网站不备案支付宝接口,上海史特信息技术有限公司,南宁百度seo公司,浪漫做爰网站#x1f49d;#x1f49d;#x1f49d;欢迎来到我的博客#xff0c;很高兴能够在这里和您见面#xff01;希望您在这里可以感受到一份轻松愉快的氛围#xff0c;不仅可以获得有趣的内容和知识#xff0c;也可以畅所欲言、分享您的想法和见解。 推荐:Linux运维老纪的首页… 欢迎来到我的博客很高兴能够在这里和您见面希望您在这里可以感受到一份轻松愉快的氛围不仅可以获得有趣的内容和知识也可以畅所欲言、分享您的想法和见解。 推荐:Linux运维老纪的首页,持续学习,不断总结,共同进步,活到老学到老 导航剑指大厂系列:全面总结 运维核心技术:系统基础、数据库、网路技术、系统安全、自动化运维、容器技术、监控工具、脚本编程、云服务等。 常用运维工具系列:常用的运维开发工具, zabbix、nagios、docker、k8s、puppet、ansible等 数据库系列:详细总结了常用数据库 mysql、Redis、MongoDB、oracle 技术点,以及工作中遇到的 mysql 问题等 懒人运维系列:总结好用的命令,解放双手不香吗?能用一个命令完成绝不用两个操作 数据结构与算法系列:总结数据结构和算法,不同类型针对性训练,提升编程思维,剑指大厂 非常期待和您一起在这个小小的网络世界里共同探索、学习和成长。 ✨✨ 欢迎订阅本专栏 ✨✨ 云安全运行与维护 技能目标 了解运维管理存在的安全风险 掌握等级保护对安全管理的要求 理解运维堡垒机的功能和特点 掌握麒麟堡垒机的应用技术 7.1 安全事件与等保标准 安全运维管理是企业 IT 系统管理中容易忽视的一个环节。 IT 系统运维是企业内部“自 己”的事因此也常常对“自己人”要求不严格忽视监管。首先容易出现的问题是监管措 施的缺失管理员的操作行为没有有效的审计措施也没有有效的审计角色执行审计工作 其次管理员权限分配不合理一个超级管理员权限无限大可做任何操作没有严格根据职 责角色进行权限划分一个管理员密码多人同时掌握等都是企业 IT 运维管理里常常出现 的问题。一旦出现问题难以溯源难以追责。除此之外缺少集中统一的管理平台大量的系 统对外开放管理端口都造成了企业 IT 运维管理不安全和低效。 7.1.1运维管理安全相关的等保要求 在等保 2.0 标准二级、三级、四级“安全管理中心”要求中对系统管理、审计管理、 安全管理、集中管控等多个方面均有明确要求分为通用要求和扩展要求两部分。等保一级 未定义“安全管理中心”要求。 “安全管理中心”要求具体内容如下 1.安全通用要求
1系统管理 a.应对系统管理员进行身份鉴别只允许其通过特定的命令或操作界面进行系统管理操 作并对这些操作进行审计 b.应通过系统管理员对系统的资源和运行进行配置、控制和管理包括用户身份、系统 资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。 以上 a、b 项为等保二级7.1.5.1、三级8.1.5.1和四级9.1.5.1的统一要求。 2审计管理 a.应对审计管理员进行身份鉴别只允许其通过特定的命令或操作界面进行安全审计操 作并对这些操作进行审计 b.应通过审计管理员对审计记录应进行分析并根据分析结果进行处理包括根据安全 审计策略对审计记录进行存储、管理和查询等。 以上 a、b 项是等保二级7.1.5.2、三级8.1.5.2和四级9.1.5.2的统一要求。 3安全管理 a.应对安全管理员进行身份鉴别只允许其通过特定的命令或操作界面进行安全管理操 作并对这些操作进行审计 b.应通过安全管理员对系统中的安全策略进行配置包括安全参数的设置主体、客体 进行统一安全标记对主体进行授权配置可信验证策略等。 以上 a、b 项是等保三级8.1.5.3和四级9.1.5.3的统一要求。 4集中管控 a.应划分出特定的管理区域对分布在网络中的安全设备或安全组件进行管控 b.应能够建立一条安全的信息传输路径对网络中的安全设备或安全组件进行管理 c.应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测 d.应对分散在各个设备上的审计数据进行收集汇总和集中分析并保证审计记录的留存 时间符合法律法规要求 e.应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理 f.应能对网络中发生的各类安全事件进行识别、报警和分析 g.应保证系统范围内的时间由唯一确定的时钟产生以保证各种数据的管理和分析的时 间上的一致性。 以上 a、b、c、d、e、f 项为等保三级8.1.5.4和四级9.1.5.4的统一要求g 项 为等保四级9.1.5.4的单独要求。 企业 IT 系统运维管理需要严格按角色分工授权。 系统管理员负责对系统的资源和运行进行管理配置。比如创建账户分配存储空 间资源等操作 系统管理员的权限可能很大系统管理员的行为就需要审计管理员来监督和制约。 审计管理员负责审计授权账户的操作行为比如什么时间什么人访问过某资源 做了什么操作这些都需要审计的功能实现跟踪查找和取证。 安全管理员的职责是负责进行安全策略的管理配置比如进行安全策略的配置 系统补丁的管理病毒的防护等。 在集中管控方面对重要的系统划分区域管理采用独立于业务流量之外的带外管理 利用 Zabbix、Nagios、Cacti 等传统集中管控工具集中管理网络设备和服务器等既是等 保的明确要求也是企业进行高效的 IT 管理必要手段。“唯一确定的时钟”不仅是等保的 要求也是企业 IT 系统正常运行的必要条件。比如应用服务器和数据库服务器时间如果 不一致就可能导致系统异常无法工作。因此一般企业内部都会部署时间服务器保障企 业内部系统时钟上的一致性。除此之外域控制器本身就有时间服务的职能域内所有节点 都会自动和域控制器同步时间。以上等保“安全管理中心”的审计要求除了 IT 系统自身都需要具备按角色授权管理 的能力外从运维的角度来说企业通常采用运维堡垒机进行带外管理以满足安全运维管 理和行为审计的需求。 2.云计算安全扩展要求 在等保 2.0 标准云计算安全扩展要求中一、二级标准未定义“安全管理中心”要求 三、四级标准定义了明确的“安全管理中心”要求仅此“集中管控”一项要求具体内容 如下 集中管控 a.应能对物理资源和虚拟资源按照策略做统一管理调度与分配 b.应保证云计算平台管理流量与云服务客户业务流量分离 c.应根据云服务商和云服务客户的职责划分收集各自控制部分的审计数据并实现各自 的集中审计 d.应根据云服务商和云服务客户的职责划分实现各自控制部分包括虚拟化网络、虚 拟机、虚拟化安全设备等的运行状况的集中监测。 以上 a、b、c、d 项是等保 2.0 三级8.2.5.1和四级9.2.5.1的统一要求。 对于私有云和公有云而言“物理资源和虚拟资源的统一调度分配”是高效管理的必 要条件。目前主流的云平台也都具备这类的管理工具。比如开源的云计算管理平台 OpenStack微软的 Hyper-V 私有云管理平台 SCVMM以及 VMware 的 VMware vCloud Suite 等都是这类管理工具。 “保证云计算平台管理流量与云服务客户业务流量分离”是云平台安全管理的需要 也是保障客户服务质量的需要。作为云平台需要在建设伊始就做好将管理流量与业务流量 分离的规划。 根据选用的 IAAS、PAAS、SAAS 平台不同云服务商和云服务客户会有不同的责权 划分。这个在前面章节中已经讲过。对于集中审计云服务商自身需要具备自身集中审计的 能力同时也需要为云客户提供独立审计的服务。主流的云服务提供商基本都提供了此类服 务当然这也是云客户在考察云服务商能力的一个参考点。比如阿里云就为客户提供了“操 作审计 ActionTrail”服务客户可以根据需要开启。开启之后就可以对自己的登录管理 行为进行有效的追踪和存档。如阿里云为客户提供了操作审计服务界面如图 7.1 所示。 图 7.1 阿里云为客户提供的操作审计服务 对于私有云可以采用 Zabbix、Prometheus、EFK 等监控工具。对于公有云来说云 服务商通常也会为客户提供统一监控平台客户可根据需要使用和配置其提供的监控功能。 7.2 安全运维基础知识介绍 安全运维既需要熟练的操作技术也需要专业的管理知识和严谨的工作态度、安全意识 下面从技术和管理的角度介绍安全运维的基础知识。 7.2.1 带外管理和带内管理 网络管理可分为带外管理out-of-band和带内管理in-band两种管理模式。 带外管理即管理信息和业务数据分开传输即使业务数据网络出现异常仍然通过 这个带外管理网络进行远程管理处理故障。 带内管理指的是管理信息和业务数据采用相同网络传输一旦网络出现故障数据 无法访问远程管理也无法实现。 目前主流的服务器、网络设备基本都支持带外管理功能有独立的带外管理端口。如 DELL、HP 等服务器的远程管理口独立于系统之外即使操作系统无法启动仍然能够实 现远程管理以及进入 BIOS 等操作。 7.2.2 权限分配的一般原则 权限分配可以遵循的原则有最小权限分配、职责分离、岗位轮换。1.最小权限分配 最小权限分配原则指仅授予某账户完成其工作任务的最小权限不能有超过其工作任务 之外的特权。如果某账户临时需要使用某个特殊权限经批准执行后也要按时收回权限。 对于安全运维管理管理员账户权限超越普通员工因此更加需要按最小特权原则为管理 员分配权限否则权限管理就失去了意义。 比如审计员仅能执行审计日志不应具有 账户管理权限系统管理员可以维护账户但是不应具有审计权限。 2.职责分离 职责分离指的是一个工作任务由两个人共同执行才能完成。通常用于一些重要的岗位 职责。比如企业财务的公章管理管理公章和执行用印的人都是两个人任何一个人无法 独自使用公章。再比如对于一些特殊重要的账户角色由两个人各掌握一半密码操作时 必须两个人同时在场各输入一半密码验证正确后才能登录系统执行操作。这样任何一个人 都无法独立登录系统操作以避免一个人掌握过大的权限。 3.岗位轮换 岗位轮换简单说就是轮换职责某些工作职责定期轮换不同的员工来执行。岗位轮换 的意义一方面是作为审查检测机制有威慑作用同时也避免了一些重要岗位过于依赖单个 个体。 以上权限分配原则适用于企业安全管理的多个方面不是仅局限于 IT 管理。 7.2.3 运维堡垒机介绍 运维堡垒机是一种具备强大防御功能和安全审计功能的服务器或一体机。基于跳板机理 念作为内外网络的集中安全运维及审计的平台。同时运维堡垒主机还具备对运维人员的 远程登录进行集中管理的功能作用。 运维堡垒机是网络中容易受到侵害的主机所以它也必须是自身保护完善的主机。通常 至少配备两块网卡设备。一个连接外网用以对目标服务器的远程登录及维护另一个则连 接内网便于内部网络的管理、控制和保护。 随着规模的不断扩大传统的 IT 运维面临着如下问题 1.多个用户使用同一个账号 在实际的工作场景中经常会出现多个用户共享同一账号的情况。如果发生安全事故 不仅难以定位账号的实际使用者和责任人而且无法对账号的使用范围进行有效控制存在 较大安全风险和隐患。 2.一个用户使用多个账号 一个维护人员使用多个账号是较为普遍的情况用户需要记忆多个口令登录不同的系统 降低工作效率增加工作复杂度。 3. 缺少统一的权限管理平台 权限管理日趋繁重和无序而且维护人员的权限大多是粗放管理无法基于最小权限分 配原则进行用户权限管理难以实现更细粒度的命令级权限控制系统安全性无法充分保证。 4. 无法制定统一的访问审计策略审计粒度粗 各网络设备、主机系统、数据库是分别单独审计记录访问行为由于没有统一审计策略 并且各系统自身审计日志内容深浅不一难以及时通过系统自身审计发现违规操作行为和追 查取证。 5. 不易进行内容审计 传统的网络安全审计系统无法对维护人员经常使用的 SSH、RDP 等加密、图形操作协 议进行内容审计。 正是为了解决以上问题运维堡垒机应运而生。图 7.2 是运维堡垒机的常见使用场景。 图 7.2 运维堡垒机的使用场景 对于私有云或传统的运维环境可以选择部署堡垒机管理平台比如下面要讲的麒麟 运维堡垒机。对于公有云而言大多数据公有云平台也都提供了堡垒机产品客户可以自行 选购使用更加方便快捷功能也很强大。比如阿里云堡垒机系统。 1.运维堡垒机的基本功能 下面是运维堡垒机的主要功能 1账号管理 设备支持统一账户管理策略能够实现对所有服务器、网络设备、安全设备等账号进行 集中管理完成对账号整个生命周期的监控并且可以对设备进行特殊角色设置。如审计 巡检员、运维操作员、设备管理员等自定义设置以满足审计需求。 2身份认证 设备提供统一的认证接口对用户进行认证支持身份认证模式包括动态口令、静态密 码、硬件 key 、生物特征等多种认证方式设备具有灵活的定制接口可以与其他第三方 认证服务器之间结合安全的认证模式有效提高了认证的安全性和可靠性。 3资源授权 设备提供基于用户、目标设备、时间、协议类型 IP、行为等要素实现细粒度的操作授 权最大限度保护用户资源的安全。 4访问控制 设备支持对不同用户进行不同策略的制定细粒度的访问控制能够最大限度的保护用户 资源的安全严防非法、越权访问事件的发生。 5操作审计 设备能够对字符串、图形、文件传输、数据库等全程操作行为审计通过设备录像方式 实时监控运维人员对操作系统、安全设备、网络设备、数据库等进行的各种操作对违规行 为进行事中控制。对终端指令信息能够进行精确搜索进行录像精确定位。 2.运维堡垒机的部署方式 目前通常运维堡垒机为旁路接入模式物理上旁路、逻辑上串行。用户想要运维时 必须通过运维堡垒机进行跳转登录。这种运维堡垒机为通用模式因为不修改网络拓扑并且 可以实现 SSO单点登录、应用发布等多种功能已经成为国内运维堡垒机的主流模式。 运维堡垒机对于运维操作人员相当于一台代理服务器Proxy Server其工作流程如 图 7.3 所示。 图 7.3 运维堡垒机工作流程示意图 1运维人员通过自己的运维终端首先连接到运维堡垒机然后向运维堡垒机提交操 作请求。 2该请求通过运维堡垒机的权限检查后运维堡垒机的应用代理模块将代替用户连 接到目标设备完成该操作之后目标设备将操作结果返回给运维堡垒机最后运维堡垒机再 将操作结果返回给运维人员。 通过这种方式运维堡垒机逻辑上将运维人员与目标设备隔离开来建立了从“运维人 员-运维堡垒机用户账号-授权-目标设备账号-目标设备”的管理模式解决操作权限控 制和行为审计问题的同时也解决了加密协议和图形协议等无法通过协议还原进行审计的问 题。 7.3 运维堡垒机实验环境介绍
7.3.1 本章实验环境 本章实验环境如表 7-1 所示。 表 7-1 本章实验环境相关主机系统配置说明 主机操作系统主机名/IP 地址 主要软件及版本运维堡垒机 CentOS7-x64 Admin/网卡 1 192.168.10.10 网卡 2192.168.100.10 麒麟中标CentOS 服务器 CentOS7-x64 CentOS7/192.168.100.11 SSHWindows 服务器 Windows Server 2016 Windows2016/192.168.100.12 RDP 远程桌面Windows 工作站 Windows10-x64 Windows10/192.168.10.5 VMware workstation 14pro 在本实验环境中运维堡垒机采用双网卡配置一块网卡连接服务器网段一块网卡连 接 Windows10 工作站。图 7.4 是实验环境拓扑图。 7.3.2 环境需求 本实验堆环境的要求如下 1VMware Workstation 14pro 软件及环境 2配置虚拟机 CPU、内存、网卡等硬件环境 3安装运维堡垒机、Windows Server 2016、CentOS 7 虚拟机操作系统 4Secure CRT、微软远程桌面Mstsc等工具应用 5 配 置 运 维 堡 垒 机 系 统 用 户 。 本 实 验 使 用 的 运 维 堡 垒 机 软 件 包 可 在 https://www.tosec.com.cn/download.html 下载。在浏览器中输入此地址打开下载页面 如图 7.5 所示。 图 7.5 运维堡垒机下载地址 注 1该网站提供两个安装版本一个是运维堡垒机 tar 包安装版一个是运维堡垒机一 键安装版 ISO 镜像。可下载 ISO 安装盘执行一键安装。 2本环境中 VMware 使用 14pro 版本。 7.3.3 准备安装环境 运维堡垒机系统安装之前首先需要了解运维堡垒机的运行环境资源需求根据厂商提 供的需求指引分配虚拟机的硬件资源同时需要掌握各个角色间访问依赖的端口号同步开 放端口。 1. 运维堡垒机环境需求 内存2G CPU1 核 硬盘10G硬盘必须为 STAT 模式要支持虚拟机 vda 模式。 2. 端口需求及注意事项 Windows10 工作站需要可以访问到运维堡垒机的 TCP 22、443、1080、3389、 3390 端口 运维堡垒机需要能连接到被管理服务器的 ssh22、rdp3389等端口 Windows10 工作站不需要能访问到被管理的服务器。 7.4 运维堡垒机部署 本节内容从创建虚拟机、运维堡垒机安装、运维堡垒机管理使用等几个方面进行讲解 首先讲解虚拟机的创建。 7.4.1 创建虚拟机 安装好“VMware® Workstation 14 Pro”主程序后开始为运维堡垒机创建虚拟机。 下面是创建虚拟机的步骤。 1.初始配置 双击桌面上“VMware Workstation Pro”图标打开 VMware 主界面如图 7.6 所示。 右侧窗格点击“主页”选项卡再点击“创建新的虚拟机”按钮。 图 7.6 创建新的虚拟机 完成上面的操作之后弹出图 7.7 界面选择“自定义高级”点击“下一步”按 钮。 图 7.7 自定义创建虚拟机 执行完前面操作出现虚拟机兼容性界面如图 7.8 所示。在虚拟机兼容性界面保持 默认继续点击“下一步”按钮。 图 7.8 选择虚拟机硬件兼容性 弹出如图 7.9 界面点击“浏览”按钮选择运维堡垒机 ISO 文件再点击“下一步” 按钮。 图 7.9 选择安装介质 弹出如图 7.10 所示界面中设置虚拟机名称及虚拟机存放位置点击“下一步”按钮。 图 7.10 设置虚拟机名称及位置 2.为运维堡垒机分配资源 完成上面的操作弹出如图 7.11 界面在此界面下选择合适的 CPU 数量本环境中 设置为 2 核 CPU。根据自己的硬件资源情况设定最少为 1 核。然后点击“下一步”按 钮。 图 7.11 设置 CPU 内核数量 完成上面设置后进入如图 7.12 所示界面为虚拟机分配内存建议设置为 2GB。如 果资源紧张也可以设置为 1GB。点击“下一步”按钮。 图 7.12 设置内存大小 进入图 7.13 界面后选择网络类型。本环境中暂按默认配置在后面的网卡设置中再 作调整。点击“下一步”按钮。 图 7.13 选择网络类型 连续点击“下一步”按钮后进入图 7.14 界面。点选“创建新虚拟磁盘”单选项再 点击“下一步”按钮。 图 7.14 创建新的虚拟磁盘 完成以上操作后进入图 7.15 界面后在这里设置磁盘大小。 图 7.15 指定磁盘容量 “最大磁盘大小”最小值为 20GB本环境中设置为 100GB。注意不要勾选“立即分 配所有磁盘空间”单选项。如果勾选此项会立即占用宿主机 100GB 的空间。 “将虚拟磁盘存储为单个文件”本环境中选择此项。如果选择“将虚拟磁盘拆分成多 个文件”有利于虚拟机迁移但会降低磁盘性能。 连续点击“下一步”按钮进入如图 7.16 界面点击“自定义硬件”超链接。 图 7.16 自定义硬件 点击“自定义硬件”后弹出图 7.17 所示界面。 配置网卡 1先把已有的网卡配置为与宿主机相连勾选“自定义特定虚拟网络” 单项框。 本实验环境中宿主机 Windows10 工作站作为访问运维堡垒机的客户端。所以运维堡 垒机的这块网卡与宿主机本地虚拟网卡 VMnet1 相连。VMnet1 是安装 VMware 软件时在宿 主机产生的虚拟网卡。 图 7.17 配置网卡 1 接上面操作如图 7.18 所示。点击“添加(A)”按钮选择“网络适配器”再点击“完 成”按钮 为运维堡垒机添加第二块网卡。 图 7.18 配置网卡 2 点击“完成”按钮后返回到如图 7.19 界面。这里配置运维堡垒机网卡 2 的网络连 接将“网络适配器 2”的网络连接方式配置为“仅主机模式”。点击“关闭”按钮再点 击“完成”按钮完成虚拟机创建的操作。 图 7.19 配置网卡 2 连接方式 另外两台虚拟机 Windows 和 CentOS7都是单网卡配置。创建虚拟机过程中网卡 配置选择“仅主机模式”选项。这样运维堡垒机的网卡 2 和 Windows、CentOS7 虚拟机 即在同一网段中而运维堡垒机的网卡 1 和宿主机的 VMnet1 网卡在同一网段中。宿主机和 Windows、CentOS7 虚拟机之间无互联不能直接通信。这样模拟的网络环境与生产环境 类似维护人员的终端只与运维堡垒机相联与服务器之间不能直接通信。实现了统一集中 管理与审计也保障了运维安全性。 7.4.2 运维堡垒机安装工作 按前面的步骤创建虚拟机后可进入运维堡垒机操作系统安装环节。 1.运维堡垒机系统安装 前面在创建虚拟机过程中已添加运维堡垒机 ISO 虚拟光盘。启动虚拟机之后自动 进入 ISO 光盘引导界面选择第一项回车。余下操作为无人执守安装自动安装直至完成 如图 7.20 所示。 注磁盘小于 2TB 选择第一项安装磁盘大于 2TB 选择第二项安装KVM 类型虚拟 机选择第三项安装其他选项不常用。 图 7.20 运维堡垒机系统初始安装 安装完成后登录运维堡垒机操作系统管理员账户为root 初始密码为blj2015BLJ 登录后即可修改初始密码。 修改密码命令 passwd root 建议安装完操作系统后先关闭防火墙再执行运维堡垒机访问及配置等操作。关闭 防火墙命令 service iptables stop 其他两台虚拟机Windows2016 和 CentOS7 按常规方法安装操作系统即可在此不 再赘述。 虚拟机全部安装完成后按照表 7-2 中的数据为虚拟机分配 IP。 表 7-2 虚拟机 IP 分配表 虚拟机IP 地址运维堡垒机 网卡 1- 192.168.10.10 网卡 2- 192.168.100.10 CentOS7 虚拟机192.168.100.11Windows2016 虚拟机192.168.100.12Windows10 工作站192.168.10.5 注 1在宿主机 Windows10 工作站中在网络连接界面将与运维堡垒机相连的虚拟网 卡 VMnet1IP 配置为 192.168.10.5如图 7.21 所示。本环境中为 VMnet1 网卡 图 7.21 宿主机网卡配置 2其他虚拟机为单网卡配置直接为网卡分配 IP 地址。 3为测试方便建议先关闭所有虚拟机的防火墙待测试完成后再配置防火墙策 略。 完成基础环境配置后进行连通性测试操作如下 从 Windows10 工作站 ping 运维堡垒机网卡 IP 192.168.10.10能通从运维堡垒机 ping CentOS7 虚拟机 IP192.168.100.11 以及 Windows2016 虚拟机 IP192.168.100.12能 通而从 Windows10 工作站 ping 192.168.100.11 和 192.168.100.12 是不通的必须通过 运维堡垒机才能实现远程管理。 2.运维堡垒机登录 系统安装完成后打开浏览器建议用谷歌浏览器输入运维堡垒机地址 https://192.168.10.10 进行登录默认管理员用户名和密码为 admin/12345678。 系统设置主要包括三个步骤 1为每个运维人员创建一个 Web 用户 2把需要管理的设备及设备用户设备管理员账户如root 或 administrtor录入 或导入运维堡垒机绑定权限 3为 Web 用户进行设备授权。 系统登录界面如图 7.22 所示。 图 7.22 运维堡垒机登录界面 7.4.3 管理 Web 用户 Web 用户指运维堡垒机用户运维堡垒机上线后用户的所有操作必须通过登录运维 堡垒机才能跳转到被管理的服务器因此必须先为每个人建立一个 Web 帐号用于登录 运维堡垒机。 1.添加 Web 用户及用户组 在创建用户前建议先添加用户组用户组可以让管理和权限划分更明细化。用户组管 理在菜单“资源管理”-“Web 用户”-“用户组管理”界面用户组可以分为多层。点 击“添加新节点”按钮可以创建新的用户组。一般用户组按企业部门进行划分如图 7.23 所示。 图 7.23 添加 Web 用户组 完成上面操作进入图 7.24 界面输入组名称其他默认即可点击“确认” 按钮。 图 7.24 Web 用户组配置 在“资产管理”-“Web 用户”-“用户管理”界面点击“添加用户”按钮如图 7.25 所示。 图 7.25 添加 Web 用户 只需要添写用户名、真实姓名、密码、确认密码、运维组五项其中密码至少 8 位 运维组随便从下拉中选择一个默认的就可以然后点击最下方“确认”按钮即可创建新用户。 2.批量创建运维堡垒机 Web 用户 在用户较多的情况下可以使用导入方式批量创建用户。 首先手工建立一个 Web 用户然后点击下方的“导出”按钮系统会导出一个 CSV 格式 文件 audit-member-日期.csv如图 7.26 所示。 图 7.26 导出 CSV 格式文件 以此文件为模版只需要按图 7.27 的格式增加新行电子邮箱选填然后点“导入” 按钮。 注意导出的文件中第二列密码为加密密文编辑时都输入明文导入。 同一个 CSV 文件中要么密码全是密文要么全是明文不能有的密文有的明文进行 导入。 图 7.27 批量导入用户 7.4.4 管理设备和设备用户 运维堡垒机的设备管理基于设备、设备用户和设备组。设备用户。即是。要管理的主机 可以是网络设备也可以是服务器。设备用户包含设备名称、IP 地址、管理端口等信息 以及固定资产等资产类信息。 1.添加设备组 在创建设备前建议先创建设备组。设备组在“资源管理”-“设备管理”-“设备组 管理”菜单中点击添加新节点按钮执行添加操作。设备组是可以分为多级的根据管理设 备功能或属性特点可以创建多个设备组来进行管理。如服务器管理员组网络设备管理 员组等如图 7.28 所示。 图 7.28 添加设备组 2.添加设备及设备用户 运维堡垒机的授权基于设备用户。因此添加完设备组后要添加设备。必须要给设备 至少增加一个用户不然无法授权运维人员登录后无法看到没有加设备用户的设备。 点击“资源管理”-“设备管理”-“设备管理”菜单点击“添加”按钮如图 7.29 所示。 图 7.29 添加设备 只需要添加主机名、系统类型下拉选 Windows、IPv4 地址设备组下拉菜单选 择一个默认组 四项然后拉到最下方点击“保存修改”按钮如图 7.30 所示。 说明设备类型无 Windows 2016 选项所以选择 Windows 2012。 图 7.30 填写设备信息 添加设备后会自动返回设备菜单。这时设备列表最右方有一个“用户”按钮必须 要点击这台设备的“用户”按钮给这个设备增加设备用户实际设备的管理员账户用 于登录设备身份认证如图 7.31 所示。 图 7.31 设备用户 完成上面操作后点击“添加”按钮添加设备用户。如图 7.32 所示。 图 7.32 添加设备用户 设备用户分为托管用户名/密码或空用户二种方式。 托管用户名/密码是指把设备的用户名和密码录入到运维堡垒机上比如 root/password。 托管密码方式运维人员通过运维堡垒机登录设备时运维堡垒机会自动帮助用户输入 设备用户名和密码登录而不需要用户再次输入。 空用户方式用户通过运维堡垒机登录设备时需要自己二次输入设备的用户名和密码。 参照公司管理需要确定具体使用的方式。一般情况下如果用户名和密码不需要让运 维人员知道可以使用托管方式。如果用户名和密码需要运维人员自行管理则使用空用户 方式。 在前面操作的基础上点击“添加”按钮后进入填写设备用户信息界面如图 7.33 所示。填写用户名如果使用空用户方式不需要输入用户名和密码只需要勾上空用户即 可、原始密码、确认密码、登录方式协议 Windows 选择 rdpLinux 选择 ssh端口 Windows 输入 rdp 端口Linux 输入 ssh 端口后页面拉到最下方。点击“保存修改” 按钮。 图 7.33 填写设备用户信息 3.批量添加设备及设备帐号 如果设备用户量很大可以使用 Excel CSV 文件导入方式进行创建。导入前注意一定 要先建好设备组导入过程中如果服务器组列不存在会导入不成功。 导入方法为首先在运维堡垒机上建立一台设备并且给这个用户添加一个帐号然后 点击下载按钮下载一个 csv 格式文件使用 audit-devices-日期.csv 表为模版进行批量添 加账户只需要按模版中例子填入 A-H 列其它列可从模板中复制再进行调整如图 7.34 所示。 图 7.34 批量导入设备用户 录入完成后另存为 CSV 格式。在“资源管理”-“资产管理”-“设备管理”中 点击“导入”按钮执行批量添加账户。 注意导出时密码为密文如图 7.34 中的 G 列所示。导入时要修改为明文进行导入。 7.4.5 管理授权 授权分为批量授权和单个设备授权二种模式临时授权建议使用单个授权模式日常管 理建议使用批量授权模式。 1.单个设备授权 单个设备授权可以把单个设备帐号授权给运维人员的 Web 用户。单个设备授权只用于 临时授权比如暂时将一个设备授权给一个用户使用一段时间后会撤消取。因为这种授权 模式为点到点模式如果用户和设备多的时候授权条目会非常多最终造成权限混乱。单 个设备授权操作选择执行“资源管理”-“设备管理”-“设备管理”菜单找到想要授权 的设备点击后面的“用户”按钮如图 1.33 所示。 图 1.33 设备用户 然后界面中会列出这台设备上的所有用户。找到想要授权的用户点击这个用户后面 的“编辑”按钮如图 7.35 所示。 图 7.35 编辑设备用户 点击“编辑”按钮后弹出图 7.36 界面。打开这个设备的编辑界面后鼠标拖拽垂直 滚动条到界面的最下方会列出所有的运维堡垒机 Web 用户和 Web 用户组勾上想要授 权的用户或用户组点击“保存修改”按钮实现单个设备用户授权。 图 7.36 授权用户和用户组 2.批量授权 批量授权可以一次性把多个设备组或多个设备用户加到一个授权组里然后把这个授权 组授权给用户或用户组被授权的用户即可获得授权组操作所有设备的权限。当将设备组加 到授权组时设备组中所有的设备用户都会被授予登录的权限。 批量授权的步骤为首先创建一个授权组再在将设备组或设备用户加到授权组中然 后在下方勾选想要授权的 Web 用户组或 Web 用户。 批量授权的操作是选择执行 “资源管理”-“权限管理”-“设备批量授权”菜单 点击“添加新组”按钮便可新建一个授权组如图 7.37 所示。 图 7.37 添加授权组 批量授权可以使用设备组的方式或设备用户的方式进行授权。 设备组方式点击组操作可以列出所有的设备组勾中想要授权的设备组点击“保存” 按钮就可将设备组加到右侧文本框如图 7.38 所示。 图 7.38 授权组配置 1 如果不想使用设备组也可以批量选择左侧的系统用户组批量加入到右侧文本框进行 授权如图 7.39 所示。 图 7.39 授权组配置 2 将设备组和设备用户添加到右侧文本框里后可以勾中下方的运维堡垒机 Web 用户组 或 Web 用户。点击“保存”按钮后运维堡垒机会自动合并右侧文本中的设备用户和设备 组比如选的某个设备用户已在设备组里添加后会自动合并。 点击“保存”按钮后下方勾选的用户或用户组中所有的用户会拥有右侧设备组、设备 用户的登录权限如图 7.40 所示。 图 7.40 批量授权分配权限 7.4.6 运维操作 运维堡垒机支持工具登录方式和 Web 界面登录方式。 工具登录方式不需要使用浏览器直接在 SecureCRT、Xshell、远程桌面等任何运维 工具中输入运维堡垒机的 IP使用 Web 用户名和密码可直接登录到运维堡垒机运维 堡垒机会显示出用户可登录的设备用户选择设备后可以登录到目标设备。 Web 登录方式使用浏览器访问运维堡垒机 IP然后使用 Web 用户名和密码登录登录 后会列出所有的可登录设备点击设备后面的工具便可登录到目标设备。 1.工具登录方式 使用工具登录主要有命令行登录和图形界面登录两种方式。对于 Linux 操作系统通常 采用命令行登录Windows 操作系统通常采用图形界面登录。 命令行工具登录 SSH 使用 SecureCRT 或 Xshell、Putty 等任何一种工具在目标 IP 中输入运维堡垒机 IP用户名为运维堡垒机 Web 用户名密码为登录运维堡垒机 Web 用户密码默认 ssh/telnet 端口为 22。注意 ssh/ssh1/telnet 协议都要选择 ssh2 协议RDP 端口为 3389 如图 7.41 所示。 图 7.41 命令行登录主机 输入 Web 用户名和密码后可以看到设备列表。本实验环境中因为只有 1 台 Linux 设 备所以设备列表只有 1 行设备如图 7.42 所示。 图 7.42 选择操作主机 其中第一列为序号在输入栏可以输入 1-10 序号登录想要登录的主机同时在输入栏 可以输入 IP 或主机名的一部分进行索引。比如如果输入 192 回车则会索引出 IP 和主 机名中包含字符 192 的所有设备并且显示出来让用户选择最终运维人员选择一个设备 后输入这个设备头一列的 ID 号回车即可登录到目标设备。 图形界面工具登录 键盘上按住“WindowsR”键屏幕左下角弹出“运行”窗口。“运行”中输入 mstsc 启动远程桌面登录程序。输入运维堡垒机 Web 用户及密码点击“确定”按钮如图 7.43 所示。 图 7.43 图形界面登录主机 回车后在此界面可选择服务器 IP 和连接协议本环境中只有 1 台 Windows2016,所 以直接点击“确定”按钮如图 7.44 所示。 图 7.44 选择主机 点击“确定”按钮后便登录桌面。如果设备用户当初创建的是空用户需要重新输入 目标主机操作系统账户及密码。 2.Web 登录方式 运维堡垒机支持 Web 方式登录管理可使用浏览器登录运维堡垒机平台推荐使用谷 歌浏览器。登录后需要先安装浏览器插件才能使用全部功能。
客户端插件安装 打开浏览器输入 https://运维堡垒机 ip本环境是 https://192.168.10.10。登录运维堡 垒机然后输入管理员建立的帐号这里是 test /12345678,登录进去后首次必须修改 密码才能执行其他操作新密码至少 8 位如图 7.45 所示。 图 7.45 Web 方式登录运维堡垒机 修 改 密 码 后 执 行 “ 其 它 ” - “ 工 具 下 载 ” 菜 单 找 到 运 维 堡 垒 机 插 件-windows-2019-3-27.zip下载到本地解压安装完成后再打开即可如图 7.46 所示。 图 7.46 运维堡垒机插件下载 下载并解压缩后双击插件文件进行安装如图 7.47 所示。 图 7.47 插件安装 1 安装整个过程全部选择默认的“下一步”按钮如图 7.48 所示。 图 7.48 插件安装 2 安装完成界面如图 7.49 所示。 图 7.49 插件安装完成 客户端插件测试 安装后判断插件是否已经安装成功可以打开任何浏览器在浏览器的 url 输入栏中输入 地址baoleiji://actiona。如果出现以下报警即表示安装成功如图 7.50 所示。 图 7.50 测试插件安装 插件安装好以后通过浏览器登录运维堡垒机使用运维堡垒机的日常运维管理功能。 具体操作细节详见下节内容。 3.运维人员操作 使用 Web 用户如test登录运维堡垒机。点击“设备列表”-“设备组”菜单 可以看到授权给自己的的 Windows 和 Linux 用户。 右侧工具栏第一列的 IE 图标为 HTML5 连接方式。如果使用 HTML5 工具不需要安装 插件或在本地安装 SecureCRT 等工具。如果想使用工具登录点击右侧的运维工具执行登录。注意如果登录 Linux 操作系统 必须要先在 PC 上安装 Putty、SecureCRT 等工具并且保证工具能正常使用如图 7.51 所示。 图 7.51 Web 操作界面 可以选择一种管理工具比如点击 SecureCRT 工具第一次使用时会弹出一个对话框 要求填入SecureCRT的路径如图7.52所示。点击“浏览”按钮在对话框中找到SecureCRT 的路径点击“确定”按钮。如果想用 Xshell 或 Putty也要同样指定路径。 注意堡垒机的此项功能不支持 Seurecrtpotal.exe选中文件必须是 SecureCRT.exe 本环境中浏览器为谷歌浏览器。 图 7.52 初次使用配置工具路径 完成上面的设置后登录到目标机并且执行命令如图 7.53 所示。 图 7.53 登录后界面 Windows 操作系统中点击远程桌面图标连接到 Windows 远程桌面进行操作如图 7.54 所示。远程桌面连接过程中如果有警告信息全部点击“是”按钮。 图 7.54 Windows 远程桌面登录 以上是运维人员使用运维堡垒机过程中进行设备管理的基本操作。 4.审计员操作 运维人员是使用运维堡垒机的主要群体运维堡垒机对运维人员的操作行为进行记录 需要时可审计或回放。可以使用 admin 用户直接进行审计也可以使用专门的审计管理员 audit 进行审计。下面以 admin 为例说明审计运维人员操作行为的过程。 审计录像在线回放 审 计 录 像 回 放 支 持 在 线 、 离 线 二 种 方 式 telnet/ssh 在 线 回 放 直 接 点 击 Web/Putty/SecureCRT 中的任意一种方式如图 7.55 所示。 图 7.55 操作审计界面 审计录像离线回放 telnet/ssh 离线回放功能需要到“其它”-“工具下载”中下载 sshreply.zip绿色软 件。 RDP 在线、离线回放功能都要到“其它”-“工具下载”中下载 rdpreplay.zip 解压 后使用如图 7.56 所示。 图 7.56 回放工具下载 和运维工具一样使用回放工具时都要浏览找到视频下载位置。如图 7.57 所示。 图 7.57 回放工具的使用 另外RDP 录相支持.tmp 和.rxs 二种.tmp 未非压缩模式.rxs 为压缩模式默认录相 都是.tmp 的。如果离线播放.tmp 文件需要选择文件类型否则无法看到录相文件 如图 7.58 所示。 图 7.58 选择回放文件 通过审计回放功能既可以审核运维人员行为也可以协助运维人员进行操作回溯便 于查找问题根源。 5.系统监控管理 以管理员身份登录运维堡垒机后可以查看当前系统的运行状态也可以看到实时的连 接并进行“断开”、“监控”等操作如图 7.59 所示。 图 7.59 系统监控管理 日常使用中主要围绕本节所述设备管理、行为审计、运维堡垒机状态监控这三个方 面内容。关于使用中的异常问题处理详见下节内容。 7.4.7 故障排除 运维堡垒机在运维管理中偶而会遇到插件安装失败或异常的情况导致运维堡垒机无 法完成正常功能操作。下面总结了几点常见问题及排除方法。 1.安装插件后点击 SecureCRT 等工具无法弹出 一般是因为病毒软件阻止插件注册造成的建议关闭杀毒软件并且使用管理员权限 安装插件打开浏览器在浏览器的 url 输入栏中输入如下链接baoleiji://actiona 如果弹出图 7.60 所示的窗口即表示安装成功。如果没有弹出则说明插件安装失败 需要查找安装中存在的问题。 图 7.60 测试插件安装 如果安装的不成功一般是因为 360 等软件不允许注册的原因可以使用管理员权限 启动 cmd.exe手工注册。 操作步骤在 Windows 开始按钮旁边搜索框中输入 cmd找到命令提示符。使用鼠 标右键菜单在弹出菜单中选择以管理员身份运行如图 7.61 所示。 图 7.61 管理员身份运行命令行 在窗口中输入命令行 c:\Program Files (x86)\Baoliji1.1\bljinstall.reg 回车完成手工 注册如图 7.62 所示。 图 7.62 命令行手工注册 另外运维堡垒机目前插件只支持 SecureCRT.exe不支持 Securecrtportal。如果使 用 Securecrtportal.exe需要更换为 SecureCRT.exe。 2.程序路径选择错误 运维工具目录存在本地 C 盘 C:\Users\Administrator\AppData\Roaming\freesvr\configuration.ini 文 件 中 。 其 中 administrator 用户名需要用登录到 PC 运维终端的用户名替换“查看”菜单中勾选隐藏的 项目选项。 Configuration.ini 文件内容如下 xshellC:\Program Files (x86)\NetSarang\Xmanager Enterprise 5\Xshell.exe xftpC:\Program Files (x86)\NetSarang\Xmanager Enterprise 5\Xftp.exe secloudappclientC:\Program Files (x86)\SECLOUDTEC\SecloudAppClient\client.exe rdpplayerC:\Freesvr\rdpplayer.exe securecrtC:\tools\SecureCRT7.2.3-64bit\SecureCRT.exe 如果目录位置选择错误可以直接编辑这个文件修改或删除这个文件后再次在对话框 中输入。 安全运维是企业 IT 工作有序开展的重要环节堡垒机则是安全运维中的重要工具在 企业大规模运维中堡垒机已经是必不可少的一个安全工具。一方面它大大提高了运维管理 的效率同一界面管理了所有设备也大大减少了管理漏洞另一方面它具备了高安全的管 理入口统一加密的配置提高了安全性同时完备的审计和回溯功能既提升了审计的效率 和准确性也方便管理员排错。在等保的管理要求中有多个技术维度都重点提及了审计的 要求因此堡垒机在合规审计方面也是必不可少的工具之一。 掌握和充分利用好堡垒机的特色功能学以致用对于以后的实际工作具有重要的指 导意义和实用价值。
