堡壘機支持配置控制策略。您可以通過設置命令控制、命令審批、協議控制、訪問控制策略等,對運維行為進行管控,有效防止用戶進行高危命令操作或誤操作,以保障運維安全。
步驟一:新建控制策略
登錄堡壘機系統。具體操作,請參見登錄系統。
在左側導航欄,單擊控制策略。
在控制策略頁面,單擊新建控制策略。
在新建控制策略頁面,配置控制策略的名稱、優先級、命令控制、命令審批、協議控制、訪問控制以及運維審批,單擊新建控制策略。
配置項
說明
名稱
自定義控制策略名稱。規則如下:
長度為1~128個字符。
不能以特殊字符開頭。
僅可包含特殊字符中的半角句號(.)、下劃線(_)、短劃線(-)、反斜線(\)以及空格。
優先級
配置控制策略優先級。
優先級可設置范圍:1~100。默認值為1,即最高優先級。
不同控制策略可以設置相同的優先級。多個控制策略的優先級相同時,最新創建的策略優先級最高,在一條策略中,若命令控制和命令審批里設置有相同的命令,則優先級從高到低是:拒絕 > 允許 >審批。
命令控制
說明僅適用于Linux主機。
配置在當前策略生效用戶和主機中,允許或禁止執行的命令。
命令控制類型:
(黑名單)不允許執行以下命令:選擇黑名單后,命令控制列表可以為空。在當前策略生效用戶和主機中,不允許執行黑名單命令列表中的命令。
(白名單)只允許執行以下命令:選擇白名單后,命令列表為必填項。在當前策略生效用戶和主機中,只允許執行白名單命令列表中的命令。
命令列表:有關命令策略的推薦模板,請參見命令策略推薦模板。
命令審批
說明僅適用于Linux主機。
配置執行需要審批的命令。
如果用戶執行了已配置在命令審批命令列表中的命令,您可以在堡壘機控制臺對該命令是否執行進行審批。審批允許后該命令會被執行,審批拒絕后該命令不生效。關于命令審批的更多信息,請參見命令審批。
命令審批對命令控制(白名單或黑名單)以外的命令生效。命令控制策略生效的優先級高于命令審批。
協議控制
配置控制策略的RDP選項、SSH選項以及SFTP選項。
選中協議控制項表示允許該操作,未選中表示不允許進行相應操作。例如,選中文件上傳,表示允許執行上傳文件操作。
重要SSH通道和SFTP通道必須至少開啟一項。取消勾選SSH通道后,將無法通過SSH權限登錄資產賬戶,請謹慎配置。
如果您為主機賬戶開啟僅開啟SFTP權限,請勿在控制策略里為該賬戶關閉SSH通道及SFTP通道,否則將無法通過堡壘機使用該主機賬戶訪問目標服務器。
訪問控制
配置來源IP是否可以訪問當前策略生效的主機。
(白名單)只允許以下IP:如果選擇白名單,IP列表為必填項。只允許白名單中的來源IP訪問當前策略生效的主機。
(黑名單)不允許以下IP:如果選擇黑名單,IP列表可以為空。不允許黑名單中的來源IP訪問當前策略生效的主機。
運維審批
開啟后,運維人員登錄資產時,需由管理員審批通過,才能進行運維。關于運維審批的更多信息,請參見運維審批。
步驟二:關聯資產及用戶
在關聯資產/用戶頁面,您需要同時為該策略關聯資產及用戶,使該策略在相應資產及用戶上生效。
為該策略關聯資產。支持選擇策略針對所有資產生效或策略針對已選擇的資產生效。
選擇策略針對所有資產生效,默認對所有資產賬戶生效。
選擇策略針對已選擇的資產生效,在關聯資產后,可選擇關聯所有賬戶或者關聯指定賬戶。
說明如果需要通過控制策略批量關聯資產或者資產賬戶,可以先將資產批量添加到資產組,再進行批量關聯。
為該策略關聯用戶。支持選擇策略針對所有用戶生效或策略針對已選擇的用戶生效。
命令策略推薦模板
下表介紹命令策略推薦配置的命令、描述以及推薦策略模板。您可以參照該表,配置命令控制和命令審批。
命令 | 描述 | 推薦策略 |
reboot | 重啟 | 命令審批 |
restart | 重啟 | 命令審批 |
shutdown | 關閉系統 | 命令審批 |
halt | 關閉系統 | 命令審批 |
poweroff | 關閉系統 | 命令審批 |
init 0 | 停機 | 命令審批 |
pkill | 批量殺死進程 | 命令審批 |
kill | 殺死單個進程 | 命令審批 |
rm -rf | 遞歸強制刪除,忽視提示 | 命令審批 |
mount | 掛載文件系統,有病毒拷貝危險 | 命令審批 |
umount | 卸載文件系統 | 命令審批 |
parted | 文件系統分區 | 命令審批 |
format | 格式化 | 黑名單命令 |
dd if=/dev/zero of=/dev/had | 硬盤清零 | 黑名單命令 |
:(){:|:&};: | fork炸彈 | 黑名單命令 |
(mv)(|.*)(/dev/null) | 移動目錄至黑洞 | 黑名單命令 |
(wget)(|.*)(-O- \| sh) | 下載后直接執行 | 黑名單命令 |
mkfs.ext3 * | 格式化 | 黑名單命令 |
dd if=/dev/random of=/dev/* | 向塊設備中隨機寫入數據 | 黑名單命令 |