注册 登录
美国中文网首页 博客首页 美食专栏

网时鱼的个人空间 //www.sinovision.net/?547228 [收藏] [复制] [分享] [RSS]

x

博客栏目停服公告

因网站改版更新,从9月1日零时起美国中文网将不再保留博客栏目,请各位博主自行做好备份,由此带来的不便我们深感歉意,同时欢迎 广大网友入驻新平台!

美国中文网

2024.8.8

分享到微信朋友圈 ×
打开微信,点击底部的“发现”,
使用“扫一扫”即可将网页分享至朋友圈。

堡垒机的使用方法之一——关键配置

已有 1096 次阅读2018-4-19 06:27 |系统分类:科技教育| 堡垒机, 堡垒机的使用 分享到微信

堡垒机在安全运维中的主要功能是,通过堡垒机进行事前资源授权,事中录像监控,事后指令审计,来保障自身数据安全,那么我们要如何使用堡垒机

从安全运维的角度来看,资源授权满足了主机层面的安全管理需求,但是一旦登录到主机后,团队成员便可对该台主机进行任何的操作,所以团队成员在登录主机前、后,都处于行云管家堡垒机安全监管之下。在行云管家中,把这些安全性更高的主机叫做关键设备,展开菜单选择“安全审计/关键设备运维策略”,进入【相应的策略】功能设置。

关键配置

审计录像: 访问运维策略里的关键设备时,是否强制进行审计录像。这里需要注意,在云账户中也存在该项设置,而一台主机访问时是否强制录像,同时受到它所在的云账户和运维策略的设置影响,只要其中有一个设置为“强制录像”,那么访问时即会进行强制录像;

审计录像

会话水印:行云管家堡垒机会话水印功能,是将访问该服务器的运维人员的账号等信息,以半透明水印的方式印在服务器远程桌面会话窗口上,当远程桌面会话窗口被录像、截屏、拍照,运维人员的信息也会被一并记录,方便事后回溯追责。

会话水印

双因子认证:也叫多重身份认证,开启后,在执行重启主机、停止主机、修改主机操作系统密码、修改管理终端密码、创建主机会话、快照回滚、更换系统盘、初始化磁盘、卸载数据盘、挂载数据盘等操作时,会要求以微信或短信接收验证码的方式进行二次身份确认,确保访问者的身份合法性;

双因子认证

指令审计:

指令审计规则:您可以指定该条运维策略是启用指令白名单还是黑名单,如果是白名单,那么将只允许指令规则中的指令执行。如果是黑名单,团队成员在操作中执行的指令只要被敏感指令规则匹配,即执行相应的响应动作。

指令审计角色:敏感指令如果触发的是审核操作,那么将推送审核消息给指令审计角色成员,由他们审核通过后,敏感指令才能在主机上执行; 指令审核超时时长:敏感指令触发审核操作时,如果在超时时长内未处理,指令将因超时被取消执行。

指令审计

运维时段: 指定运维策略中的主机,只有在规定的运维时段内才允许访问,支持多个不连续的时段。 设置完以上内容后,点击“创建”即成功创建一条关键设备运维策略,但要生效,您还需要添加关键设备,只有在关键设备列表中的主机,才会受该条运维的影响。

运维时段

创建策略

创建策略

运维策略创建成功,是否立即进行设置?--》立即设置

创建策略

大家在设置策略匹配规则的时候,推荐大家使用正则匹配的方式(因为我们使用完全匹配的方式就会绕过/bin/rm等命令)

创建策略

添加需应用本策略管理的主机

创建策略

原文:堡垒机的使用方法:如何使用堡垒机?


免责声明:本文中使用的图片均由博主自行发布,与本网无关,如有侵权,请联系博主进行删除。







鲜花

握手

雷人

路过

鸡蛋

评论 (0 个评论)

facelist

您需要登录后才可以评论 登录 | 注册

 留言请遵守道德与有关法律,请勿发表与本文章无关的内容(包括告状信、上访信、广告等)。
 所有留言均为网友自行发布,仅代表网友个人意见,不代表本网观点。

关于我们| 反馈意见 | 联系我们| 招聘信息| 返回手机版| 美国中文网

©2024  美国中文网 Sinovision,Inc.  All Rights Reserved. TOP

回顶部