麒麟最新麒麟开源堡垒机员手册教学教材教学内容

堡垒机品牌  时间:2021-01-22  阅读:()

目录

1 概述. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

1. 1 功能介绍. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

1.2 名词解释. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

1.3 环境要求. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6

2 管理员登录. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7

3 初始基本配置. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10

4 目录管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11

4. 1 目录说明. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11

4.2 目录创建. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12

5 账号管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14

5. 1 用户角色. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14

5.2 运维账号管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15

5.2. 1添加用户. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15

5.2.2批量添加用户. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17

5.2.3批量编辑用户. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18

5.3 RADIUS账号. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18

5.4 目录管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19

5.5 在线用户管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19

5.6 登录策略. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19

5.7 设备管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20

5.8 设备信息导入导出. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24

5.9 普通用户自动登录root账号. . . . . . . . . . . . . . . . . . . . . . . . . . . .25

5. 10 目录节点管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25

5. 11 系统用户组. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27

5. 12 应用发布. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29

5. 12. 1应用发布服务器. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29

5. 12.2添加为资产设备. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29

5. 12.3添加为应用发布服务器. . . . . . . . . . . . . . . . . . . . . . . . . . . .31

5. 12.4应用发布. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31

5. 13 SSH公私鈅上传. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33

6 权限查询. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34

6. 1 系统权限查询. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34

6.2 应用权限查询. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35

7 策略设置. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36

7. 1 默认策略. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36

7.2 来源IP组. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .37

7.3 周组策略. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .39

7.4 命令组. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .40

7.5 命令权限. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .41

7.6 自动改密. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .42

7.7 系统类型. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .43

7.8 授权策略. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .43

8 密码密钥文件. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .44

9 系统配置. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .44

9. 1 参数配置. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .44

9.2 VPN配置. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .44

9.3 系统参数. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .45

9.4 密码策略. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .45

9.5 高可用性. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .46

9.6 告警配置. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .46

9.7 告警参数. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .47

10 系统管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48

10. 1 服务状态. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48

10.2 系统状态. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48

10.3 配置备份. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .49

10.4 数据同步. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .49

11 VPN配置. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .50

12 动态口令. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .51

12. 1 USBKEY导入. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .51

12.2 USBKEY绑定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .51

13 Licnese管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .51

14 运维审计. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .53

14. 1 操作审计. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .53

14. 1. 1字符会话审计Telnet/SSH. . . . . . . . . . . . . . . . . . . . . .53

14. 1.2 SFTP和FTP会话审计. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .55

14. 1.3 图形会话审计. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .56

14. 1.4应用审计. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .60

14.2 实时监控. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .62

14.3 审计查询. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .65

14.3. 1会话搜索. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .66

14.3.2 内容搜索. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .66

15 日志报表. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .67

16 个人信息修改. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .70

1概述

麒麟运维安全堡垒平台以下简称麒麟运维堡垒机是用于对第三方或者内部运维管理员的运维操作行为进行集中管控审计的系统。麒麟运维堡垒机可以帮助客户规范运维操作行为、控制并降低安全风险、满足等级保护级其他法规对IT内控合规性的要求。

1. 1功能介绍

麒麟运维堡垒机集中管理运维账号、资产设备集中控制运维操作行为能够实现实时监控、阻断、告警 以及事后的审计与统计分析。

麒麟支持常用的运维工具协议如SSH、 telnet、 ftp、 sftp、 RDP、 VNC等并可以应用发布的方式支持图形化运维工具。

麒麟运维堡垒机支持旁路模式和VPN模式两种方式物理上旁路部署灵活方面。

麒麟运维堡垒机在操作方式上不改变用户的操作习惯仍然可以使用自己本机的运维工具。

1. 2名词解释

控制台

指麒麟运维堡垒机提供给管理员实现对它进行管理的Web系统。

管理员

指麒麟运维堡垒机系统的管理员按照角色分为系超级管理员、配置管理员、组管理员、密码管理员、审计员按照权限分立的原则分别承担不同的职责。

超级管理员是内置的最高权限管理员可以创建其他管理员角色用户账号。

配置管理员 负责资产管理、授权管理等。

组管理员 只对特定组的资产管理、授权管理。

审计员 只负责完成审计工作

密码管理员 负责维护资产设备的账号密码。

协议

指麒麟运维堡垒机运维工具所用的通信协议比如Putty使用SSH协议 CRT支持SSH和Telnet等。

工具

指运维人员实现对设备的维护所使用的工具软件。

设备账号

指运维目标资产设备的用于维护的系统账户。

自动登录

指麒麟运维堡垒机为运维工具实现自动登录目标被管设备而运维用户不需要输入目标设备的登录账号和密码也称为单点登录SSO。

命令阻断

指麒麟根据命令权限策略检查用户输入的操作指令如果策略不允许执行此指令麒麟会拒绝转发此操作命令目标设备同时向操作员反馈拒绝执行的提示信息。这是实现实时操作控制的一种重要手段。

应用发布

指通过在应用发布服务器部署应用程序提供给用户远程虚拟化方式进行使用就如同安装在本地一样的效果。

1. 3环境要求

麒麟运维堡垒机管理控制台为Web系统要求客户端采用支持IE内核的浏览器登录 因为需要支持ActiveX控件推荐使用IE浏览器支持IE8、 IE9、IE10。 。另外终端还需要安装JRE环境支持麒麟 Web Portal的Java Applet。

2管理员登录

麒麟运维堡垒机管理控制台采用HT TP S安全通信连接默认端口是443。管理员登录控制台的方式是 以IE为例在浏览器地址栏输入https://麒麟-ip

麒麟运维堡垒机超级管理员的账号和密码是“ad min/12345678”。

麒麟运维堡垒机初始状态未启用动态口令认证因此初次登录不需要输入动态口令。

另外麒麟运维堡垒机还有两个预设的管理员用户 aud it和pass word分别是审计员账户和密码管理员账户默认密码也是“12345678”。

管理控制台登录界面如下图所示。

登录成功后界面如下图进入系统当前状态界面。然后管理员可以根据需要选择功能菜单执行预期的管理操作。

超级管理员可以完成其他所有管理员可以做的工作因此超级管理员界面的功能就是管理控制台的所有功能其他管理员操作界面只是其的一个子集。

以非超级管理员的其他管理员身份登录 系统会要求首先修改个人账户密码如下图所示

配置管理员登录后的操作界面如下图所示

密码管理员登录后的操作界面如下图所示

审计员登录后的操作界面如下图所示

组管理登录后的操作界面如下图所示

racknerd新上架“洛杉矶”VPS$29/年,3.8G内存/3核/58gSSD/5T流量

racknerd发表了2021年美国独立日的促销费用便宜的vps,两种便宜的美国vps位于洛杉矶multacom室,访问了1Gbps的带宽,采用了solusvm管理,硬盘是SSDraid10...近两年来,racknerd的声誉不断积累,服务器的稳定性和售后服务。官方网站:https://www.racknerd.com多种加密数字货币、信用卡、PayPal、支付宝、银联、webmoney,可以付...

美国云服务器 1核 1G 100M 10G防御 39元/月 物语云计算

物语云计算(MonogatariCloud)是一家成立于2016年的老牌国人商家,主营国内游戏高防独服业务,拥有多家机房资源,产品质量过硬,颇有一定口碑。本次带来的是美国圣何塞 Equinix 机房的高性能I9-10980XE大带宽VPS,去程CN2GIA回程AS9929,美国原生IP,支持解锁奈飞等应用,支持免费安装Windows系统。值得注意的是,物语云采用的虚拟化技术为Hyper-V,资源全...

ShineServers(5美元/月)荷兰VPS、阿联酋VPS首月五折/1核1G/50GB硬盘/3TB流量/1Gbps带宽

优惠码50SSDOFF 首月5折50WHTSSD 年付5折15OFF 85折优惠,可循环使用荷兰VPSCPU内存SSD带宽IPv4价格购买1核1G50G1Gbps/3TB1个$ 9.10/月链接2核2G80G1Gbps/5TB1个$ 12.70/月链接2核3G100G1Gbps/7TB1个$ 16.30/月链接3核4G150G1Gbps/10TB1个$ 18.10/月链接阿联酋VPSCPU内存SS...

堡垒机品牌为你推荐
软银赛富阿里巴巴的诚信通和赛富通有什么区别麒麟990和骁龙865哪个好5G手机芯片高通865对比麒麟990 5G SOC哪个好?燃气热水器和电热水器哪个好燃气热水器与电热水器的优缺点?朗逸和速腾哪个好买同等价位的朗逸和速腾哪个好?无纺布和熔喷布口罩哪个好无纺布除了做尿布湿口罩这些,还有其他什么用处吗?车险哪个好车险平安和人保哪个好?都有什么优点和缺点?51空间登录51咋登录 咋登录好友的51空间51个人空间登录为什么登陆51博客个人空间就不能登陆QQyy空间登录yy空间怎么上传照片?辽宁联通网上营业厅我进入到的中国联通微信营业厅,该如何进入到人工服务啊?
花生壳免费域名申请 美国主机排名 enom justhost 好看的桌面背景图片 debian源 网盘申请 linux空间 炎黄盛世 howfile php空间推荐 1g空间 免费ftp 德隆中文网 php服务器 lamp怎么读 群英网络 免费php空间 登陆qq空间 广东主机托管 更多