齐治堡垒机操作手册
齐治堡垒机 PPT课件
江苏省国家税务局 中华人民共和国南京海关 江苏省南京市地税局 江苏省镇江市地税局 南京市电化教育馆 南京市住房公积金管理中心 ……
让运维操作尽在掌控之中
操作审计是保证——字符会话审计
全面、深入、直观的运维审计
专利技术
唯一实现对各种非常 规操作指令快速定位 播放
操作审计是保证——图形会话审计
完整记录,基于键盘输入、屏幕输出的快速定位
键盘输入及屏 幕输出支持文 本搜索
实现搜索结果 与操作录像直 接关联定位
键盘输入深度审计
自动化操作是目标
产品能够实现的自动化机制:
系统账号密码自动修改; 网络设备配置自动备份; Unix系统脚本自动执行。
齐治优势——专注&专业
2005年推出世界第一台运维堡垒机; 唯一专注运维操作管理领域的厂商; 唯一拥有该领域核心技术发明专利;
方案优势——应用成熟
产品市场化时间超过9年; 在全国有392家高端用户,在运营商、政府、金融、互
运维操作管理(堡垒机)解决方案
——运维堡垒机的缔造者与领导者!
传统运维——现状
传统运维——问题
交叉管理带来的问题:
共享账号难控制; 设备密码难管理; 操作行为难约束; 操作过程不透明;
传统运维——安全隐患
问题带来的安全隐患
误操作,关键应用服务异常甚至宕机; 违规操作,敏感信息泄露或者被篡改; 无法快速定位操作事故的原因。
联网等行业均得到广泛应用。
单个用户超过35个分支节点环境中成功部署; 单个用户超过100,000台服务器环境中成功部署; 单个用户超过3000个图形并发的环境中成功部署。
成功案例—江苏省内部分政府用户
江苏省公安厅 江苏省信息中心 江苏省交通运输厅 江苏省标准化研究院 江苏省海洋渔业管理局 江苏省疾病预防控制中心 江苏省食品药品监督管理局
VPN及堡垒机使用指南
VPN及堡垒机使用指南
1、下载VPN客户端
在浏览器中输入https://119.60.6.26:444,下载VPN客户端
2、登陆VPN
打开客户端,输入https://119.60.6.26:444进行连接。
登陆成功会打开默认浏览器,显示如下页面,第一次登陆请在设置处修改密码
此时访问数据中心服务器及网页、业务的可以直接访问相应资源了。
3、下载堡垒机客户端
在浏览器中输入https://10.64.17.42/ops/Login,打开堡垒机页面,因控件可能与浏览器不兼容导致登陆失败,推荐使用堡垒机客户端。
点击相关下载。
首先下载运行环境检测助手,根据环境助手的检测结果下载运维客户端和相应的java。
4、登陆运维客户端
安装完成后,使用运维客户端登陆,并输入系统访问地址10.64.17.42。
输入堡垒机账户、密码。
对于windows操作系统
登陆后(1)在资源组中找到所需访问的项目(2)在项目中找到所需当问的资源(3)点击远程桌面按钮(4)输入云主机账户密码(5)勾选开启RDP剪切板可以在本地服务器及云主机之间进行复制操作(6)点击连接服务开始远程桌面
对于LINUX操作系统
登陆后之前步骤一致,可以选择不同工具进行登陆,选中工具后点击配置工具,输入工具在本机上的路径即可。
提醒:
1、堡垒机账号可多人同时登陆,VPN账号同一时间仅允许一台主机进行登陆。
2、堡垒机及VPN账号初始密码为123456,请在第一时间进行修改并妥善保管账号,账号分配后,出现相应安全事故,责任由申请时的使用人承担。
堡垒主机用户操作手册--运维管理
堡垒主机用户操作手册运维管理版本2.3.22011-06目录1. 前言 (1)1.1.系统简介 (1)1.2.文档目的 (1)1.3.读者对象 (1)2. 登录系统 (2)2.1.静态口令认证登录 (2)2.2.字证书认证登录 (3)2.3.动态口令认证登录 (4)2.4.LDAP域认证登录 (5)2.5.单点登录工具 (5)3. 单点登录(SS0) (6)3.1.安装控件 (6)3.2.单点登录工具支持列表 (10)3.3.单点登录授权资源查询 (10)3.4.单点登录操作 (11)3.4.1.Windows资源类(域主机\域控制器\windows2003\2008) 113.4.2.Unix\Linux资源类 (14)3.4.3.数据库(独立)资源类 (18)3.4.4.ORACLE_PLSQL单点登录 (19)3.4.5.ORACLE_SQLDeveleper单点登录 (21)3.4.6.MSSQLServer2000查询分析器单点登录 (22)3.4.7.MSSQLServer2000 企业管理器单点登录 (24)3.4.8.SQL Server 2005 Management Studio单点登录 (25)3.4.9.SQL Server 2008 Management Studio单点登录 (26)3.4.10.Sybase Dbisqlg单点登录 (27)3.4.11.SQL-Front单点登录 (28)3.4.12.数据库(系统)资源类单点登录(DB2/informix) (30)3.4.13.网络设备(RADIUS\local\其他)资源类 (33)3.4.14.Web应用资源类 (36)1.前言1.1.简介堡垒主机系统运维管理是堡垒主机系统中使用最为频繁的一个平台。
它面向的对象是,企业的运维人员。
该模块是堡垒主机系统为运维人员提供的登录入口。
因此堡垒主机系统加强了登录的认证手段,提高安全性的同时不失用户的方便性。
齐治堡垒机简易使用手册.docx
Shterm 用户手册 -应用发布手册(配置管理员)杭州奇智信息科技有限公司2011 年 3 月版本 <>目录第 1章用户登录 shterm .....................................错误 ! 未定义书签。
普通用户首次登录 . ...................................错误 ! 未定义书签。
用户登录账号 . .................................错误 ! 未定义书签。
使用环境准备 . .................................错误 ! 未定义书签。
第 2 章Windwos 设备访问 ....................................错误 ! 未定义书签。
WEB登录 ......................................错误 ! 未定义书签。
本地 MSTSC客户端登录 . .........................错误 ! 未定义书签。
第 3 章访问字符终端设备( Telnet 、 SSH) .....................错误 ! 未定义书签。
Web终端访问 ..................................错误 ! 未定义书签。
第三方 SSH客户端工具访问 . .....................错误 ! 未定义书签。
WEB调用客户端登录 ............................错误 ! 未定义书签。
第 4章客户端工具访问 . .....................................错误 ! 未定义书签。
调用客户端工具 . ...............................错误 ! 未定义书签。
文件传递 . .....................................错误 ! 未定义书签。
运维操作管理系统(堡垒机)
能够制定灵活的运维策略和权限管理,实现运维人员统一权限管理,解决操作者合法访问操作资源的问题,避免可能存在的越权访问,建立有效的访问控制;
实现运维日志记录,记录运维操作的日志信息,包括对被管理资源的详细操作行为;
实现运维操作审计,对运维人员的操作进行全程监控和记录,实现运维操作的安全审计,满足信息安全审计要求;
工具或仪器用途所需数量准备方式网线测试仪测试网线2实施人员自带万用表测试电源1实施人员自带螺丝刀设备上架2实施人员自带串口线设备调试2实施人员自带网线备用2实施人员自带电源线备用2实施人员自带笔记本调试终端设备调试1实施人员自带155调试和现场服务我方会派出技术督导到现场指导安装调试和运行并负责解决合同设备制造配置及性能等方面的有关问题详细解答合同范围内招标方提出的问题
对于操作权限的控制意味着我们从被动接受用户输入到了主动控制。
对于用户的操作可以有3种执行状态:允许执行,拒绝执行,禁止执行。
对于高危命令(删除,重起,关机等)可以实时告警,一旦高危操作触发,会立即给相关人员发送告警邮件,保证用户在第一时间内知道高危操作是否对系统造成了影响。
1.2.1.4
运维操作审计是整个Shterm解决方案的重要组成部分。管理员确定了以操作网关方式来部署,解决了之前共享账号的问题,配置了访问规则,明确了操作权限,那么最后也是最重要的就是操作和操作审计。
此外,Shterm对审计人员本身也有严格要求,一方面,对审计人员的审计操作,Shterm有严格的记录,审计管理员何时查阅了某个会话操作都要有明确记录。另一方面,Shterm支持非全局性的操作审计,即,审计人员也没有权利审计所有的会话信息,因为会话中可能包含了非常敏感甚至机密的企业信息。
堡垒主机用户操作手册运维管理
堡垒主机用户操作手册运维管理版本2.3.22011-06目录1. 前言 (1)1.1.系统简介 (1)1.2.文档目的 (1)1.3.读者对象 (1)2. 登录系统 (2)2.1.静态口令认证登录 (2)2.2.字证书认证登录 (3)2.3.动态口令认证登录 (4)2.4.LDAP域认证登录 (5)2.5.单点登录工具 (5)3. 单点登录(SS0) (7)3.1.安装控件 (7)3.2.单点登录工具支持列表 (10)3.3.单点登录授权资源查询 (10)3.4.单点登录操作 (11)3.4.1.Windows资源类(域内主机\域控制器\windows2003\2008) (11)3.4.2.Unix\Linux资源类 (14)3.4.3.数据库(独立)资源类 (18)3.4.4.ORACLE_PLSQL单点登录 (19)3.4.5.ORACLE_SQLDeveleper单点登录 (21)3.4.6.MSSQLServer2000查询分析器单点登录 (22)3.4.7.MSSQLServer2000 企业管理器单点登录 (24)3.4.8.SQL Server 2005 Management Studio单点登录25 3.4.9.SQL Server 2008 Management Studio单点登录26 3.4.10.Sybase Dbisqlg单点登录 (27)3.4.11.SQL-Front单点登录 (29)3.4.12.数据库(系统)资源类单点登录(DB2/informix)303.4.13.网络设备(RADIUS\local\其他)资源类 (34)3.4.14.Web应用资源类 (37)1.前言1.1.简介堡垒主机系统运维管理是堡垒主机系统中使用最为频繁的一个平台。
它面向的对象是,企业的运维人员。
该模块是堡垒主机系统为运维人员提供的登录入口。
因此堡垒主机系统加强了登录的认证手段,提高安全性的同时不失用户的方便性。
Shterm实施手册
Shterm实施手册浙江齐治科技有限公司一实施前准备 (3)1.1到货确认 (3)1.2 实施确认 (3)1.3 基本环境和配置准备 (3)1.4 打开相应的端口 (4)1.5 填写《用户准备信息》表格 (4)1.6 用户提供的设备硬件基本要求 (5)1.7 我们需要准备的介质及工具 (5)1.8 可能会存在的问题准备 (6)二产品实施 (7)2.1 办理机房出入手续 (7)2.2 设备上架 (7)2.3 设备加电 (7)2.4 系统安装 (7)2.5 基本配置 (7)2.6 HA配置 (8)2.7授权 (8)2.8 Shterm配置 (8)2.9 HA检查 (8)2.10 实施HA过程注意点 (9)2.11 可能会存在的问题准备 (9)三实施后 (10)3.1 文档提交 (10)3.2 产品培训 (10)一实施前准备1.1到货确认设备到货后,和客户电话确认,并初步确定好实施的时间,确定好设备上架和人员出入机房需要准备哪些手续;1.2 实施确认确定好实施的时间,还需要确认以下信息:a)单机部署还是双机部署 //合同里会明确说明部署方式,可跟公司商务电话确认;b)设备硬件配置情况 //公司按合同发货时,会提供设备硬件配置信息,如果没有,可以找上海办事处徐永强了解设备硬件配置情况;c)双机是否做HA部署 //跟客户邮件确认d)硬件上架是否需要装导轨 //如果客户机柜是19英寸标准机架,可以考虑安装导轨,否则只能上挡板,此项需要跟客户确认1.3 基本环境和配置准备1.3.1 设备上架占用空间1U设备占用机架 ( 503mm长 x 437mm宽 x 43mm高) 空间2U设备占用机架 ( 648mm长 x 437mm宽 x 89mm高) 空间1.3.2 网络准备1.3.2.1 单机部署a)准备好相应数量的220V交流电源插孔,电源功率为520W //单电源准备一个,双电源准备两个b)准备好配给设备的一个IP地址及相应的子网掩码和网关c)设备的hostname和domainnamed)1根普通网线 //连接设备到交换机e)DNS //设置后才能从Shterm本机的smtp服务发送邮件f)NTP服务器地址 //如果客户内部有NTP时间同步服务器g)机架位置 //方便快速上架1.3.2.2 双机HA部署a)准备好相应数量的220V交流电源插孔,电源功率为720W //单电源准备一个,双电源准备两个b)3个连续的IP地址 //前后地址作为设备的实际地址,中间的IP地址作为漂移地址,也就是用户访问使用的地址c)设备的hostname和domainnamed)3根普通网线e)网关地址f)DNS //设置后才能从Shterm本机的smtp服务发送邮件g)ping节点地址 //从3个IP地址到ping节点必须能通h)NTP服务器地址 //如果客户内部有NTP时间同步服务器i)机架位置 //方便快速上架1.3.3.3 打开相应的端口保证用户能够访问Shterm端口22,443,5899,3389。
堡垒机使用方法简介
1、例如:浏览器输入输入“yibo”的账号(第一次登陆需要修改密码)
2、这时候能看到“yibo”可以访问的设备资源
3、因操作系统不同,有时候进行远程连接管理的时候出现JAVA验证问题,故如win7
需要把当前页面添加例外
4、通过上图根据操作系统主要有二种(Linux、windows)
登录方式有三种:1、CRT 2、Putty 3、自带WEB页面方式(前二种需要调用本地工具,有相应版本要求)
如选择堡垒机自带的WEB打开方式
若弹出JAVA验证,点允许通过
正常输入操作即可
点击RDP,同样出现几种登录方式
1、远程桌面连接(需要调用本地资源)大多数使用此种方式
2、自带WEB登录方式
选择1,不需要修改计算机IP地址,像正常终端远程连接4.138服务器一样,输入用户名,密码。
进去后可以查看本地网卡信息,为本机4.138地址信息。
选择2,接受运行此应用程序
此后正常登陆即可。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
齐治堡垒机操作手册中国旅游集团信息共享中心2020年2月版本 <V1.0>目录第一章建立用户账户 (3)1.1 首次访问与默认用户账号 (3)1.2 添加用户账号、分配用户角色 (4)1.3建立普通用户账号 (6)1.4快速身份切换 (6)第二章添加目标设备(配置管理员) (7)2.1 Windows设备(RDP) (7)2.1.1 条件准备 (7)2.1.2 添加设备 (7)2.1.3 设置密码 (8)2.2 Linux设备(SSH、X windows) (10)2.2.1 条件准备 (10)2.2.2 添加设备 (10)2.2.3 设置密码 (11)2.3网络设备(Telnet) (12)2.3.1 条件准备 (12)2.3.2 添加设备 (12)2.3.3 设置null账号密码 (13)2.3.4 设置特权模式(enbale)密码 (14)第三章建立访问控制规则(配置管理员) (15)3.1新建规则 (16)3.2关联用户账户 (16)3.3 关联设备 (17)3.4 关联系统账号 (17)第四章设备访问(普通用户) (18)4.1环境准备 (18)4.2图形设备 (18)4.3 设备访问 (18)4.4字符终端设备访问(Telnet、SSH) (22)4.5 Web终端 (22)4.6 第三方SSH客户端 (23)第五章操作审计(审计管理员) (26)5.1字符会话审计 (26)5.1.1 命令列表式查看 (27)5.1.2 命令回放 (27)5.1.3 命令查询 (28)5.2图形会话审计 (28)5.2.1 会话列表 (29)5.2.2 会话审计 (29)第一章建立用户账户1.1 首次访问与默认用户账号Shterm采用加密型的Http方式进行访问,在浏览器地址栏中输入https://Shterm堡垒机IP地址即可,如:https://10.8.251.70,由于采用SSL技术,首次访问会出现证书错误提示,如下图:此时点击“继续浏览此”,将出现Shterm的登录页面。
如下图:Shterm默认管理员账号和密码均为小写“shterm”,输入用户名和密码后回车即可登录到Shterm操作界面,如下图:1.2 添加用户账号、分配用户角色使用缺省管理员登录到Shterm,并打开基本控制-用户账户菜单,如下图:点击“新建用户”,进入用户设置界面:这里不需要填写全部容,但必须设置标有红色*号项,其他可根据实际情况确定是否需要填写即可:●登录名:登录Shterm的用户ID,可以使用数字、字母或. - _等符号,但不能以. - _符号开头作为用户名,例如这里我们设置成admin;密码:选择手动输入或自动设置,默认选择手动输入,依次在设置密码和确认密码栏中输入两次密码;●权限:系统默认有4类管理员,分别负责不同的角色,可以将不同的角色权限分配给不同用户,也可以多个管理员权限分配给同一个用户,可根据公司实际情况分配权限,例如我们这里将所有权限分配给admin这个,将这四个管理员选项都勾选上。
1.3建立普通用户账号因为“普通用户”只有“配置管理员”的账户才有权限添加,因此需要使用配置管理员重新登陆Shterm,例如刚才建立的admin,并打开基本控制-用户菜单,点击新建用户:与上文中方法一样,建立一个名为user的用户账户,设置其权限为“普通用户”,如下图:建立完毕后如图:1.4快速身份切换如果一个用户具有多个权限,则可以在控制台中快速切换用户身份,例如从超级管理员切换成配置管理员,将鼠标移动到右上角下图位置上,选择相应的权限用户即可完成身份的切换:第二章添加目标设备(配置管理员)2.1 Windows设备(RDP)2.1.1 条件准备进行本章您需要有准备一台符合以下条件的windows设备作为目标设备:●Windows 2012/2016(需开启RDP服务)以及系统账号和密码●Windows服务器IP地址和RDP端口(IP可达,端口可访问)2.1.2 添加设备利用admin账号登陆,点击基本控制-目标设备-新建,弹出新增设备配置页面填写设备名、IP地址、选择设备类型为“Microsoft Windows”后点击确定,如下图:系统进入添加设备更多选项界面,如果RDP端口不是默认端口,请点击服务列表,在RDP服务项上点击编辑即可修改;如果需要启用RDP的Console模式或客户端磁盘映射,请勾选上相应选项。
在服务列表里会看到访问该目标设备所使用的协议类型和协议名称,需要新建访问协议的话可以在右上角选择相应的协议,然后选择新增按钮。
点击编辑查看已有访问协议的基本属性,如下图:2.1.3 设置密码点击密码管理设置该设备的系统账号密码,如下图:提示:Shterm默认仅置了6个常用系统账号,如果列表中没有对应的系统账号,可以在基本控制-系统账号中添加。
找到对应的系统账号,点击新建,输入相应的密码或Domain信息,如下图:接下来建议测试验证一下系统密码和相关配置是否正确,请点击登录测试如果在验证登录过程中,弹出安全警告信息,请勾选上“始终信任此发行者的容(A)”,并选择是当出现目标设备桌面,表示配置和密码正确,如下图所示:到此一台windows设备已经添加完毕。
2.2 Linux设备(SSH、X windows)2.2.1 条件准备●设备类型,IP地址及访问端口。
●系统账号和密码2.2.2 添加设备以下以添加一台通过SSH协议访问的CentOS设备为例,说明具体步骤打开基本控制-目标设备-新建,注意选择设备类型为General Linux,完成后点击确定。
如下图:特权账号保持默认的root,点击服务列表,确保字符终端(ssh)和图像终端(xdmcp)在列表中。
如图:2.2.3 设置密码点击密码管理,为设备设置系统账号密码,如下图:输入账号密码后,点击确定。
完成后请进行登录测试,测试结果如图:2.3网络设备(Telnet)2.3.1 条件准备●设备类型,IP地址,访问端口。
●telnet密码和特权模式密码(分别对应null账号密码和enable账号密码)2.3.2 添加设备以下以添加一台Cisco路由器为例说明具体步骤,打开基本控制-目标设备-新建,如下图:注意选择设备类型为Cisco IOS Device,完成后点击确定。
注意特权账号为enable和服务列表中有telnet。
点击确定,如下图:2.3.3 设置null账号密码提示:关于null账号这是Shterm置的一种系统账号,用于Cisco等无需用户名仅需输入密码即可登录的设备。
点击密码管理,选择null账号新建密码,如下图:完成后点击确定,并进行登录测试,测试结果如图:2.3.4 设置特权模式(enbale)密码在密码管理中选择enable并点击新建,如下图:设置enable切换自null,并设置密码后点击确定,进行登录测试,测试结果如图:第三章建立访问控制规则(配置管理员)用户账号,目标设备和系统账号都添加好了之后,我们需要建立一些访问规则让用户直接通过Shterm来登陆到设备中。
3.1新建规则打开权限控制-访问控制-新建,如下图:设置规则名称和选择服务类型和协议,例如这里我们选择RDP和FTP,完成后点击确定。
3.2关联用户账户点击规则后的用户,这里的用户指的是登录Shterm系统的用户账号(非操作系统)。
选择需要关联的账号后点击建立关联,至此这个用户可以访问该规则中定义的设备或设备组,如下图中user用户。
3.3 关联设备点击新建规则后的设备按钮,弹出设备选择页面,如下图:选择设备后,点击建立关联,即可将设备加入到该规则中。
3.4 关联系统账号点击规则后的系统账号,添加需要登录目标设备使用的系统。
如果需要的系统没在列表中,请先在基本控制-系统中添加相关信息。
勾选需要关联的账号,点击建立关联。
提示:关于self,该账号用于用户账户和系统账号相同时,self表示用用户账户密码登录目标设备,一般用于windows域环境。
Any表示需要在目标设备登录界面手动输入登录系统和密码,不帮助用户代填任何信息。
至此,一条完整的访问权限规则定义完成,如下图所示:第四章设备访问(普通用户)Shterm只能让普通用户访问设备,所以登陆刚刚新建的user账号。
4.1环境准备●浏览器:Microsoft Internet Explorer 8.0或以上(也可以是以其为核其他浏览器)、Mozilla Firefox、Google Chrome或者Netscape7.2以上版本;●JRE:安装Java™ Runtime Environment,版本不低于6u5,Windows用户可以访问Shterm的右上角?-工具下载,下载并安装。
其他平台用户可访问.java.下载对应版本;4.2图形设备普通用户登录Shterm将自动打开最近访问列表,如果是首次访问列表将为空。
4.3 设备访问打开设备访问,点击左边管理员分配给用户具体的访问规则,将会在右边展示出该规则下用户能访问的具体设备,如下图:点击右边窗口中具体设备名,将列出该设备提供的服务信息。
如果直接用鼠标左键点击具体服务图标,将会以默认的参数启动相关服务;如果需要修改默认参数,可以使用鼠标右键点击出现的小图标,会出现高级菜单(如下图),例如下图Windows图形界面的访问有两个选项可以选择:console和mstsc,下面会进行详细说明。
Windows设备可设置访问使用的系统账号、屏幕分辨率和需要映射的本地磁盘。
点击启动即可,访问设备,如下图:关于图形设备操作更多容见下文。
勾选console访问目标设备,实际上就是调用windows本地的console,界面的效果就是看到windows的本地界面,如下图(我在目标设备上已经打开了一些窗口):勾选mstsc则是调用本地的mstsc程序远程会话功能。
效果如下:4.4字符终端设备访问(Telnet、SSH)对于字符终端设备Shterm支持web终端方式和第三方SSH客户端两种方式访问。
4.5 Web终端默认的web终端是jterm,您也可以设置为putty(详细设置参考超级管理员手册关于系统策略中的相关配置)。
用普通用户登录Shterm后,选择左边规则名后,将在右边显示具体的设备名称,如下图:点击要访问设备,将展开该设备能访问提供的服务。
在相应字符服务图标上右击鼠标右键,在弹出窗口中可选择系统账号和终端大小,如下图:点击启动,即可访问该设备:提示:可使用Ctrl-Ins进行复制、Shift-Ins进行粘贴。
4.6 第三方SSH客户端任何支持SSH2协议的客户端工具均可通过Shterm访问字符终端设备,如Putty、OpenSSH、SecureCRT等。