麒麟最新麒麟开源堡垒机员手册教学教材教学内容

堡垒机  时间:2021-01-25  阅读:()

目录

1 概述. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

1. 1 功能介绍. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

1.2 名词解释. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

1.3 环境要求. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6

2 管理员登录. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7

3 初始基本配置. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10

4 目录管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11

4. 1 目录说明. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11

4.2 目录创建. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12

5 账号管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14

5. 1 用户角色. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14

5.2 运维账号管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15

5.2. 1添加用户. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15

5.2.2批量添加用户. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17

5.2.3批量编辑用户. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18

5.3 RADIUS账号. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18

5.4 目录管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19

5.5 在线用户管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19

5.6 登录策略. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19

5.7 设备管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20

5.8 设备信息导入导出. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24

5.9 普通用户自动登录root账号. . . . . . . . . . . . . . . . . . . . . . . . . . . .25

5. 10 目录节点管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25

5. 11 系统用户组. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27

5. 12 应用发布. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29

5. 12. 1应用发布服务器. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29

5. 12.2添加为资产设备. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29

5. 12.3添加为应用发布服务器. . . . . . . . . . . . . . . . . . . . . . . . . . . .31

5. 12.4应用发布. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31

5. 13 SSH公私鈅上传. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33

6 权限查询. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34

6. 1 系统权限查询. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34

6.2 应用权限查询. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35

7 策略设置. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36

7. 1 默认策略. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36

7.2 来源IP组. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .37

7.3 周组策略. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .39

7.4 命令组. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .40

7.5 命令权限. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .41

7.6 自动改密. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .42

7.7 系统类型. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .43

7.8 授权策略. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .43

8 密码密钥文件. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .44

9 系统配置. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .44

9. 1 参数配置. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .44

9.2 VPN配置. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .44

9.3 系统参数. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .45

9.4 密码策略. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .45

9.5 高可用性. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .46

9.6 告警配置. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .46

9.7 告警参数. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .47

10 系统管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48

10. 1 服务状态. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48

10.2 系统状态. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48

10.3 配置备份. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .49

10.4 数据同步. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .49

11 VPN配置. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .50

12 动态口令. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .51

12. 1 USBKEY导入. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .51

12.2 USBKEY绑定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .51

13 Licnese管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .51

14 运维审计. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .53

14. 1 操作审计. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .53

14. 1. 1字符会话审计Telnet/SSH. . . . . . . . . . . . . . . . . . . . . .53

14. 1.2 SFTP和FTP会话审计. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .55

14. 1.3 图形会话审计. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .56

14. 1.4应用审计. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .60

14.2 实时监控. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .62

14.3 审计查询. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .65

14.3. 1会话搜索. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .66

14.3.2 内容搜索. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .66

15 日志报表. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .67

16 个人信息修改. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .70

1概述

麒麟运维安全堡垒平台以下简称麒麟运维堡垒机是用于对第三方或者内部运维管理员的运维操作行为进行集中管控审计的系统。麒麟运维堡垒机可以帮助客户规范运维操作行为、控制并降低安全风险、满足等级保护级其他法规对IT内控合规性的要求。

1. 1功能介绍

麒麟运维堡垒机集中管理运维账号、资产设备集中控制运维操作行为能够实现实时监控、阻断、告警 以及事后的审计与统计分析。

麒麟支持常用的运维工具协议如SSH、 telnet、 ftp、 sftp、 RDP、 VNC等并可以应用发布的方式支持图形化运维工具。

麒麟运维堡垒机支持旁路模式和VPN模式两种方式物理上旁路部署灵活方面。

麒麟运维堡垒机在操作方式上不改变用户的操作习惯仍然可以使用自己本机的运维工具。

1. 2名词解释

控制台

指麒麟运维堡垒机提供给管理员实现对它进行管理的Web系统。

管理员

指麒麟运维堡垒机系统的管理员按照角色分为系超级管理员、配置管理员、组管理员、密码管理员、审计员按照权限分立的原则分别承担不同的职责。

超级管理员是内置的最高权限管理员可以创建其他管理员角色用户账号。

配置管理员 负责资产管理、授权管理等。

组管理员 只对特定组的资产管理、授权管理。

审计员 只负责完成审计工作

密码管理员 负责维护资产设备的账号密码。

协议

指麒麟运维堡垒机运维工具所用的通信协议比如Putty使用SSH协议 CRT支持SSH和Telnet等。

工具

指运维人员实现对设备的维护所使用的工具软件。

设备账号

指运维目标资产设备的用于维护的系统账户。

自动登录

指麒麟运维堡垒机为运维工具实现自动登录目标被管设备而运维用户不需要输入目标设备的登录账号和密码也称为单点登录SSO。

命令阻断

指麒麟根据命令权限策略检查用户输入的操作指令如果策略不允许执行此指令麒麟会拒绝转发此操作命令目标设备同时向操作员反馈拒绝执行的提示信息。这是实现实时操作控制的一种重要手段。

应用发布

指通过在应用发布服务器部署应用程序提供给用户远程虚拟化方式进行使用就如同安装在本地一样的效果。

1. 3环境要求

麒麟运维堡垒机管理控制台为Web系统要求客户端采用支持IE内核的浏览器登录 因为需要支持ActiveX控件推荐使用IE浏览器支持IE8、 IE9、IE10。 。另外终端还需要安装JRE环境支持麒麟 Web Portal的Java Applet。

2管理员登录

麒麟运维堡垒机管理控制台采用HT TP S安全通信连接默认端口是443。管理员登录控制台的方式是 以IE为例在浏览器地址栏输入https://麒麟-ip

麒麟运维堡垒机超级管理员的账号和密码是“ad min/12345678”。

麒麟运维堡垒机初始状态未启用动态口令认证因此初次登录不需要输入动态口令。

另外麒麟运维堡垒机还有两个预设的管理员用户 aud it和pass word分别是审计员账户和密码管理员账户默认密码也是“12345678”。

管理控制台登录界面如下图所示。

登录成功后界面如下图进入系统当前状态界面。然后管理员可以根据需要选择功能菜单执行预期的管理操作。

超级管理员可以完成其他所有管理员可以做的工作因此超级管理员界面的功能就是管理控制台的所有功能其他管理员操作界面只是其的一个子集。

以非超级管理员的其他管理员身份登录 系统会要求首先修改个人账户密码如下图所示

配置管理员登录后的操作界面如下图所示

密码管理员登录后的操作界面如下图所示

审计员登录后的操作界面如下图所示

组管理登录后的操作界面如下图所示

UCloud优刻得,新增1核1G内存AMD快杰云机型,服务器2元/首月,47元/年

UCloud优刻得近日针对全球大促活动进行了一次改版,这次改版更加优惠了,要比之前的优惠价格还要低一些,并且新增了1核心1G内存的快杰云服务器,2元/首年,47元/年,这个价格应该是目前市面上最低最便宜的云服务器产品了,有需要国内外便宜VPS云服务器的朋友可以关注一下。UCloud好不好,UCloud服务器怎么样?UCloud服务器值不值得购买UCloud是优刻得科技股份有限公司旗下拥有的云计算服...

spinservers春节优惠:$149/月10Gbps圣何塞服务器-2*E5-2630Lv3 CPU,256G内存,2*1.6T SSD硬盘

spinservers是Majestic Hosting Solutions LLC旗下站点,商家提供国外服务器租用和Hybrid Dedicated等产品,数据中心包括美国达拉斯和圣何塞机房,机器默认10Gbps端口带宽,高配置硬件,支持使用PayPal、信用卡、支付宝或者微信等付款方式。农历春节之际,商家推出了几款特别促销配置,最低双路E5-2630Lv3机器每月149美元起,下面列出几款机器...

10GBIZ(月$2.36 ), 香港和洛杉矶CN2 GIA

10GBIZ服务商经常有看到隔壁的一些博客分享内容,我翻看网站看之前有记录过一篇,只不过由于服务商是2020年新成立的所以分享内容比较谨慎。这不至今已经有将近两年的服务商而且云服务产品也比较丰富,目前有看到10GBIZ服务商有提供香港、美国洛杉矶等多机房的云服务器、独立服务器和站群服务器。其中比较吸引到我们用户的是亚洲节点的包括香港、日本等七星级网络服务。具体我们看看相关的配置和线路产品。第一、香...

堡垒机为你推荐
桌面背景图片风景有没有高清唯美天然风景电脑桌面壁纸传奇类手游哪个好腾讯热血传奇手机版哪个职业厉害朗逸和速腾哪个好大众速腾和朗逸哪个好啊?英语词典哪个好英语词典哪个好网页传奇哪个好玩网页传奇哪个好玩 现在的传奇跟以前玩的都不一样了 总感觉没以前的有激情了dnf魔枪士转职哪个好dnf魔枪士转职哪个好几个职业如何增加百度收录如何提高百度收录率?willyunlee电影拳皇演的是什么意思网通dns服务器地址网通的DNS是多少?上海dns服务器地址中国主要城市DNS服务器IP地址列表
双线服务器租用 lamp安装 百度云100as nerd 512m内存 php免费空间 100x100头像 柚子舍官网 免费dns解析 台湾谷歌 上海联通宽带测速 优酷黄金会员账号共享 无限流量 域名dns 空间登入 服务器硬件配置 七牛云存储 阿里云个人邮箱 google搜索打不开 上海联通 更多