麒麟开源堡垒机密码定期修改手册
麒麟堡垒机密码定期修改手册
1、堡垒机设置部分
自动修改密码可以为Windows系统、Linux系统、Unix系统进行密码托管,并且按运维相关要求进行口令强度和周期的修改。
堡垒机上设置一台设备自动修改密码按如下步骤:
(1)设置修改密码的频率
在设备管理菜单中编辑设备,其中修改方式就是自动改密的频率,按月指每月几号修改,按周是每周几修改,自定义是多少天修改一次,比如下面的设置为一天修改一次,如果把频率设置为30,则为30天修改一次,如果设备为Linux/Unix系统,并且root用户不能自动登录,则必须在这个页面输入超级管理员口令:
(2)设置修改密码主帐号(Linux/Unix)
如果需要一台Linux/Unix主机进行自动改密,则需要一个改密主帐号,Linux/Unix是通过登录协议登录到主机运行passwd命令进行密码自动修改的,系统是通过改密主帐号完成这一操作,即不管这台主机上有多少个用户,Linux/Unix都使用改密主帐号登录到系统上,使用passwd命令来完成所有的用户的密码修改,因此,改密主帐号必须有root权限(或可以通过上步输入的密码su成root)。
设置了修改密码的频率后,需要指定主机上的改密主帐号,即打开这个主机的帐号页面,编辑为改密主帐号的那个用户,将修改密码主帐号勾选,如果这个帐号不是root权限,则必须勾选改密时su为超级用户,如下图:
(3).选择需要修改密码的用户
即使设置了改密频率和改密主帐号,系统也只修改这台主机上勾选了自动修改密码的帐号密码,即,如果用户没有勾选自动修改密码,则这个帐号即使到了改密周期,系统也不会对这个帐号进行密码修改。
编辑需要自动修改密码的用户,勾选自动修改密码选项
2、密码策略
系统可以设置自动修改密码时的密码策略,在资源管理-策略设置-自动改密菜单中,进行密码策略修改,主要包含密码长度、强度、记忆次数等,如果在这里设置了密码策略,在前台手工修改密码时,则必须符合这里的策略,否则无法修改成功
3、手工修改
(1)前台修改:
前台可以手工进行密码修改测试,使用password用户登录到系统,在密码管理-修改密码菜单中,选择相应的设备组,如果在正文的密码对话框中输入密码,则所有的设备会被强制修改为这里输入的密码,如果输入了IP和用户,则只修改相应的IP和用户的密码,在密码修改里,如果下拉强制修改,则修改所有勾选了自动修改密码的用户(即使这个用户不到改密周期),选择好相应的条件后,点击生成密码按钮
系统会列出所有的具备条件的主机列表,这时用户可以在即时修改那列选去不希望修改密码的主机,点击立即修改密码按钮,系统即会启动密码修改程序
(2)后台修改:
用户也可以通过ssh到堡垒机后台运行命令进行修改,后台修改的好处为可以看到系统修改的整个过程,登录到后台后运行命令
1.可执行文件的路径在/opt/freesvr/audit/passwd/sbin/freesvr-passwd
2.运行方法
2.1 可以不加参数,表示修改所有的服务器上所有用户的密码
2.2 可以加-g groupname 参数,表示可以修改名字为groupname 这个设备组的所有服务器的密码(与servergroup表相关)例如-g change
2.3 可以加-s ip 参数,表示修改所有地址为ip的服务器的密码例如-s 222.35.62.170
2.4 可以加-u username 参数,表示修改所有用户名等于username的帐号的密码(此参数与服务器的ip地址无关),例如-u monitor
2.5 可以加-p password 参数,指定修改后的新密码为password,例如-p freesvr 没有-p参数,系统将随机生成12位密码
2.6 可以加-f 参数,表示强制修改。不加此参数,系统根据servers表里的month,week,user_define来判断此时此刻是否应该修改密码,加了-f,不论时间到了没有,强制修改。
2.7 以上个参数,都是可以加,可以不加,随意组合。唯一的禁忌就是有了-g 和-s不能共存,例如:
修改所有的用户的命令:
/opt/freesvr/audit/passwd/sbin/freesvr-passwd –f
只修改主机192.168.1.1上用户密码的命令:
/opt/freesvr/audit/passwd/sbin/freesvr-passwd -s 192.168.1.1 –f
只修改服务器组change中的所有服务器上的用户密码的命令:
/opt/freesvr/audit/passwd/sbin/freesvr-passwd -g change –f
4、自动修改
使用password用户登录到前台,选择菜单密码管理-定时任务菜单,勾选改密服务的复选,然后在时间上进行选择,如果选择*表示所有的时间,比如下面表示每天的1点1分进行密码修改
注意:为了不影响用户使用,密码自动修改服务要在每天凌晨没有人使用的时候进行
5、故障排除
系统的整个密码修改过程都记录在日志文件:
/opt/freesvr/audit/passwd/log/freesvr_passwd.log
中,如果密码修改出现任何问题可以将这个文件取下送到厂商进行分析
另外系统修改完毕后,可以登录到后台使用自动拨测工具进行拨测,测试密码是否正常,方式为登录到系统后台,运行命令:
/opt/freesvr/audit/dial/sbin/freesvr-dial
6、密码文件取得
(1)邮件方式
系统可以配置正确的SMTP服务器,将密码通过SMTP服务器发送到password用户的邮箱,出于权限分离,发送的密码为加密方式,加密的密码会发送到admin邮箱,加密密码也是加密的,需要password、audit、admin,三人同时输入密码才可以得到正确的解压密码。
在系统配置-参数配置-告警配置中设置发送密码文件的来源邮箱,每次修改密码后,系统都会自动将密码文件和加密的密钥发送到password和admin的邮箱。
Admin用户在资产管理-密码密钥菜单中,通过文件名可以找到对应加密密码文件的解密密钥,找到相同文件名的行,点查看,在弹出的菜单中需要audit和password用户输入密码,就可以看到这个文件的解密密钥,如果未发现密钥行,可以点击正文的添加按钮,从admin用户的邮箱中,找到加密的字符串,添加到系统后,在通过上面的方式即可以取得密钥。
6、密码上传
(1)SFTP上传到其它Linux
系统可以使用sftp协议将密码和密钥定期上传到其它Linux上,使用admin用户登录到系统,在系统配置-系统管理-数据同步菜单,新建一个同步条目:
描述项为本条目的标识名称
同步模式需要选择为密码文件
同步地址写上传的LINUX地址
同步端口为上传的LINUX SSH端口号
系统用户、系统用户密码为上传的LINUX上的用户名和密码,程序会用这个用户上传文件
备份目录为上传的位置
同步协议选择为sftp
点击确实后,登录到系统后台,使用crontab –e命令,增加一条启动备份程序:
1 1 * * * /home/wuxiaolong/5_backup/backup_passwd.pl
上述条目,可以在每天凌晨1点1分将密码文件上传备份。
系统配置好以后,可以直接运行
/home/wuxiaolong/5_backup/backup_passwd.pl 命令进行手工测试。
齐治堡垒机简易使用手册
齐治堡垒机简易使用手册 Shterm用户手册- 应用发布手册杭州奇智信息科技有限公司2011年3月版本浙江齐治科技有限公司目录第1章用户登录shterm ......................................................... ................................................. 3 普通用户首次登录............................................................... ........................................ 3 用户登录账号............................................................... .................................... 4 使用环境准备............................................................... .................................... 4 第2章Windwos设备访问............................................................... ......................................... 6 WEB登录...............................................................
堡垒机系统应急预案
堡垒机应急预案
1 麒麟开源堡垒机应急处理 部署麒麟开源堡垒机后用户对设备的运维操作均需通过堡垒机进行,以确保访问行为安全、可审计。 而麒麟开源堡垒机应急处理方式主要取决于实施过程所采用的访问控制方式。 麒麟开源堡垒机在推广使用过程中一般有两种访问控制方式分别是1、口令修改方式2、网络ACL方式(网络ACL设备为VPN设备及交换机)下面就对以上两种方式的应急处理进行简单的说明。 1.1 采用口令修改访问控制方式时的应急 为确保所有设备维护人员必须通过堡垒机访问设备,通用做法之一就是将相应的设备账号口令进行修改,正确设备口令均存储在堡垒机中,堡垒机会定期的将所有设备或部分设备的账号名/口令进行备份并以邮件或其他方式发送加密信封给少数高权限管理员。 应急方法:当堡垒机出现短期无法恢复的宕机情况时,高权限管理员可直接将响应设备账号/口令发送至普通访问人员手中以确保能够正常登陆设备完成业务。
1.2 采用网络ACL 访问控制方式时的应急 A 区 为确保所有设备维护人员必须通过堡垒机访问设备,另外一种常用做法为网络ACL 方式。 设置VPN 服务器及用户专线接入交换机ACL (或交换机ACL )限制访问用户到具体生产设备域的几个标准运维端口的访问,如:telnet(23)、SSH(22)、RDP (3389)并将堡垒机访问端口例外。具体防火墙策略可参看下表。 防火墙策略 应急方法:当堡垒机出现短期无法恢复的宕机情况时,网络管理员需直接将办公域与具体生产设备安全域之间的ACL 网络限制去除,允许用户对生产设备的直接访问。 2 生产恢复 在进行上述应急处理的同时,公司将指派技术人员在4小时内(本省)赶赴现场进行故障处理,到场后2小时内解决。若遇到重大技术(如灾难性事故)问
麒麟开源堡垒机用户操作手册
运维安全堡垒平台用户操作手册 麒麟开源堡垒机用户操作手册
目录 1.概述 (1) 1.1.功能介绍 (1) 1.2.名词解释 (1) 1.3.环境要求 (2) 2.登录堡垒机 (2) 2.1.准备................................................................................................. 错误!未定义书签。 2.1.1.控件设置 (2) 2.1.2.Java Applet支持............................................................................. 错误!未定义书签。 2.2.登录堡垒机 (3) 3.设备运维 (4) 3.1.Web Portal设备运维 (4) 3.2.运维工具直接登录 (6) 3.3.SecureCRT打开多个设备 (7) 3.4.列表导出 (11) 4.操作审计 (14) 4.1.字符协议审计 (14) 4.2.SFTP和FTP会话审计 (16) 4.3.图形会话审计 (17) 4.4.RDP会话审计 (18) 4.5.VNC会话审计 (20) 5.其他辅助功能 (22) 5.1.修改个人信息 (22) 5.2.网络硬盘 (22) 5.3.工具下载 (23)
1.概述 运维安全堡垒平台(以下简称运维堡垒机)是用于对第三方或者内部运维管理员的运维操作行为进行集中管控审计的系统。运维堡垒机可以帮助客户规范运维操作行为、控制并降低安全风险、满足等级保护级其他法规对IT内控合规性的要求。 1.1.功能介绍 运维堡垒机集中管理运维账号、资产设备,集中控制运维操作行为,能够实现实时监控、阻断、告警,以及事后的审计与统计分析。 支持常用的运维工具协议(如SSH、telnet、ftp、sftp、RDP、VNC等),并可以应用发布的方式支持图形化运维工具。 运维堡垒机支持旁路模式和VPN模式两种方式,物理上旁路部署,灵活方面。 运维堡垒机在操作方式上,不改变用户的操作习惯,仍然可以使用自己本机的运维工具。 1.2.名词解释 协议 指运维堡垒机运维工具所用的通信协议,比如Putty使用SSH协议,CRT支持SSH 和Telnet等。 工具 指运维人员实现对设备的维护所使用的工具软件。 设备账号 指运维目标资产设备的用于维护的系统账户。 自动登录 指运维堡垒机为运维工具实现自动登录目标被管设备,而运维用户不需要输入目标设备的登录账号和密码,也称为单点登录(SSO)。 命令阻断
极地内网内控安全管理系统内控堡垒主机操作手册V
极地内网内控安全管理系统 (内控堡垒主机) 操作手册北京市海淀区上地安宁庄西路9号金泰富地大厦8层 电话:010- 传真:010- 客服:400-01234-18 邮编:100085 网站:
目录
一、前言 欢迎使用内控堡垒主机系统,本用户使用手册主要介绍内控堡垒主机部署结构、配置、使用和管理。通过阅读本文档,用户可以了解内控堡垒主机系统的基本设计思想,配置和使用方法。在安装、使用内控堡垒主机系统之前,请仔细阅读文档内容。 本章内容主要包括: ●本文档的用途。 ●阅读对象。 ●本文档的组织结构。 ●如何联系北京极地安全技术支持。 1.1 文档目的 本文档主要介绍如何配置和使用内控堡垒主机系统。通过阅读本文档,用户能够正确地部署和配置内控堡垒主机系统。 1.2 读者对象 本安装手册适用于具有基本网络知识的安全管理员、系统管理员阅读,通过阅读本文档,他们可以独自完成以下一些工作: ●内控堡垒主机系统的功能使用。 ●内控堡垒主机系统的策略配置与管理。 1.3 文档组织 本文档包括以下章节及其主要内容: ●前言,介绍了本手册各章节的基本内容、文档和技术支持信息。 ●系统简介,介绍内控堡垒主机系统的部署结构和登录方法。 ●系统应用,介绍如何配置使用内控堡垒主机系统。 1.4 技术支持 北京极地公司对于生产的安全产品提供远程的产品咨询服务,广大用户和合作伙伴可以通过多种方式获取在线文档、疑难解答等全方位的技术支持。
公司主页提供交互网络服务,用户及合作伙伴可以在世界的任何地方,任何时候访问技术支持中心,获取实时的网络安全解决方案、安全服务和各种安全资料。 ●传真: 010- ●客服经理承接质量问题投诉邮箱: 二、系统简介 内控堡垒主机系统是极地安全内控解决方案的重要组成部分,部署在企业的内部网络中,用于保护企业内部核心资源的访问安全。 内控堡垒主机是一种被加固的可以防御进攻的计算机,具备很强安全防范能力。内控堡垒主机扮演着看门者的工作,所有对网络设备和服务器的请求都要从这扇大门经过。因此内控堡垒主机能够拦截非法访问,和恶意攻击,对不合法命令进行命令阻断,过滤掉所有对目标设备的非法访问行为。 内控堡垒主机具备强大的输入输出审计功能,不仅能够详细记录用户操作的每一条指令,而且能够将所有的输出信息全部记录下来,也具备图形终端操作的审计功能,能够对多平台的多种图形终端操作做审计,并且内控堡垒主机具备审计回放的功能,能够模拟用户在线操作过程。总之,内控堡垒主机能够极大的保护企业内部网络设备及服务器资源的安全性,使得企业内部网络管理合理化,专业化,信息化。 2.1 关键字 用户名:也叫主帐号,使用内控堡垒主机的用户统称为用户名。 资源:内控堡垒主机管理的主机系统,数据库,网络设备等统称为资源。例如AIX系统、Windows2000系统、DB2数据库、CISCO3560等。 从账号:从账号是资源中的账号,例如AIX中的root账号,Windows2000中的Administrator账号。 SSO单点登录:SSO(SingleSign-On)中文为单点登录,就是说在同一个地点完成对不同资源的访问。 策略:控制用户登录、设置密码、禁止使用命令、允许访问命令的方法。
网堡垒机部署方案
目录 一.概述 (2) 1.1背景分析 (2) 1.2运维现状分析 (2) 1.3存在的问题 (3) 1.4问题分析 (4) 二.解决方案 (4) 2.1.实现目标 (4) 2.2运维人员需求 (5) 2.3部署拓扑 (6) 2.4 部署说明 (6) 2.5堡垒机的配置: (7) 2.6.防火墙的配置: (7) 2.7 交换机的配置 (8) 2.8应急措施 (8)
530运维堡垒机解决方案 一.概述 1.1背景分析 随着信息技术的不断发展和信息化建设的不断进步,业务应用、办公系统、商务平台的不断推出和投入运行,信息系统在企业的运营中全面渗透。统管理员压力太大等因素,人为误操作的可能性时有发生,这会对部门或者企业声誉造成重大影响,并严重影响其经济运行效能。黑客/恶意访问也有可能获取系统权限,闯入部门或企业内部网络,造成不可估量的损失。如何提高系统运维管理水平,满足相关标准要求,防止黑客的入侵和恶意访问,跟踪服务器上用户行为,降低运维成本,提供控制和审计依据,越来越成为企业关心的问题。 1.2运维现状分析 530政务外网中现有各大厂商的网络设备,安全设备和服务器,其日常运维过程中普遍存在以下现状:
·用户访问方式以内部远程访问为主,运维操作的访问方式又以SSH/TELNET/RDP/VNC/HTTP/HTTPS为主; ·用户凭借设备上的账号完成身份认证授权,难以保障账号的安全性; ·密码管理复杂,无法有效落实密码定期修改的规定; ·运维人员的操作行为无审计,事故发生后无法快速定位事故原因和责任人; 1.3存在的问题 ?用户身份不唯一,用户登录后台设备时,仍然可以使用共享账号(root、administrator等)访问,从而无法准确识别用户的身份;?缺乏严格的访问控制,任何人登录到后台其中一台设备后,就可以访问到后台各种设备; ?重复枯燥的密码管理工作,大大降低了工作效率的同时,人员的流动还会导致密码存在外泄的风险; ?难于限制用户登录到后台设备后的操作权限; ?无法知道当前的运维状况,也不知道哪些操作是违规的或者有风险的; ?缺乏有效的技术手段来监管代维人员的操作; ?操作无审计,因操作引起设备故障的时候无法快速定位故障的原因和责任人;
天融信堡垒机配置文档
安全运维审计配置手册 自然人:登录堡垒机使用的账号 资源:需要堡垒机管理的服务器、网络设备等等 从账号:资源本身的账号,即登录资源使用的账号 岗位:资源的集合,通过岗位可以将堡垒机管理的资源进行分类,便于管理员运维自然人与资源之间的使用逻辑关系 个人岗位:岗位的子类,可以理解为对自然人来说个人独有资源集合 密码代填:在运维人员登录资源的时候,堡垒机可以代填用户名密码,如果不代填的情况下,需要用户自己手动输入用户名密码 组织结构:目录树是堡垒机自身的一个目录结构,它可以方便管理员对繁杂的用户群体、资源群体进行归类区分,可以对比windows或者Linux操作系统的文件系统进行理解 目录树:可以将其理解为堡垒机目录结构的根目录,类似于linux系统的根目录
堡垒机使用前准备 1、访问堡垒机页面前浏览器配置 堡垒机使用ie浏览器访问,并需要配置加密协议
2、访问堡垒机页面,并下载安装标准版控件
注:安装控件的时候直接下一步直接安装即可,安装过程中关闭所有浏览器页面安装完控件以后访问堡垒机,浏览器会提示运行加载项,点击允许
管理员对堡垒机的管理操作 堡垒机管理员在管理堡垒机的时侯步骤如下: 1、添加堡垒机用户 2、添加资源(需要堡垒机管理的设备) 3、创建岗位(给资源划分组) 4、如果需要密码代填功能可以将资源的账号绑定到对应资源中 5、将岗位与堡垒机用户关联(将资源组给运维人员) 1、用户管理模块创建自然人 1、用户账号是登录堡垒机时使用的账号,用户名称是用于标识这个账号用的可以使用中文 2、初始化口令的默认密码是123456,用户初次登录堡垒机的时候会强制要求修改密码 3、将用户账号、用户名称、密码等信息都填写完毕以后点击保存即可创建自然人账号,这个账号是每个运维人员登录堡垒机使用的账号
堡垒机审计命令识别技术分析说明
堡垒机审计命令识别技术分析说明 麒麟开源堡垒机除了录相,还需要做操作辨认,首要的操作辨认功用包括: ssh/telnet的操作指令辨认 ftp/sftp 的操作指令辨认 RDP/VNC/X11 的翻开窗口title辨认 RDP/VNC/X11 窗口中的文字辨认 RDP 剪切版内容辨认 RDP/VNC/X11 键盘记载 关于一个只能录相的开源堡垒机,其可用性是十分差的,由于开源堡垒机的审计功用首要用于事后,假如发生了内部运维事情,而且时刻点难以确定,审计员有必要面对海量的日志进行辨认,由专人对每个会话自始至终看全部操作录相。而操作过程往往是一瞬间的事,比方几天的操作日志也许有上千个小时,可是呈现疑问的操作也许只在几秒钟,这时的劳动强度和单调程度是相当大的,一个人要从上千小时的录相中找到几秒种的有疑问的录相,难度之大能够想像。 咱们也从前出过某电信后台数据库被人删除的疑问,那时咱们体系的RDP辨认功用还没有做,所以咱们派专人,接连看了七天的日志,最终才找到责任人。 因而,一个开源堡垒机的好坏,不只是操作界面是不是漂亮、日志报表是不是通用,最主要的标准是剖析功用是不是好,假如一但剖析辨认做的到位,当呈现疑问时,能够大大减小审计人员的精确程度,直接找到责任人。 麒麟开源堡垒机的操作辨认功用中,FTP/SFTP的指令操作开发是最简略的,由于指令本身在协议中有标,开发时只需解开FTP/SFTP的协议流,能够直接得到。 telnet/ssh的指令辨认是较难的功能,由于TELNET/SSH关于指令在协议中是没有标示的,和在屏上其它回显相同,都是一个一个的字符,实践开发中,很通在实践回显中找到哪个是指令,哪个是回显,而键盘记载,只能对指令辨认有协助,并不能经过键盘记载来记载到指令,由于敲击键盘的时候,用户有也许在vi等行修正器中,这时操作的并不是指令而且一些文件修正,另外现在的linux bash中有许多快捷键,比方指令能够经过上翻找到,能够用TAB 补齐,此外,运维人员在输入指令的时候,用退格去修正等也会形成指令辨认无法经过键盘记载来完成,TELNET/SSH的指令辨认,只能经过将键盘与回显相关的方法辨认,程序在判别用户键盘击打次序的同时,判别回显字符,当呈现回车的时候,将前面的所有键盘记载下来,而且在回显中进行一些判别,就能够精确的记载用户操作的指令,这种形式,代理程序还有必要判别的出用户是不是在vi等修正器形式中,麒麟开源开源堡垒机体系的telnet/ssh 指令辨认开发周期大约为2个月,后期做了许多的修正,现在指令辨认率达到了99.9%。 RDP/X11/VNC的窗口title辨认和窗口内部文字辨认,能够说是一个业界的难题,由于RDP 全部显示没有字符,完全是经过GDI函数绘出,因而,即便解开了RDP的流,也无法从流中得到任何文字,由于全部是GDI函数绘出的图形,麒麟开源开源堡垒机的RDP/X11/VNC 窗口的辨认开发周期大约为4个月,现在现已能够辨认出窗口标题和内部操作文字。 此外,RDP的键盘记载、剪切版记载也能够在协议中辨认,键盘记载对比键盘,解开RDP
齐治堡垒机简易使用手册V1.0
Shterm用户手册- 应用发布手册 (配置管理员) 杭州奇智信息科技有限公司 2011年3月 版本
目录 第1章用户登录shterm (3) 1.1普通用户首次登录 (3) 1.1.1用户登录账号 (4) 1.1.2使用环境准备 (4) 第2章Windwos设备访问 (6) 2.1.1WEB登录 (6) 2.1.2本地MSTSC客户端登录 (7) 第3章访问字符终端设备(Telnet、SSH) (9) 3.1.1Web终端访问 (9) 3.1.2第三方SSH客户端工具访问 (10) 3.1.3WEB调用客户端登录 (12) 第4章客户端工具访问 (14) 4.1.1调用客户端工具 (14) 4.1.2文件传递 (15) 第5章文件传输 (15) 第6章账户设置 (16) 6.1个人信息修改 (16) 6.2密码修改 (18)
第1章用户登录shterm 1.1普通用户首次登录 Shterm采用Web作为用户界面。用户可使用Microsoft Internet Explorer 或以其为内核其他浏览器、Mozilla Firefox、Google Chrome等主流浏览器访问Shterm。 Shterm的访问地址一般为这种形式的:https://ipaddr,如:https://10.100.192.102 注意:建议将此站点加入到浏览器的安全站点中。
1.1.1用户登录账号 目前Shterm已与AD域认证系统进行了联合认证,因此在登录Shterm系统时只需要使用自己的AD域账号密码就可以登录Shterm系统了。 1.1.2使用环境准备 为了正常的使用Shterm您需要做以下环境准备工作:首先在您的系统安装Jre(Java虚拟机),此工具可在shterm的右上方下拉“工具下载”。 如果浏览器用的是IE或IE核心的,则需要再安装ShtermLoader工具,此工具可在shterm的右上方“工具下载”中下载并安装; 注意:需根据浏览器的版本下载相应的ShtermLoader,如32位的浏览器则需要下载32位的ShtermLoader,64位的浏览器则需要下载64位的ShtermLoader;
运维安全堡垒平台用户操作手册
运维安全堡垒平台用户操作手册
目录 1.概述 (1) 1.1.功能介绍 (1) 1.2.名词解释 (1) 1.3.环境要求 (2) 2.登录堡垒机 (2) 2.1.准备 (2) 2.1.1.控件设置 (2) 2.2.登录堡垒机 (3) 3.设备运维 (4) 3.1.Web Portal设备运维 (4) 3.2.运维工具直接登录 (6) 3.3.SecureCRT打开多个设备 (7) 3.4.列表导出 (11) 4.操作审计 (14) 4.1.字符协议审计 (14) 4.2.SFTP和FTP会话审计 (16) 4.3.图形会话审计 (17) 4.4.RDP会话审计 (18) 4.5.VNC会话审计 (20) 5.其他辅助功能 (22) 5.1.修改个人信息 (22) 5.2.网络硬盘 (22) 5.3.工具下载 (23)
1.概述 运维安全堡垒平台(以下简称运维堡垒机)是用于对第三方或者内部运维管理员的运维操作行为进行集中管控审计的系统。运维堡垒机可以帮助客户规范运维操作行为、控制并降低安全风险、满足等级保护级其他法规对IT内控合规性的要求。 1.1.功能介绍 运维堡垒机集中管理运维账号、资产设备,集中控制运维操作行为,能够实现实时监控、阻断、告警,以及事后的审计与统计分析。 支持常用的运维工具协议(如SSH、telnet、ftp、sftp、RDP、VNC等),并可以应用发布的方式支持图形化运维工具。 运维堡垒机支持旁路模式和VPN模式两种方式,物理上旁路部署,灵活方面。 运维堡垒机在操作方式上,不改变用户的操作习惯,仍然可以使用自己本机的运维工具。 1.2.名词解释 协议 指运维堡垒机运维工具所用的通信协议,比如Putty使用SSH协议,CRT支持SSH 和Telnet等。 工具 指运维人员实现对设备的维护所使用的工具软件。 设备账号 指运维目标资产设备的用于维护的系统账户。 自动登录 指运维堡垒机为运维工具实现自动登录目标被管设备,而运维用户不需要输入目标设备的登录账号和密码,也称为单点登录(SSO)。 命令阻断
麒麟开源堡垒机用户操作手册范本
麒麟开源堡垒机用户操作手册
目录 1.概述 (1) 1.1.功能介绍 (1) 1.2.名词解释 (1) 1.3.环境要求 (2) 2.登录堡垒机 (2) 2.1.准备 (2) 2.1.1.控件设置 (2) 2.1.2.Java Applet支持 (3) 2.2.登录堡垒机 (3) 3.设备运维 (4) 3.1.Web Portal设备运维 (5) 3.2.运维工具直接登录 (6) 3.3.SecureCRT打开多个设备 (7) 3.4.列表导出 (11) 4.操作审计 (14) 4.1.字符协议审计 (14) 4.2.SFTP和FTP会话审计 (16) 4.3.图形会话审计 (17) 4.4.RDP会话审计 (18) 4.5.VNC会话审计 (20) 5.其他辅助功能 (22) 5.1.修改个人信息 (22) 5.2.网络硬盘 (22) 5.3.工具下载 (23)
1.概述 运维安全堡垒平台(以下简称运维堡垒机)是用于对第三方或者部运维管理员的运维操作行为进行集中管控审计的系统。运维堡垒机可以帮助客户规运维操作行为、控制并降低安全风险、满足等级保护级其他法规对IT控合规性的要求。 1.1.功能介绍 运维堡垒机集中管理运维账号、资产设备,集中控制运维操作行为,能够实现实时监控、阻断、告警,以及事后的审计与统计分析。 支持常用的运维工具协议(如SSH、telnet、ftp、sftp、RDP、VNC等),并可以应用发布的方式支持图形化运维工具。 运维堡垒机支持旁路模式和VPN模式两种方式,物理上旁路部署,灵活方面。 运维堡垒机在操作方式上,不改变用户的操作习惯,仍然可以使用自己本机的运维工具。 1.2.名词解释 协议 指运维堡垒机运维工具所用的通信协议,比如Putty使用SSH协议,CRT支持SSH 和Telnet等。 工具 指运维人员实现对设备的维护所使用的工具软件。 设备账号 指运维目标资产设备的用于维护的系统账户。 自动登录 指运维堡垒机为运维工具实现自动登录目标被管设备,而运维用户不需要输入目标设备的登录账号和密码,也称为单点登录(SSO)。 命令阻断 指根据命令权限策略检查用户输入的操作指令,如果策略不允许执行此指令,会
堡垒主机用户操作手册运维管理
堡垒主机用户操作手册 运维管理 版本2.3.2 2011-06 目录1.前言...................................................... 1.1.系统简介 .............................................. 1.2.文档目的 .............................................. 1.3.读者对象 .............................................. 2.登录系统.................................................. 2.1.静态口令认证登录 (3) 2.2.字证书认证登录 ........................................ 2.3.动态口令认证登录 ...................................... 2.4.LDAP域认证登录........................................ 2.5.单点登录工具 ..........................................
3.单点登录(SS0)........................................... 3.1.安装控件 .............................................. 3.2.单点登录工具支持列表 .................................. 3.3.单点登录授权资源查询 .................................. 3.4.单点登录操作 .......................................... Windows资源类(域内主机\域控制器 \windows2003\2008) Unix\Linux资源类............................... 数据库(独立)资源类 ........................... ORACLE_PLSQL单点登录........................... ORACLE_SQLDeveleper单点登录.................... MSSQLServer2000查询分析器单点登录.............. MSSQLServer2000企业管理器单点登录.............. SQLServer2005ManagementStudio单点登录.......... SQLServer2008ManagementStudio单点登录.......... SybaseDbisqlg单点登录..........................
银行堡垒机实施方案
银行分行运维审计平台 实施方案
文档版本3.4 (2016-07-11) 银行总行科技开发部运维中心 第2页, 共39页 修订记录/Change History
文档版本3.4 (2016-07-11) 银行总行科技开发部运维中心 第3页, 共39页 目录 1 文档说明 (5) 1.1 概述..................................................................................................................................................... 5 1.2 运维操作现状 . (5) 2 物理部署规划 (6) 2.1 设备硬件信息 ..................................................................................................................................... 6 2.2 软件信息 ............................................................................................................................................. 7 2.3 系统LOGO ............................................................................................................................................ 7 2.4 地址规划 ............................................................................................................................................. 7 2.5 部署规划 (7) 3 应用部署实施 (8) 3.1 堡垒机上线说明 ................................................................................................................................. 8 3.2 设备初始化 ......................................................................................................................................... 8 3.2.1 上架加电 ................................................................................................................................... 9 3.2.2 网络配置 ................................................................................................................................... 9 3.3 堡垒机配置修改方式 ......................................................................................................................... 9 3.3.1 目录树调整 ............................................................................................................................. 10 3.3.2 设备类型添加及修改 .............................................................................................................. 11 3.3.3 堡垒机用户导入及用户配置 .................................................................................................. 11 3.3.4 主机设备帐号导入.................................................................................................................. 14 3.3.5 系统帐号赋权 ......................................................................................................................... 18 3.3.6 应用发布服务器添加 .............................................................................................................. 20 3.4 堡垒机应用发布配置 ....................................................................................................................... 22 3.4.1 应用发布用户配置.................................................................................................................. 22 3.4.2 应用用户组授权 ..................................................................................................................... 23 3.5 数据留存配置 ................................................................................................................................... 24 3.5.1 审计数据留存 ......................................................................................................................... 24 3.5.2 设备配置留存 ......................................................................................................................... 25 3.5.3 定时任务配置 ......................................................................................................................... 26 3.5.4 动态令牌使用手册 (27)
麒麟开源堡垒机管理员手册
麒麟开源堡垒机管理员手册 麒麟开源
目录 1概述 (5) 1.1功能介绍 (5) 1.2名词解释 (5) 1.3环境要求 (6) 2管理员登录 (7) 3初始基本配置 (10) 4目录管理 (11) 4.1目录说明 (11) 4.2目录创建 (12) 5账号管理 (14) 5.1用户角色 (14) 5.2运维账号管理 (15) 5.2.1添加用户 (15) 5.2.2批量添加用户 (17) 5.2.3批量编辑用户 (18) 5.3RADIUS账号 (18) 5.4目录管理 (19) 5.5在线用户管理 (19) 5.6登录策略 (19) 5.7设备管理 (20) 5.8设备信息导入导出 (24) 5.9普通用户自动登录root账号 (25) 5.10目录节点管理 (25) 5.11系统用户组 (27) 5.12应用发布 (29) 5.12.1应用发布服务器 (29) 5.12.2添加为资产设备 (29) 5.12.3添加为应用发布服务器 (31)
5.12.4应用发布 (31) 5.13SSH公私鈅上传 (33) 6权限查询 (34) 6.1系统权限查询 (34) 6.2应用权限查询 (35) 7策略设置 (36) 7.1默认策略 (36) 7.2来源IP组 (37) 7.3周组策略 (39) 7.4命令组 (40) 7.5命令权限 (41) 7.6自动改密 (42) 7.7系统类型 (43) 7.8授权策略 (43) 8密码密钥文件 (44) 9系统配置 (44) 9.1参数配置 (44) 9.2VPN配置 (44) 9.3系统参数 (45) 9.4密码策略 (45) 9.5高可用性 (46) 9.6告警配置 (46) 9.7告警参数 (47) 10系统管理 (48) 10.1服务状态 (48) 10.2系统状态 (48) 10.3配置备份 (49) 10.4数据同步 (49) 11VPN配置 (50)
堡垒机工作原理
1 前言 当今的时代是一个信息化社会,信息系统已成为各企事业单位业务运营的基础,由于信息系统运维人员掌握着信息系统的最高权限,一旦运维操作出现安全问题将会给企业或单位带来巨大的损失。因此,加强对运维人员操作行为的监管与审计是信息安全发展的必然趋势。在此背景之下,针对运维操作管理与审计的堡垒机应运而生。堡垒机提供了一套多维度的运维操作控管控与审计解决方案,使得管理人员可以全面对各种资源(如网络设备、服务器、安全设备和数据库等)进行集中账号管理、细粒度的权限管理和访问审计,帮助企业提升内部风险控制水平。 2 堡垒机的概念和种类 “堡垒”一词的含义是指用于防守的坚固建筑物或比喻难于攻破的事物,因此从字面的意思来看“堡垒机”是指用于防御攻击的计算机。在实际应用中堡垒机又被称为“堡垒主机”,是一个主机系统,其自身通常经过了一定的加固,具有较高的安全性,可抵御一定的攻击,其作用主要是将需要保护的信息系统资源与安全威胁的来源进行隔离,从而在被保护的资源前面形成一个坚固的“堡垒”,并且在抵御威胁的同时又不影响普通用户对资源的正常访问。 基于其应用场景,堡垒机可分为两种类型: 2.1 网关型堡垒机 网关型的堡垒机被部署在外部网络和内部网络之间,其本身不直接向外部提供服务而是作为进入内部网络的一个检查点,用于提供对内部网络特定资源的安全访问控制。这类堡垒机不提供路由功能,将内外网从网络层隔离开来,因此除非授权访问外还可以过滤掉一些针对内网的来自应用层以下的攻击,为内部网络资源提供了一道安全屏障。但由于此类堡垒机需要处理应用层的数据内容,性能消耗很大,所以随着网络进出口处流量越来越大,部署在网关位置的堡垒机逐渐成为了性能瓶颈,因此网关型的堡垒机逐渐被日趋成熟的防火墙、UTM、IPS、网闸等安全产品所取代。 2.2 运维审计型堡垒机 第二种类型的堡垒机是审计型堡垒机,有时也被称作“内控堡垒机”,这种类型的堡垒机也是当前应用最为普遍的一种。 运维审计型堡垒机的原理与网关型堡垒机类似,但其部署位置与应用场景不同且更为复杂。运维审计型堡垒机被部署在内网中的服务器和网络设备等核心资源的前面,对运维人员的操作权限进行控制和操作行为审计;运维审计型堡垒机即解决了运维人员权限难以控制混乱局面,又可对违规操作行为进行控制和审计,而且由于运维操作本身不会产生大规模的流
堡垒机安装部署测试文档
堡垒机安装部署测试及优缺点总结 近期出于管理和检查需要,单位领导要求上堡垒机系统,测试了几个商业堡垒机,因为价格超过预算等原因都未购买,又测试了三个开源的堡垒机,感觉麒麟开源堡垒机功能最全,基本上和商业堡垒机一样,唯一的问题就是图形部分不开源,但因为我们的服务器基本上全是LINUX环境,TELNET、SSH、FTP、SFTP已经足够了因此将这套堡垒机已经用于生产环境。 现在市场商业堡垒机价格太高,基本上都要到10万左右,我结合在公司部署开源堡垒机的经验,将过程写成文档与大家分享。 我测试的其它开源堡垒机基本上还是半成品,麒麟堡垒机基本上已经是一个成品堡垒机,但是还是存在某些小BUG,可以自己修改源代码改掉。 麒麟堡垒机安装条件: 1.系统必须至少有二块网卡,一块网卡安装时会报错,如果是虚机虚2块网卡出来。 2.系统最低硬件配置为:Intel 64位CPU、4G内存、200G硬盘。(注意:32位CPU 装不上)。 安装过程: 麒麟堡垒机安装过程非常简单,用光盘启动,一回车,完全无人值守安装,不需要任何的干涉(安装过程赞一个,基本上可以给95分)。 过程图如下: 插入光驱进行启动,会到安装界面,在”blj”那里直接回车(PS:如果使用笔记本进行虚机安装,先选择”Install Pcvm”,方式使用500M SWAP, 默认安装方式使用32G SWAP,这几个安装方式主要就是SWAP大小不同,如果使用虚机方式安装堡垒机,有可能出现SWAP 不够用问题)。 我的硬件物理机为8G内存,普通的E3 单个CPU,2T 串口硬盘,安装过程大约要等30分钟左右,安装完毕,系统重启,退出光盘即可。
堡垒机概念及工作原理浅析
堡垒机概念及工作原理浅析 关键词:堡垒机、运维操作审计、工作原理 1前言 当今的时代是一个信息化社会,信息系统已成为各企事业单位业务运营的基础,由于信息系统运维人员掌握着信息系统的最高权限,一旦运维操作出现安全问题将会给企业或单位带来巨大的损失。因此,加强对运维人员操作行为的监管与审计是信息安全发展的必然趋势。在此背景之下,针对运维操作管理与审计的堡垒机应运而生。堡垒机提供了一套多维度的运维操作控管控与审计解决方案,使得管理人员可以全面对各种资源(如网络设备、服务器、安全设备和数据库等)进行集中账号管理、细粒度的权限管理和访问审计,帮助企业提升内部风险控制水平。 2堡垒机的概念和种类 “堡垒”一词的含义是指用于防守的坚固建筑物或比喻难于攻破的事物,因此从字面的意思来看“堡垒机”是指用于防御攻击的计算机。在实际应用中堡垒机又被称为“堡垒主机”,是一个主机系统,其自身通常经过了一定的加固,具有较高的安全性,可抵御一定的攻击,其作用主要是将需要保护的信息系统资源与安全威胁的来源进行隔离,从而在被保护的资源前面形成一个坚固的“堡垒”,并且在抵御威胁的同时又不影响普通用户对资源的正常访问。 基于其应用场景,堡垒机可分为两种类型: 2.1网关型堡垒机 网关型的堡垒机被部署在外部网络和内部网络之间,其本身不直接向外部提供服务而是作为进入内部网络的一个检查点,用于提供对内部网络特定资源的安全访问控制。这类堡垒机不提供路由功能,将内外网从网络层隔离开来,因此除非授权访问外还可以过滤掉一些针对内网的来自应用层以下的攻击,为内部网络资源提供了一道安全屏障。但由于此类堡垒机需要处理应用层的数据内容,性能消耗很大,所以随着网络进出口处流量越来越大,部署在网关位置的堡垒机逐渐成为了性能瓶颈,因此网关型的堡垒机逐渐被日趋成熟的防火墙、UTM、IPS、网闸等安全产品所取代。 2.2运维审计型堡垒机 第二种类型的堡垒机是审计型堡垒机,有时也被称作“内控堡垒机”,这种类型的堡垒机也是当前应用最为普遍的一种。 运维审计型堡垒机的原理与网关型堡垒机类似,但其部署位置与应用场景不同且更为复
齐治堡垒机简易使用手册.docx
Shterm 用户手册 -应用发布手册 (配置管理员) 杭州奇智信息科技有限公司 2011 年 3 月 版本 <>
目录 第 1章用户登录 shterm .....................................错误 ! 未定义书签。 普通用户首次登录 . ...................................错误 ! 未定义书签。 用户登录账号 . .................................错误 ! 未定义书签。 使用环境准备 . .................................错误 ! 未定义书签。第 2 章Windwos 设备访问 ....................................错误 ! 未定义书签。 WEB登录 ......................................错误 ! 未定义书签。 本地 MSTSC客户端登录 . .........................错误 ! 未定义书签。第 3 章访问字符终端设备( Telnet 、 SSH) .....................错误 ! 未定义书签。 Web终端访问 ..................................错误 ! 未定义书签。 第三方 SSH客户端工具访问 . .....................错误 ! 未定义书签。 WEB调用客户端登录 ............................错误 ! 未定义书签。第 4章客户端工具访问 . .....................................错误 ! 未定义书签。 调用客户端工具 . ...............................错误 ! 未定义书签。 文件传递 . .....................................错误 ! 未定义书签。第 5章文件传输 . ...........................................错误 ! 未定义书签。第 6章账户设置 . ...........................................错误 ! 未定义书签。 个人信息修改 . .......................................错误 ! 未定义书签。 密码修改 . ...........................................错误 ! 未定义书签。