麒麟开源堡垒机管理员手册.docx
《麒麟开源堡垒机管理员手册.docx》由会员分享,可在线阅读,更多相关《麒麟开源堡垒机管理员手册.docx(60页珍藏版)》请在冰豆网上搜索。
麒麟开源堡垒机管理员手册
麒麟开源堡垒机管理员手册
麒麟开源
1概述
麒麟运维安全堡垒平台(以下简称麒麟运维堡垒机)是用于对第三方或者内部运维管理员的运维操作行为进行集中管控审计的系统。
麒麟运维堡垒机可以帮助客户规范运维操作行为、控制并降低安全风险、满足等级保护级其他法规对IT内控合规性的要求.
功能介绍
麒麟运维堡垒机集中管理运维账号、资产设备,集中控制运维操作行为,能够实现实时监控、阻断、告警,以及事后的审计与统计分析。
麒麟支持常用的运维工具协议(如SSH、telnet、ftp、sftp、RDP、VNC等),并可以应用发布的方式支持图形化运维工具。
麒麟运维堡垒机支持旁路模式和VPN模式两种方式,物理上旁路部署,灵活方面.
麒麟运维堡垒机在操作方式上,不改变用户的操作习惯,仍然可以使用自己本机的运维工具。
名词解释
控制台
指麒麟运维堡垒机提供给管理员实现对它进行管理的Web系统.
管理员
指麒麟运维堡垒机系统的管理员,按照角色分为系超级管理员、配置管理员、组管理员、密码管理员、审计员,按照权限分立的原则分别承担不同的职责.
超级管理员:
是内置的最高权限管理员,可以创建其他管理员角色用户账号。
配置管理员:
负责资产管理、授权管理等。
组管理员:
只对特定组的资产管理、授权管理.
审计员:
只负责完成审计工作;
密码管理员:
负责维护资产设备的账号密码.
协议
指麒麟运维堡垒机运维工具所用的通信协议,比如Putty使用SSH协议,CRT支持SSH和Telnet等。
工具
指运维人员实现对设备的维护所使用的工具软件。
设备账号
指运维目标资产设备的用于维护的系统账户.
自动登录
指麒麟运维堡垒机为运维工具实现自动登录目标被管设备,而运维用户不需要输入目标设备的登录账号和密码,也称为单点登录(SSO).
命令阻断
指麒麟根据命令权限策略检查用户输入的操作指令,如果策略不允许执行此指令,麒麟会拒绝转发此操作命令目标设备,同时向操作员反馈拒绝执行的提示信息。
这是实现实时操作控制的一种重要手段.
应用发布
指通过在应用发布服务器部署应用程序,提供给用户远程虚拟化方式进行使用,就如同安装在本地一样的效果.
环境要求
麒麟运维堡垒机管理控制台为Web系统,要求客户端采用支持IE内核的浏览器登录,因为需要支持ActiveX控件,推荐使用IE浏览器,支持IE8、IE9、IE10。
.另外,终端还需要安装JRE环境,支持麒麟WebPortal的JavaApplet。
2管理员登录
麒麟运维堡垒机管理控制台采用HTTPS安全通信连接,默认端口是443。
管理员登录控制台的方式是,以IE为例,在浏览器地址栏输入:
https:
//麒麟-ip
麒麟运维堡垒机超级管理员的账号和密码是“admin/12345678”。
麒麟运维堡垒机初始状态未启用动态口令认证,因此初次登录不需要输入动态口令。
另外,麒麟运维堡垒机还有两个预设的管理员用户,audit和password,分别是审计员账户和密码管理员账户,默认密码也是“12345678"。
管理控制台登录界面如下图所示。
登录成功后界面如下图,进入系统当前状态界面.然后管理员可以根据需要选择功能菜单执行预期的管理操作。
超级管理员可以完成其他所有管理员可以做的工作,因此超级管理员界面的功能就是管理控制台的所有功能,其他管理员操作界面只是其的一个子集。
以非超级管理员的其他管理员身份登录,系统会要求首先修改个人账户密码,如下图所示:
配置管理员登录后的操作界面如下图所示:
密码管理员登录后的操作界面如下图所示:
审计员登录后的操作界面如下图所示:
组管理登录后的操作界面如下图所示:
不同角色管理员功能职责允许有交叉,超级管理员可以承担所有管理工作,比如他可以承担审计员的工作,其他管理员权限也可以根据需要进行授权。
本文档对管理员功能的介绍按照功能模块进行组织,不同角色管理员根据自己的授权和管理界面,在对应功能模块章节查看操作说明。
3初始基本配置
开始使用堡垒机,管理员应先进行一下配置检查,根据实际应用需要配置必要的系统参数,构建适合本单位的系统工作环境。
1、系统时间同步
系统配置—参数配置中的系统参数选项卡中各项需要确认,尤其是系统时间,有条件的请配置合适的NTP服务器,保证运维堡垒机时间的准确性。
2、密码策略
账号管理是麒麟运维堡垒机的核心功能之一,账号密码的安全性不容忽视,应在创建账号前首先确定密码安全策略,如下图所以。
3、资产设备系统类型
资产设备管理进行运维安全管理的基础,每台资产设备都有相应的系统类型,检查和配置系统类型是开始资产管理的基础,应在添加资产前首先配置好资产系统类型,如下图所示。
4目录管理
目录说明
目录结构就是LDAP的目录,目录中可以放置主帐号、服务器等资产,因为系统为目录结构,因此,帐号和服务器可以放在同一个目录中,即目录与过去的资源组不同,没有区分是用户的或是设备的,任何一个目录中即可以放置主帐号,也可以放置服务器等资产。
目录主要功能是方便管理,使用目录结构,当需要进行查找时可以直接以目录为单位进行,方便了管理人员使用.
系统上线前必须划分好目录结构,小的环境中,建议使用平装单层结构,即只有一层组,大的环境中,建议使用三级目录关系,即系统可以分为一级目录、二级目录和组三层。
目录创建
目录创建时,小的环境中,直接创建资源组即可,设备组与设备组之间是平等的,用户在创建主帐号或资产时,直接将主帐号或资产加入到资源组中即可。
大的环境中,用户需要先有一个规划,一般可以按地点或管理结构进行规划,系统可以设置为一级目录-二级目录-资源组三层关系,二级目录必须在一级目录中,资源组即可以在一级目录中,也可以在二级目录中,用户在资源管理—目录管理中点击新建,在节点类型中选择为一级目录,输入节点名称和描述点确认即可以建立一个一级目录.
建立一级目录后,用户可以在点击新建按钮,创建二级目录或资源组,并且将新建的目录或级加到刚才的一级目录中。
建立好目录关系后,在目录管理中,可以直接查看目录与资源组之间的关系
5账号管理
用户角色
麒麟运维堡垒机设置了五个用户角色:
超级管理员、配置管理员、审计管理员、密码保管员和普通用户,各角色具体权限如下表所示。
用户角色
角色权限
超级管理员
账户管理
资产管理
系统级配置管理
运维审计策略配置
运维操作审计
配置管理员
资产管理
运维操作审计
分组管理员
资产管理:
角色类似配置管理员,但是只能对指定设备组进行管理
运维操作审计
审计管理员
运维操作审计
运维审计报表
密码管理员
密码管理
普通用户
设备运维
麒麟出厂内置三个管理员账户,分别是:
(1)admin—超级管理员
(2)audit-—审计管理员
(3)password——密码管理员
三个默认用户的默认密码均为12345678。
运维账号管理
点击左侧菜单“资源管理-运维账号”,打开运维账号管理界面。
初始界面可以看到三个管理员账号.
在运维账号列表底下有一排操作按钮,用来实现账号相关的管理工作。
添加用户
每个运维账号含有大量权限信息,是理解运维控制的核心,请务必仔细领会,下面详细介绍。
1、账户基本信息
账户基本信息主要包括账户的基本
标识信息、对应自然人信息、有效期和账户认证相关信息.
用户组:
是为了方便分组管理设置的组,可在同一界面的“目录管理"选项卡中设置用户组,注意,用户在添加时,必须属于一个组。
认证方式:
本地认证、外部认证、短信认证。
默认采用本地认证,如果使用Radius账号,用户认证方式就是外部认证方式。
另外,动态口令方式认证也属于外部认证.
生效时间:
账号启用的时间.
过期时间:
设定账号有效期。
有一定使用时间期限的账户也称为临时账户。
锁定:
是使该账号暂时不可用,解锁后可以正常使用。
来源IP:
设定给用户的来源IP.来源IP的具体IP列表设定在“资源管理-策略设置”界面中。
周组策略:
设定该账号一周七天中,哪些天和每天什么时段可以有效访问。
限制工具登录:
限制用户使用工具登录。
2、权限信息
用户权限:
本行设定用户角色和其操作权限。
从下拉列表框中选择用户角色,该账号即有了角色的默认基本权限;下拉框本行右侧的各选项,是角色基本权限外可扩展的权限,如果可选表示角色可以赋予该权限,如果不可选表示不能赋予该权限。
角色可扩展权限如下图所示。
角色
可扩展权限
普通用户
无
管理员
运维权限、密码权限
审计员
运维权限、密码权限
密码管理员
运维权限
配置管理员
运维权限、密码权限、审计权限
组管理员
运维权限、密码权限、设备组、用户组
数据库运维权限:
该账户运维数据局库的时候是数据库DBA还是普通用户等权限登录。
日志审计权限:
日志审计功能的权限设置。
VPNIP:
勾选“不允许使用VPN”,表示不能以VPN方式登录堡垒机。
如果不打勾,表示允许该账户通过启动堡垒机的VPN客户端登录堡垒机进行运维。
VPNIP一般不用指定,堡垒机会自动分配VPNIP。
3、其他信息
设置用户使用控件的方式。
批量添加用户
点击“批量添加"可以快速添加多个用户,如下图所示。
批量编辑用户
点击“批量编辑"按钮可以快速编辑多个用户信息,如下图所示。
RADIUS账号
“Radius账号列表”是在采用Radius认证方式的时候使用的,用户管理理念和维护Radius账户信息,各按钮含义与前面本地用户操作相同,只是现在目标本地账号系统变成了外部的Radius账号服务器。
添加Radius用户的项目信息如下图所示:
目录管理
系统使用标准的LDAP树型结构,因此资产必须属于树中,比如运维人员帐号、设备资产等,必须在一个树中。
目录管理菜单可以建立或编辑树形结构,可以将资产加入相应的树形结构中,一般情况下,树形结构是按公司的组织方式进行添加。
在线用户管理
在线用户管理用于查看用户状态,并可对在线用户进行控制管理,主要是断开操作。
当认为当前用户不适合继续在线操作时可以执行强制“断开”,使其下线。
从在线用户列表中可以看到用户的登录时间和来源IP.
登录策略
绑定授权访问策略,限定用户登录运维资产的合法时间,具体策略规则在“资产管理—策略设置—授权策略"中配置。
默认是没有登录策略限制,即每天任何时间都可以登录运维。
设备管理
“资源管理-资产管理”菜单的“设备列表”选项卡实现设备管理的功能。
打开该选项卡首先看到的是当前已有设备列表,如下图所示。
有关设备的相关在添加或修改界面上能够充分体现.点击“添加新设备”打开添加设备界面,如下图。
服务器地址:
必填项
主机名:
必填项
设备组:
可选项。
设备组需要在统一界面的“设备组列表”选项卡进行设置。
系统类型:
必须正确选择。
如何配置系统类型列表,在“第三章初始基本配置”中已经有介绍。
超级管理员口令:
一般不需要填写,保持空白即可.一些路由交换机等设备从普通用户登录时自动su到root时才需要填写。
一般的Windows、Linux、Unix服务器设备不用填写此项。
修改方式:
指自动修改设备账号密码的改密频率,与下一行的频率共同使用,频率底下一行是提示说明。
如果不想自动改密,请填写0.
各种协议默认端口:
是指如果该设备上使用该协议的话,所使用的端口,如果实际情况不是标准默认端口,请修改成为实际端口值。
Oracle实例:
Oracle服务器时添加服务名。
扩展信息:
是一些常规资产管理信息,如果需要可以填写,一般可以不填。
内容如下图所示。
对已有设备的管理最主要操作用户绑定,点击下图中设备所在行右侧操作栏中的“用户”链接。
点击“用户"链接后,打开设备的系统用户管理界面,如下图所示。
可以为当前设备添加、删除系统用户.系统用户是真正登录到该设备的最终执行账号。
点击“添加新用户”可以看到系统账号的相关信息,如下图所示。
用户名:
必填项.
空用户:
对于一些特殊的设备才有用,一般是不用选此项的.
Radius用户认证:
如果设备登录涉及Radius认证请勾选。
登录方式:
必选项,必须正确选择。
在选择ssh登录方式的时候,如果账号同时允许sftp,可以勾选“sftp传输"。
端口:
确认登录方式协议对应的端口。
过期时间:
系统账号停止使用的时间.
用户终端:
只终端输入输出字符集,一般默认即可,如果是中文界面,出现乱码的时候可以尝试选择GB2312.
启用:
勾选启用,该账号可以正常使用;如果不勾选,该账号暂时不可使用。
自动修改密码:
该账号的密码是否允许自动修改。
改密主账号:
该账号是否是用来修改密码的主账号。
一般选择设备上具有超级管理员权限的账号作为改密主账号。
设置自动改密,还需要配置自动改密的密码测试,在“资源管理-策略设置-自动改密”选项卡中设置改密的密码策略。
如下图所示。
修改密码主账号是指修改密码时麒麟堡垒机使用的账号,建议使用权限最高的root或者administrator来作为主账号,以免在麒麟系统自定义的改密规则和被管理的设备系统的默认改密规则冲突。
麒麟堡垒机自动修改密码,其中Unix设备使用telnet远程改密,Windows设备需要在目标服务器安装agent。
自动登录:
堡垒机为用户启账号密码代填登录.不选择自动登录,用户需要自己输入系统账号、密码.
公私鈅认证:
当目标设备采用公私钥认证方式时选此项。
绑定组:
设备的运维权限授予指定组.
绑定用户:
设备运维权限授予指定用户。
特别注意对用户的运维访问权限设置还有一个层面,点击绑定组中的一个组名或者绑定用户中的一个用户名,会打开一个设置界面,如下图所示:
账号是否被锁定:
一般不要勾选,勾选后这个系统账号将不能登录。
磁盘映射、剪切板对RDP有效。
周组策略:
选择预设的周组策略。
来源IP组:
限定运维登录的合法IP组。
命令权限:
选择预设的命令权限组。
如下图所示,如果一个命令组的名称后面标有“(禁止)”表示是一个命令黑名单,标有“(允许)"说明是一个白名单。
周组策略、来源IP组和命令权限都说是在“资源管理—策略设置”菜单界面中.
设备信息导入导出
麒麟运维堡垒机支持设备导入导出,采用ExcelCSV文件格式。
如下图所示。
如下图中,设备列表底下的“导入用户”、“导出用户”两个按钮就是用来导入和导出设备资产信息的,包含设备用户信息。
点击“导出用户"按钮,可以得到一个ExcelCSV文件,可以作为模板,用来填写需要导入的设备用户信息.
设备导入时,在资产CSV中添写的是明文密码,则需要将加密项勾选,系统入库时会自动将密码进行加密保存,如下图所示。
普通用户自动登录root账号
如果您设备不允许的root账号远程登录,需要使用从普通账号自动SU到root账号的功能.
首先在设备添加时需要输入超级管理员口令,然后将建好的普通账号绑定给指定堡垒机用户,点击堡垒机用户名进行策略设置,选择自动登录为超级用户,设置界面如下:
注意:
su切换仅对telnet、ssh有效,对其它协议无效
目录节点管理
点击“目录节点”选项卡,进入目录节点管理界面,如下图所示。
点击添加,可以添加设备目录节点,设备目录节点可以分为一级节点、二级节点、设备组三个级别,其中二级节点必须属于一个一级节点
在设备组目录中,点击一个目录,例如点击上图中“Windows设备组”,系统显示出改组设备的列表,如下图所示。
可以对该组设备进行操作,或者为当前组添加、删除设备
系统用户组
通过系统用户组可以快速地将多个设备的系统账号绑定给堡垒机自然人运维账号。
系统用户组是指将已经添加的资源的系统账号以列表的形式展现出来,方便分组绑定操作,不用再繁琐的选择资源再选择系统用户然后再进行绑定,简化绑定操作。
点击添加新组就可以添加一个新的系统用户组,界面如下:
点击“添加新组”进入新组创建页面,如下图所示。
输入IP地址段可以对备选设备系统账号进行过滤筛选。
选中要添加的账户,点击“添加”按钮,添加到组中的账号显示在右侧列表中,初始为空。
要为一个系统设备组绑定用户,请单击系统用户组列表操作栏的“授权”操作下图所示。
点击“绑定"后,进入运维账号选择绑定操作界面,如下图所示,选择需要绑定的组与用户,点击“保存修改”即可。
使用系统用户组来进行绑定可以避免系统账号绑定给自然人账号时的误操作,提供了一个更加清晰高效的绑定界面。
应用发布
应用发布系统可以管理http/https或C/S应用,比如Juniper防火墙,前置交换机等所使用的运维管理工具软件。
应用发布服务器
应用发布系统运行在Windows平台,推荐WindowsServer2008,Windows2003也可以支持。
在应用发布服务器上部署麒麟应用发布模块,将运维需要的各种应用程序安装在应用发布服务器上。
添加为资产设备
应用发布服务器需要先添加到系统资产里,过程与添加一台普通Windows服务器类似,唯一的区别是选择登陆方式为apppud,将该设备绑定给所有需要使用应用发布的账号。
1、添加设备
2、设置为应用发布登录模式
在设备列表中,为应用发布设备添加一个用户,用户名和密码可以为空,选择“应用发布”登录方式,保存修改。
如下图所示.
添加为应用发布服务器
打开“资源管理—设备管理”,打开应用发布选项卡,进入应用发布服务器管理界面。
可以看到应用发布服务器列表,如下图。
点击“增加”按钮,可以添加新的应用发布服务器:
应用发布
打开应用发布服务器列表,在操作栏中点击“应用发布”,进入应用发布界面。
如下图所示显示已经发布的应用列表.
点击“添加”按钮,发布一个新的应用,注意,发布应用前,应用必须已经安装在服务器上。
发布一个新应用的界面如下图所示。
应用名称:
名称是唯一的,不能重复。
用户名和密码:
是针对IE应用的,例如发布了一个邮件应用,填写邮箱的用户名和密码后可以将邮件的用户名密码自动填写.
服务器列表:
选择应用在哪台服务器上。
程序列表:
堡垒机系统维护的常用应用程序的列表,在当前界面的最后一个选项卡“应用程序”中可以查看和维护,如下图所示。
当发布的应用是IE浏览器时,会在“程序地址”底下多出一行“URL”,可以通过指定URL对IE限制只能登陆指定URL。
如下图所示。
发布应用程序的授权绑定操作与设备的授权绑定完全相同。
首先在应用用户组根据需要发布的应用建立一个自定义组,再将这个应用组和用户绑定。
创建应用用户组的界面如下图所示.
下图是应用用户组绑定运维和用户和用户组的操作界面.
SSH公私鈅上传
针对需要使用公私鈅认证的设备,上传公私鈅的界面如下图所示。
6权限查询
“权限查询"是为了提供一种快速全面复核授权的方法,以免赋予过高的权限,或者有授权遗漏。
“权限查询”分“系统权限”和“应用权限”两大类进行查询。
“系统权限”对应就是资产设备运维权限,“应用权限”就是发布的应用程序的权限查询。
在权限查询界面还可以直接链接到授权绑定的修改界面,便于快速修改授权。
系统权限查询
在“资源管理—授权查询”菜单页面中,点击“系统权限”选项卡,显示系统权限查询页面,如下图所示。
输入查询条件,比如在输入运维用户名,如下图.
点击“确定”按钮,系统根据输入条件搜索出结果,如下图所示。
如果要修改授权,点击上图列表右侧操作栏中的“编辑”,进入与编辑系统用户相同的界面,可以改变权限绑定关系.
应用权限查询
在“资源管理-授权查询"菜单页面中,点击“应用权限"选项卡,显示应用权限查询页面,如下图所示。
可以在上图中输入查询条件重新进行筛选。
如果要调整修改应用授权,请在上图中选择目标行,在右侧操作栏点击“编辑",进入应用发布权限修改界面,如下图所示.
7策略设置
策略是实现运维控制机制的关键,“策略设置”就是管理员根据实际需要设置各种测试的集中管理模块.
默认策略
点击“资源管理—策略设置”菜单打开策略设置界面,如下图所示,显示当前默认策略设置.
首先看到的是系统默认策略。
系统默认策略就是一个模板,在真正绑定策略的时候,可以不加修改地使用它,也可以进行按需的调整后绑定.比如在系统账号绑定运维账号的时候,讲过如何通过点击用户名设置具体的策略。
默认策略中的“周组策略”、“来源IP组”、“命令权限”等都需在本页面的其他选项卡中设置好以后才可用。
来源IP组
来源IP组的作用是为了对运维终端IP进行限制。
来源地址限制分为WebPortal登录限制和直接使用运维工具限制二部分,WebPortal登录限制,可以限制用户登录WEB界面时的来源地址,运维工具限制可以限制用户使用运维工具直接连接系统时的来源地址,一般情况下,如果对用户来源地址进行限制,建议将WebPortal和运维工具限制方式都进行设定。
一个来源IP组就是包含多个源IP地址的组。
下图定义了一个名称为“内网组”的来源IP组。
在来源IP组管理界面列表操作栏中点击“ip”操作,可以对对应行的来源IP组进行编辑,添加或者删除该IP组中的IP地址,如下图所示。
点击“添加”按钮可以网组中添加一个新的ip地址。
注意ip地址的表示方式,是要带掩码的,如127.0。
0.0/8或192。
168.1。
24/255.255。
255。
0。
添加IP地址需要符合标准掩码模式,比如192.168。
0.0/24等,如果想添加一个单独的IP到地址组,则只需要将掩码设置为32位即可。
WebPortal登录限制在新建和编辑用户时可以设置,如下图所示。
点击保存修改按钮后,以后这个用户只能从绑定的地址组来源里登录,当从其它地址登录时,系统会自动提示并退出。
WebPortal模式不能禁止运维人员直接使用运维工具登录到目标服务器的方式,如果开启了直接登录方式,则除了WebPortal绑定外,还需要对用户登录权限进行绑定限制,可以在系统用户绑定给用户、系统用户组绑定给用户、设备组绑定给用户时的任何一个地方进行来源地址组绑定,如果权限冲突,则系统会遵循以下优先原则,即系统用户组的权限覆盖设备组的,系统用户的覆盖系统用户组的。
在做任何一个绑定时,都可以单击用户名或用户组名(为了避免操作混乱,推荐在系统用户组处绑定),用户权限绑定对话框如下图所示。
选中来源IP组后,点击保存修改按钮,返回到上层权限绑定界面,再次点击保存修改按钮,才可以使设置生效(注意,如果在权限绑定界面没有点击保存修改按钮,则配置不会保存)。
周组策略
周组策略是一周为周设定访问时间策略的一种方式,可以规定一周中每一天的有效时段,比如定义一个周一至周五每天上午9点到下午18点的时间策略。
下图是已经定义的周组策略列表显示,可以修改或者添加新的。
下图是建立一个新的周组策略的界面,可以很清楚看出周组策略的定义方式。
每一天或者给出有效时段,或者选择后面的“全部允许"或“全部禁止"。
时段的表示,采用开始时间和结束时间来定义,时间格式是:
hh:
mm:
ss。
命令组
命令组就是设置的一组命令,可以在“命令权限”策略设置中使用这些命令组,在那里称为命令模板。
点击上图中命令组列表右侧操作栏中的“命令编辑”,可以对现有命令组进行编辑修改,点击“添加”按钮可以建立一个新的命令组。
下图是编辑一个命令组的页面。
点击“添加”可以为改组添加命令,一次可以添加多个命令,如下图所示。
命令权限
“命令权限”策
升级会员 