运维安全审计系统HAC运维用户使用手册.doc

1、运维安全审计系统（HAC）运维用户使用手册广州江南科友科技股份有限公司2012年3月2广州江南科友科技股份有限公司 地址(Add):广州市天河区科韵路16号广州信息港C栋 1003室 电话(Tel):(86 20)85533289 传真(Fax):(86 20)85530160 邮编(P.C):510665 运维安全审计系统（HAC）_运维用户使用手册版权声明本手册中涉及的任何文字叙述、文档格式、插图、照片、方法、过程等所有内容的版权属于广州江南科友科技股份有限公司所有。未经广州江南科友科技股份有限公司许可，不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。本手册中的信息受中国知识产

2、权法和国际公约保护。版权所有，翻版必究广州江南科友科技股份有限公司 地址(Add): 广州市萝岗区科学城科学大道162号创意大厦B3区主楼2层电话(Tel):(86 20)28068388 传真(Fax):(86 20)28068389 邮编(P.C):510663 目 录1.前言31.1概述31.2阅读说明31.3适用版本31.4使用环境32.首次登录42.1首页42.2浏览器设置52.3运维客户端安装72.4常用运维设置73.运维访问过程84.最近访问105.基本操作115.1双人复核115.2复核事例126.运维协议分类186.1全部协议186.2文本协议196.3图形协议206.4文件

3、传输206.5应用发布207.运维事例227.1文本类运维事例227.2文件传输类运维事例247.3图形类运维事例257.4VNC运维事例267.5应用发布运维事例277.6变更工单运维事件307.7其他帐户运维307.8AS400运维事例328. 运维管理368.1参数设置368.2工具下载378.3Portal客户端安装379.技术支持4141广州江南科友科技股份有限公司 地址(Add): 广州市萝岗区科学城科学大道162号创意大厦B3区主楼2层电话(Tel):(86 20)28068388 传真(Fax):(86 20)28068389 邮编(P.C):510663 1. 前言1.1 概

4、述本文档为运维安全审计系统的运维用户的使用手册，作为运维用户的操作指南。1.2 阅读说明本手册包含运维用户的全部日常操作。首次阅读此文档时，建议您重点阅读第2章节。1.3 适用版本本手册，适用于3.6P的发布版。1.4 使用环境HAC的运维用户主要使用WEB登录方式作为用户界面（AS400除外，需要使用专用客户端工具）。HAC的运维用户，可以使用Microsoft Internet Explore或以其为内核的其他浏览器，因部分控件的兼容问题，如果您使用的是IE 8浏览器，请在兼容模式下进行运行。2. 首次登录2.1 首页用IE浏览器访问：https:/HAC_IP/，访问过程中，如果是IE7

5、/8，会出现证书安全警告等信息：选择“继续浏览此网站”，进入登陆页面。用户名和密码使用运维管理员创建的用户登录，如果是令牌模式管理员，其他外部认证的用户，请不勾选“口令认证”，直接输入用户名后“登录”。本文以口令认证用户test登录过程为例进行讲解，登录成功后首页如下：首页内容为：当前日期、上次登录时间及登录IP、最近10次运维记录。操作记录包含操作时间、操作的客户IP、运维过的资源名称和使用的设备帐户名。为了安全性考虑，首次登录后建议静态口令用户，点击页面右上角“修改密码”，对密码进行更新。2.2 浏览器设置因为运维过程中，需要调用某些控件，因此需要对浏览器的安全属性进行部分调整。增加对HA

6、C地址的信任，以及允许ActiveX控件的运行。按照以下步骤：1) 添加可信任站点：IE浏览器/“工具”/Internet选项/ 安全/可信站点2) 针对可信站点，启用ActiveX控件的选项：启用“对未标记为可安全执行脚本的ActiveX控件初始化和脚本运行；启用“下载未签名的ActiveX控件”；启用“下载已签名的ActiveX控件”；启用“运行ActiveX控件和插件”。2.3 运维客户端安装登录页面中，运维管理/工具下载/Portal客户端工具，下载后进行安装，具体操作参见本文的第8.2章节。2.4 常用运维设置HAC提供了根据用户喜好，使用频率高的个性化设置，可以方便用户进行快速执行

7、。比如图形化运维时，通常使用的后台服务器帐户，是否经常全屏显示或其他分辨率，显示的颜色深度。具体设置，参见本文的8.1节。3. 运维访问过程1) 运维拓扑图：2) 非自动登录访问过程： 运维用户登录运维平台； 选择需要访问的资源； 文本协议和文件传输直接输入设备帐户名及密码登录进行实际操作； 图形协议和应用发布可对屏幕分辨率和RDP设置做设置，然后再输入设备帐户名及密码登录进行实际操作。3) 自动登录访问过程，与非自动登录的区别在于，不用手动输入设备帐户名和密码，运维管理员已分配可用的后台帐户，直接选择帐户即可自动登录。4) VNC应用，比较特殊，因登录时不需要用户名，不存在托管功能，运维过程

8、简单，只需输入密码。5) http（S）和应用发布，这两种类型应用，HAC会自动根据运维用户名创建自动登录用户，运维管理员无需手动创建帐户，也省去了运维用户手动选择用户登录的过程。VDH应用发布访问过程登录运维用户操作界面选择需要访问的资源，登录VDH服务器：在VDH服务器上运行发布的应用登录应用主机，进行实际操作6) AS400协议的特殊性，一般使用IBM专用的客户端工具，本文也对运维过程进行了说明。4. 最近访问运维协议/“最近访问”页面，显示最近访问的20个资源，按照访问时间的先后顺序倒序排列。您可以从此页面快速的找到常用的资源，进行运维，页面如下：5. 基本操作5.1双人复核双人复核是

9、指运维用户在做一条会话时，若需要放行告警阻断命令，必须要求其他运维用户进行审核。复核员实时监控活动会话，控制阻断命令最终是否被执行。仅ssh和telnet协议的Portal运维支持双人复核功能。运维平台/基本操作/双人复核，进入双人复核页面：检索方式：有标准和定制两种，对活动中的会话进行检索。u 标准检索，以ssh协议为例，协议下拉列表选择ssh，检索结果如下：u 定制检索：支持资源名、IP地址、运维人员和姓名模糊检索，也可以组合查询，下面以IP地址“10.10.1.23”模糊检索为例：5.2复核事例以下以ssh为例，介绍双人复核相关操作。运维用户登录运维平台，选择“全部协议/文本协议”：点击

10、“执行”，具体页面如下：复核员的下拉列表中包括全部复核员和其他运维用户 全部复核员：所有运维用户如果复核员选择“全部复核员”，所有的运维用户登录运维平台后均能看到复核申请，若其中一个用户执行复核操作，其他用户不用再复核。 复核员：指定复核员登录运维平台后可看到此复核申请点击“继续”进行运维操作，如图所示：注：若点击“快速执行”，默认的复核员为全部复核员。下面以运维会话指定复核员为111用户为例，介绍复核相关操作。5.2.1未复核会话执行运维会话，指定的复核员未执行复核会话。当运维会话输入阻断命令时（注：若协议配置了告警，则会按照配置的黑白名单规则执行阻断或放行命令），会直接阻断命令，具体如下图

11、所示：创建阻断告警会话，输入阻断命令时，指定复核员未复核该会话，命令被阻断。如下：回车后可以继续会话操作。5.2.2复核会话基本操作/双人复核，显示该复核员可以复核的活动会话，具体页面如下：点击“复核”，进入复核窗口，当运维会话输入阻断命令，如：ls，则提示等待复核员的批准，如图所示：图表 1会话终端同时，复核员会收到是否允许运维人员执行当前命令的提示，图表 2复核终端 若复核员输入“y”，则表示允许执行该命令，运维会话端显示复核结果并执行命令，同时复核端显示命令执行结果； 若复核员输入“n”，则表示阻断命令，运维会话端显示复核结果，并告警阻断。同时复核端显示阻断结果； 若复核员在超过120秒

12、的时间内仍未做出复核操作，则运维会话端阻断当前命令，同时复核端显示阻断结果。具体页面可参见下图所示：图表 3复核终端图表 4会话终端5.2.3多次复核 当运维会话结束时，复核也结束。复核员结束复核会话不会影响运维操作，复核员可对会话进行多次复核操作，但所有复核操作只能是同一复核员。6. 运维协议分类6.1全部协议运维协议/“全部协议”页面显示所有用户可以运维的资源。可检索您要运维的资源，可运维资源，页面如下：检索方式：标准检索和定制检索；默认标准检索。1）标准检索，以ssh协议为例，在“协议”下拉框选择ssh，检索的结果如下：2）定制检索，检索方式选择“定制”之后，页面如下：输入要搜索的资源名

13、或IP，支持迷糊搜索和组合搜索，以模糊匹配IP“172.16”为点击“搜索”搜索如下：执行：点击“执行”后，可设置登录参数，并进行登录。快速执行：点击“快速执行”，可按照“参数设置”中的参数，直接进行登录。参数设置详见8.1节。6.2文本协议运维协议/文本协议包含：TELNET、SSH协议类型的资源6.3图形协议运维协议/“图形协议”包含：RDP、XWIN、VNC、HTTP、HTTPS等协议类型的资源6.4文件传输运维协议/ “文件传输”包括：FTP、SFTP两个协议类型的资源 6.5应用发布运维协议/ “文件传输”包括由运维管理员定义，由VDH设备支持的应用发布程序。如pcanywhere，

14、plsql应用。7. 运维事例因统一使用Portal进行运维，各协议运维的过程大致相同，所以会介绍比较典型的几个例子。7.1文本类运维事例 1） 登录运维平台，选择“协议运维/文本协议”，以telnet运维为例，ssh运维类似： 2） 点击“执行”：3） 选择可选的设备帐户root，点击“继续”：这样，就进入了运维界面。 如果需要支持telnet中文输入，登录以上界面后，鼠标右键该工具的标题栏，在弹出的以下窗口中，将字符集更改为GB2312，apply后即可生效。如果还不能支持，请联系运维管理员确认此telnet资源为“支持中文”。7.2文件传输类运维事例1） 运维用户登录运维平台，选择“协议运维/图形协议”以ftp为例：2） 点击“执行”：3） 点击“继续”，验证通过，进入真实主机可以进行实际操作：7.3图形类运维事例RDP的访问过程与XWIN运维类似，登录时，选择服务器帐户。选择RDP资源：点击“执行”：设置相关参数后，点击“继续”进入真实服务器进行操作：7.4VNC运维