麒麟最新麒麟开源堡垒机员手册教学教材教学内容

目录

1 概述. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

1. 1 功能介绍. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

1.2 名词解释. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

1.3 环境要求. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6

2 管理员登录. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7

3 初始基本配置. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10

4 目录管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11

4. 1 目录说明. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11

4.2 目录创建. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12

5 账号管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14

5. 1 用户角色. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14

5.2 运维账号管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15

5.2. 1添加用户. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15

5.2.2批量添加用户. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17

5.2.3批量编辑用户. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18

5.3 RADIUS账号. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18

5.4 目录管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19

5.5 在线用户管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19

5.6 登录策略. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19

5.7 设备管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20

5.8 设备信息导入导出. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24

5.9 普通用户自动登录root账号. . . . . . . . . . . . . . . . . . . . . . . . . . . .25

5. 10 目录节点管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25

5. 11 系统用户组. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27

5. 12 应用发布. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29

5. 12. 1应用发布服务器. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29

5. 12.2添加为资产设备. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29

5. 12.3添加为应用发布服务器. . . . . . . . . . . . . . . . . . . . . . . . . . . .31

5. 12.4应用发布. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31

5. 13 SSH公私鈅上传. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33

6 权限查询. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34

6. 1 系统权限查询. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34

6.2 应用权限查询. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35

7 策略设置. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36

7. 1 默认策略. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36

7.2 来源IP组. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .37

7.3 周组策略. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .39

7.4 命令组. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .40

7.5 命令权限. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .41

7.6 自动改密. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .42

7.7 系统类型. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .43

7.8 授权策略. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .43

8 密码密钥文件. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .44

9 系统配置. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .44

9. 1 参数配置. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .44

9.2 VPN配置. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .44

9.3 系统参数. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .45

9.4 密码策略. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .45

9.5 高可用性. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .46

9.6 告警配置. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .46

9.7 告警参数. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .47

10 系统管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48

10. 1 服务状态. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48

10.2 系统状态. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48

10.3 配置备份. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .49

10.4 数据同步. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .49

11 VPN配置. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .50

12 动态口令. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .51

12. 1 USBKEY导入. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .51

12.2 USBKEY绑定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .51

13 Licnese管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .51

14 运维审计. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .53

14. 1 操作审计. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .53

14. 1. 1字符会话审计Telnet/SSH. . . . . . . . . . . . . . . . . . . . . .53

14. 1.2 SFTP和FTP会话审计. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .55

14. 1.3 图形会话审计. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .56

14. 1.4应用审计. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .60

14.2 实时监控. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .62

14.3 审计查询. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .65

14.3. 1会话搜索. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .66

14.3.2 内容搜索. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .66

15 日志报表. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .67

16 个人信息修改. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .70

1概述

麒麟运维安全堡垒平台以下简称麒麟运维堡垒机是用于对第三方或者内部运维管理员的运维操作行为进行集中管控审计的系统。麒麟运维堡垒机可以帮助客户规范运维操作行为、控制并降低安全风险、满足等级保护级其他法规对IT内控合规性的要求。

1. 1功能介绍

麒麟运维堡垒机集中管理运维账号、资产设备集中控制运维操作行为能够实现实时监控、阻断、告警 以及事后的审计与统计分析。

麒麟支持常用的运维工具协议如SSH、 telnet、 ftp、 sftp、 RDP、 VNC等并可以应用发布的方式支持图形化运维工具。

麒麟运维堡垒机支持旁路模式和VPN模式两种方式物理上旁路部署灵活方面。

麒麟运维堡垒机在操作方式上不改变用户的操作习惯仍然可以使用自己本机的运维工具。

1. 2名词解释

控制台

指麒麟运维堡垒机提供给管理员实现对它进行管理的Web系统。

管理员

指麒麟运维堡垒机系统的管理员按照角色分为系超级管理员、配置管理员、组管理员、密码管理员、审计员按照权限分立的原则分别承担不同的职责。

超级管理员是内置的最高权限管理员可以创建其他管理员角色用户账号。

配置管理员 负责资产管理、授权管理等。

组管理员 只对特定组的资产管理、授权管理。

审计员 只负责完成审计工作

密码管理员 负责维护资产设备的账号密码。

协议

指麒麟运维堡垒机运维工具所用的通信协议比如Putty使用SSH协议 CRT支持SSH和Telnet等。

工具

指运维人员实现对设备的维护所使用的工具软件。

设备账号

指运维目标资产设备的用于维护的系统账户。

自动登录

指麒麟运维堡垒机为运维工具实现自动登录目标被管设备而运维用户不需要输入目标设备的登录账号和密码也称为单点登录SSO。

命令阻断

指麒麟根据命令权限策略检查用户输入的操作指令如果策略不允许执行此指令麒麟会拒绝转发此操作命令目标设备同时向操作员反馈拒绝执行的提示信息。这是实现实时操作控制的一种重要手段。

应用发布

指通过在应用发布服务器部署应用程序提供给用户远程虚拟化方式进行使用就如同安装在本地一样的效果。

1. 3环境要求

麒麟运维堡垒机管理控制台为Web系统要求客户端采用支持IE内核的浏览器登录 因为需要支持ActiveX控件推荐使用IE浏览器支持IE8、 IE9、IE10。 。另外终端还需要安装JRE环境支持麒麟 Web Portal的Java Applet。

2管理员登录

麒麟运维堡垒机管理控制台采用HT TP S安全通信连接默认端口是443。管理员登录控制台的方式是 以IE为例在浏览器地址栏输入https://麒麟-ip

麒麟运维堡垒机超级管理员的账号和密码是“ad min/12345678”。

麒麟运维堡垒机初始状态未启用动态口令认证因此初次登录不需要输入动态口令。

另外麒麟运维堡垒机还有两个预设的管理员用户 aud it和pass word分别是审计员账户和密码管理员账户默认密码也是“12345678”。

管理控制台登录界面如下图所示。

登录成功后界面如下图进入系统当前状态界面。然后管理员可以根据需要选择功能菜单执行预期的管理操作。

超级管理员可以完成其他所有管理员可以做的工作因此超级管理员界面的功能就是管理控制台的所有功能其他管理员操作界面只是其的一个子集。

以非超级管理员的其他管理员身份登录 系统会要求首先修改个人账户密码如下图所示

配置管理员登录后的操作界面如下图所示

密码管理员登录后的操作界面如下图所示

审计员登录后的操作界面如下图所示

组管理登录后的操作界面如下图所示