麒麟开源堡垒机用户操作手册

麒麟开源堡垒机网络设备使用方案第1部分项目概述1.1 需求分析对于网络设备的运维管理，大部分公司目前还没有形成一套完整的管理方法，部分公司在网络设备上建立用户名密码，然后运维人员使用网络设备的本地密码登录后进行运维操作，还有一些公司建立有AAA服务器，将用户名和密码交AAA服务器统一管理，但这二种模式在运维管理中都存在相应的风险，主要风险如下：密码外泄：没有统一的密码管理机制，存在很多人员共同使用同一个系统帐号的情况 ，造成系统帐号的密码为多人所知，最终，系统密码非常容易外泄露给第三方人员；违规恶意操作：对操作人没没有统一的监控、审计系统，操作人员操作的过程无法进行回溯，容易造成操作人员越权删除、修改数据以及配置系统的情况管理授权混乱：当网络设备多，运维人员数量多的时候，管理授权容易出现混乱，没有一个统一的系统为运维人员进行授权，并且对权限进行回收管理，形成一定的运维风险上述这些问题的原因，都是因为没有一个统一的运维管理平台，造成运维管理黑盒化导致，因此建立一个安全、可靠、易用的运维管理平台，为近期企业IT运维的迫切要求。

同时国家及行业也相继出台了相关的法律法规及管理规范，如CSOX和等保规定，要求系统运维在访问控制、操作审计等诸多方面做得更加全面有效的管理。

1.2 建设目标本方案主要是通过对人员、设备、操作的管理，实现运维管理的白盒透明化，同时将各项运维管理规章制度，能以可监控的方式进行管理落地。

项目建设目标主要是以运维过程的安全、操作管理进行，最终达到运维规章制度可能有效执行，根据这些原则，将系统建设目标明细为如下点：统一的运维管理：建立统一的运维管理平台（堡垒机系统），用户由过去直接访问网络设备，改为从堡垒机跳转登录，堡垒机上实现认证、授权、审计及帐号的管理。

认证权限集中管理：堡垒机上启动AAA服务器，将网络设备的认证统一放到AAA服务器上，AAA服务器上的密码系统可以自动按时修改，不需要运维人员知道AAA服务器上的密码，当用户想要登录网络设备时，由运维平台自动为运维人员填写登录密码，这样能保证最终设备密码的安全性。

麒麟开源堡‎垒机AD及‎L D AP集‎成说明
麒麟堡垒机‎支持使用外‎接的AD、LDAP进‎行认证，并且支持从‎A D、LDAP中‎导入帐号到‎堡垒机中，设置步骤如‎下：
1.在系统配置‎-参数配置-认证配置中‎点击“添加条目”按钮
2.在弹出的菜‎单中添加新‎的条目，如果是AD‎，需要在下拉‎中选择AD‎
LDAP截‎图：
AD截图：
3.如果需要手‎工导入帐号‎，点击后面的‎添加LDA‎P/AD帐号按‎钮，输入管理员‎帐号后进行‎导入，也可以自己‎用E XCE‎L方式或在‎W E B上手‎添加帐号，注:在进行认证‎前，堡垒机上必‎须存在有这‎个帐号才能‎进行AD/LDAP认‎证
4.编辑相应的‎帐号，在认证方式‎部分，勾上AD或‎L DAP认‎证，优先登录试‎，可以选择刚‎才设置的A‎D或LDA‎P认证
5.登录时，左侧选中相‎应的登录试‎，输入AD/LDAP密‎码即可以进‎行登录
注：目前AD/LDAP只‎支持WEB‎方式，不支持透明‎登录试，因此，如果非要用‎户登录，可以做如下‎设置：
1.在启用AD‎/LDAP登‎录时，将认证（使用本地密‎码认证）勾除，让用户在W‎E B登录时‎必须用LD‎AP/AD进行认‎证
2.勾上WEB‎PORTA‎L，如果勾上W‎E BPOR‎T AL，用户在进行‎透明登录时‎，必须要WE‎B在线，即用户必须‎使用WEB‎通过AD/LDAP登‎录后才能用‎透明登录。

麒麟堡垒机密码定期修改手册1、堡垒机设置部分自动修改密码可以为Windows系统、Linux系统、Unix系统进行密码托管，并且按运维相关要求进行口令强度和周期的修改。

堡垒机上设置一台设备自动修改密码按如下步骤：（1）设置修改密码的频率在设备管理菜单中编辑设备，其中修改方式就是自动改密的频率，按月指每月几号修改，按周是每周几修改，自定义是多少天修改一次，比如下面的设置为一天修改一次，如果把频率设置为30，则为30天修改一次，如果设备为Linux/Unix系统，并且root用户不能自动登录，则必须在这个页面输入超级管理员口令：（2）设置修改密码主帐号(Linux/Unix)如果需要一台Linux/Unix主机进行自动改密，则需要一个改密主帐号，Linux/Unix是通过登录协议登录到主机运行passwd命令进行密码自动修改的，系统是通过改密主帐号完成这一操作，即不管这台主机上有多少个用户，Linux/Unix都使用改密主帐号登录到系统上，使用passwd命令来完成所有的用户的密码修改，因此，改密主帐号必须有root权限（或可以通过上步输入的密码su成root）。

设置了修改密码的频率后，需要指定主机上的改密主帐号，即打开这个主机的帐号页面，编辑为改密主帐号的那个用户，将修改密码主帐号勾选，如果这个帐号不是root权限，则必须勾选改密时su为超级用户，如下图:（3）.选择需要修改密码的用户即使设置了改密频率和改密主帐号，系统也只修改这台主机上勾选了自动修改密码的帐号密码，即，如果用户没有勾选自动修改密码，则这个帐号即使到了改密周期，系统也不会对这个帐号进行密码修改。

编辑需要自动修改密码的用户，勾选自动修改密码选项2、密码策略系统可以设置自动修改密码时的密码策略，在资源管理-策略设置-自动改密菜单中，进行密码策略修改，主要包含密码长度、强度、记忆次数等，如果在这里设置了密码策略，在前台手工修改密码时，则必须符合这里的策略，否则无法修改成功3、手工修改（1）前台修改：前台可以手工进行密码修改测试，使用password用户登录到系统，在密码管理-修改密码菜单中，选择相应的设备组，如果在正文的密码对话框中输入密码，则所有的设备会被强制修改为这里输入的密码，如果输入了IP和用户，则只修改相应的IP和用户的密码，在密码修改里，如果下拉强制修改，则修改所有勾选了自动修改密码的用户（即使这个用户不到改密周期），选择好相应的条件后，点击生成密码按钮系统会列出所有的具备条件的主机列表，这时用户可以在即时修改那列选去不希望修改密码的主机，点击立即修改密码按钮，系统即会启动密码修改程序（2）后台修改：用户也可以通过ssh到堡垒机后台运行命令进行修改，后台修改的好处为可以看到系统修改的整个过程，登录到后台后运行命令1.可执行文件的路径在/opt/freesvr/audit/passwd/sbin/freesvr-passwd2.运行方法2.1 可以不加参数，表示修改所有的服务器上所有用户的密码2.2 可以加-g groupname 参数，表示可以修改名字为groupname 这个设备组的所有服务器的密码（与servergroup表相关）例如-g change2.3 可以加-s ip 参数，表示修改所有地址为ip的服务器的密码例如-s 222.35.62.1702.4 可以加-u username 参数，表示修改所有用户名等于username的帐号的密码（此参数与服务器的ip地址无关），例如-u monitor2.5 可以加-p password 参数，指定修改后的新密码为password，例如-p freesvr 没有-p参数，系统将随机生成12位密码2.6 可以加-f 参数，表示强制修改。

运维安全堡垒平台用户操作手册麒麟开源堡垒机用户操作手册目录1.概述 (1)1.1.功能介绍 (1)1.2.名词解释 (1)1.3.环境要求 (2)2.登录堡垒机 (2)2.1.准备................................................................................................. 错误！未定义书签。

2.1.1.控件设置 (2)2.1.2.Java Applet支持............................................................................. 错误！未定义书签。

2.2.登录堡垒机 (3)3.设备运维 (4)3.1.Web Portal设备运维 (4)3.2.运维工具直接登录 (6)3.3.SecureCRT打开多个设备 (7)3.4.列表导出 (11)4.操作审计 (14)4.1.字符协议审计 (14)4.2.SFTP和FTP会话审计 (16)4.3.图形会话审计 (17)4.4.RDP会话审计 (18)4.5.VNC会话审计 (20)5.其他辅助功能 (22)5.1.修改个人信息 (22)5.2.网络硬盘 (22)5.3.工具下载 (23)1.概述运维安全堡垒平台（以下简称运维堡垒机）是用于对第三方或者内部运维管理员的运维操作行为进行集中管控审计的系统。

运维堡垒机可以帮助客户规范运维操作行为、控制并降低安全风险、满足等级保护级其他法规对IT内控合规性的要求。

1.1.功能介绍运维堡垒机集中管理运维账号、资产设备，集中控制运维操作行为，能够实现实时监控、阻断、告警，以及事后的审计与统计分析。

支持常用的运维工具协议（如SSH、telnet、ftp、sftp、RDP、VNC等），并可以应用发布的方式支持图形化运维工具。

运维堡垒机支持旁路模式和VPN模式两种方式，物理上旁路部署，灵活方面。

堡垒机的使用方法堡垒机（Bastion Host）是一种用于加强网络安全的服务器，主要用于控制和监视对内部网络的远程访问。

下面是堡垒机的使用方法：1. 安装和配置：首先，选择一个适合的堡垒机设备，并根据厂商提供的安装指南进行安装。

安装完成后，根据网络环境和需求进行配置，包括网络地址、访问控制列表等。

2. 用户管理：通过堡垒机管理界面，添加和管理堡垒机的用户账号。

每个用户账号都有特定的权限和角色，例如管理员、操作员、普通用户等。

3. 访问控制：设置堡垒机的访问控制规则，限制远程访问的来源IP、端口等。

可以通过网络地址转换（NAT）等技术实现访问控制。

4. 远程登录：用户可以使用SSH等安全协议，通过堡垒机远程登录到内部网络中的目标主机。

在用户登录之前，堡垒机会验证用户身份，例如使用用户名和密码、密钥验证等方式。

5. 日志记录与审计：堡垒机可以记录用户登录和操作行为，生成详细的日志。

管理员可以通过日志分析来监控用户行为，及时发现异常操作和安全事件。

6. 会话管理：堡垒机可以对用户会话进行管理，包括会话的创建、关闭、超时等设置。

管理员可以随时查看用户会话状态，并主动终止异常会话。

7. 安全策略：堡垒机提供一系列安全策略，用于保护内部网络的安全。

例如禁止用户上传下载文件、禁止使用特定命令等。

8. 综合安全管理：堡垒机还可以集成其他安全设备和系统，例如防火墙、入侵检测系统等，形成综合的安全管理体系，提高网络的整体安全性。

需要注意的是，堡垒机的使用方法可能会因具体设备和厂商而有所差异，因此在使用之前，建议详细阅读设备的用户手册和技术文档，并遵循厂商提供的指南和最佳实践。

堡垒机使用说明1、堡垒机登录使用管理员提供的地址、帐号、密码，通过浏览器即可登录，推荐使用主流浏览器IE、chrome、firefox等。

如启用了手机动态码二次认证，需在手机端安装FreeOTP应用（支持Android、iOS系统），并按系统提示进行操作。

第一次登录时会提示安装shterm插件，一定要安装。

还要安装Java运行环境，登录后在右上角工具下载中可以下载。

安装上述软件后，重启浏览器，重新登录堡垒机。

2、服务器登录登录堡垒机后就会看到可登录的设备，点选要登录的设备，在设备对应的服务中选择远程连接的服务，通常linux为putty，Windows为rdp 。

登录后即可进行服务器操作。

3、服务器远程操作通过堡垒机进行服务器的远程操作与正常远程操作基本没有差异，正常操作即可。

由于服务器管理员帐号已经内置到堡垒机中，所以请不要修改已有管理员帐号及密码，不要修改网络配置、防火墙配置，也不要安装各类杀毒、防火墙软件，否则将影响正常登录，网信中心IDC会做统一防护。

4、退出服务器操作结束后，正常退出远程连接即可，然后注销堡垒机的登录。

注意事项：1、服务器严格执行软件最小化原则，不得安装各种与应用服务无关的软件。

2、不得将服务器用于与应用服务无关的其他用途。

3、堡垒机有详细的审计记录，所有通过堡垒机的操作都会记录在案，包括通过堡垒机输入的各类密码。

4、各类违规操作一经发现，将根据操作的危害性、造成的后果等调整或限制服务器的权限。

5、堡垒机的帐号专人专用，使用人必须提前登记，人员出现变更要及时更新登记，如出现任何不良影响，都将追究登记人责任。

应用发布软件安装手册1.1安装依赖软件包在目录，请先安装了如下五个软件：（1）如果是Windows 2003，需要先在子目录中安装wic_x86_chs.exe , IE8.exe，并且需要重新启动，如果2008可以直接做下面那步（2）以下三个软件2008，2003都需要安装dotNetFx40_Full_x86_x64.exevcredist_x86 .exemysql-connector-odbc-5.1.9-win32.exe1.2安装程序将第二步安装-应用发布程序目录中的freesvr文件夹得到到c:\目录，打开c:\freesvr目录，运行里面的grouppolicyaddbhoinstall.bat 程序即可完成安装(2008R2需要以管理员权限运行安装)1.3安装帐号同步程序：双击第三步-帐号同步程序文件夹中的ServiceInstall.exe，即可完成安装1.4配置1.修改RDP的空闲断开时间为1分钟2003 配置：在管理工具-终端服务配置中的会话选项，将结束已断开的会话设置为1分钟2008配置：2008需要打开服务管理器，点击右键点击角色，点添加按钮，在弹出的菜单中勾上“远程桌面服务”进行安装然后在角色服务选择中选择远程桌面会话主机、远程桌面授权二项在身份验证方法中选择不需要使用网络级别身份认证授权模式选择以后配置安装后重启主机打开管理工具-远程终端配置-远程桌面会话主机配置，右键点击RDP-TCP，点击属性，在弹出的属性里选择会话TAB，将结束已断开会话时间修改为1分钟在管理工具-远程桌面服务里打开RemoteAPP菜单，鼠标右击下方区域选择添加，弹出添加REMOTEAPP程序窗口，把程序C:\freesvr\DesktopApp\DesktopApp.exe 加入REMOTEAPP，同时将下面的参数设置为允许任意参数2.按微软RDP 授权激活攻略-傻瓜版破解终端授权。