载的应用服务器文件为加密的ZIP格式。 (必选)用户密码:输入当前用户的登录密码,验证通过才允许导出应用服务器信息,确保资源账户密码安全。 单击“确定”,即可下载CSV格式文件或加密的ZIP格式文件保存到本地。 批量导出应用资源信息
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
