运维安全审计系统H运维管理员使用手册.docx

1、运维安全审计系统H运维管理员使用手册运维安全审计系统（HAC）运维管理员手册广州江南科友科技股份有限公司2012年3月版权声明本手册中涉及的任何文字叙述、文档格式、插图、照片、方法、过程等所有内容的版权属于广州江南科友科技股份有限公司所有。未经广州江南科友科技股份有限公司许可，不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。本手册中的信息受中国知识产权法和国际公约保护。版权所有，翻版必究?1 前言1.1 概述本文档为运维安全审计系统的运维管理员使用手册，是运维管理员使用HAC的操作指南。1.2 阅读说明本手册包含运维管理员的全部日常操作，主要是与运维相关的操作。包含如何添加用户（组

2、），如何添加资源（组），怎样给用户进行授权，并且分配该用户能自动登录使用的帐户，以及定义应用发布，如何对运维方面的配置进行设置。1.3 适用版本本手册，适用于的发布版。1.4 使用环境HAC的运维管理员使用WEB登录方式作为用户界面。HAC的运维管理员，可以使用Microsoft Internet Explore或以其为内核的其他浏览器，因部分控件的兼容问题，如果您使用的是IE 8浏览器，请在兼容模式下进行运行。2 准备工作2.1 确定用户 即确定运维人员的用户名、授权信息（主要是指某运维人员可以通过哪些协议访问哪些核心服务器或网络设备）。2.2 确定访问服务器的协议 该内容是准备工作的重点，

3、主要是确定核心服务器提供何种类型的运维协议供运维终端访问，即确定运维终端使用Telnet、SSH、FTP、SFTP、RDP、HTTP、HTTPS、AS400、XWIN和VNC的哪些协议、端口去访问核心服务器进行日常运行维护操作。运维协议HAC IP及服务端口真实主机IP及服务端口备注Telnet10.10.110.10.110.10.110.10.110.10.110.10.110.10.110.10.12.3 确定自动登录帐户该内容是为运维用户进行自动登录（SSO）做配置，主要是确定核心服务器提供的后台登录帐户可以由哪个运维用户使用。如果，您所在的公司有独立的口令管理员，则帐户分配的工作需要

4、在其为设备创建设备帐户后再进行帐户分配。3 首次登陆用IE浏览器访问：；访问过程中，如果是IE7/8，会出现证书安全警告等信息：选择“继续浏览此网站”，进入登陆页面。用户名和密码使用系统管理员创建的用户登录，如果是令牌模式管理员，或证书认证的管理员，请不勾选“口令认证”。 以下以口令认证用户登录为例进行说明：运维管理员登录HAC系统，以下是登录首页：首页内容为：当前日期、上次登录时间及登录IP、最近10次操作记录。操作记录包含操作时间、操作的客户IP、操作功能模块以及操作内容。为了安全性考虑，建议静态口令用户登录后，点击页面右上角“修改密码”，对密码进行更新。4 用户管理在用户管理模块中，可以

5、对运维用户的帐户进行管理，实现对其的添加、删除、修改和快速查找功能，可以实现用户的批量导入、导出功能，在后台设备已经定义的情况下，可以为用户直接进行授权。添加用户的具体配置步骤如下：1) 选择“运维管理用户管理”，点击 “添加”按钮，出现如下配置页面：用户名：定义运维人员用户名，格式由数字、英文、下划线、中杠线、点组成，必须以数字或字母开头；（注：不支持中文）必选项认证方式：HAC支持六种认证方式，包括口令认证、令牌认证、证书认证、LDAP认证、AD域认证、Radius认证，默认为口令认证；当认证方式为口令认证时，页面如上图所示，有口令策略、密码强度、密码、确认密码、密码有效期等项需要设置。口

6、令策略：包括手工配置口令和自动生成（邮件通知）口令；手工配置密码可以直接在下面的密码、确认密码框中输入用户密码；密码强度：系统会根据密码强度规则自动检测用户输入密码的安全强度，密码的强度由系统管理员进行全局设置；密码/确认密码：不限字符，但不能设置空格SPACE键；必选项密码有效期：限制用户密码在有效期范围内有效；自动生成密码，要求“邮箱地址”为必填项，系统生成的密码发到该邮箱地址中。页面显示如下：注：口令策略中的“自动生成（邮件通知）”，只有在“系统管理/全局配置”中的“邮件服务器”配置了之后才会出现。当认证方式为令牌认证时，页面如下图所示：令牌认证：使用动态口令认证方式（具体参见运维安全审

7、计系统（HAC）动态令牌使用手册当认证方式为证书认证时，页面如下图所示，证书名为必填项，可以对证书的有效期进行设置。证书认证：使用证书认证方式（具体参见运维安全审计系统（HAC）科友key使用手册）；LDAP认证：使用LDAP认证方式进行认证；AD域认证：使用AD认证方式进行认证；Radius认证：使用Radius认证方式进行认证；姓名：输入对应登录名的真实姓名，不限字符；必选项手机号码：即运维人员的手机号码；可选项邮箱地址：即运维人员的邮箱地址；可选项帐号密码更改、密码有效期到期、帐号激活变更通知、认证方式改变时系统会通过手机和邮箱的方式通知运维人员。备注：主要是作为描述该用户的附加注释信息

8、；可选项用户组：定义是否将该用户放置在一个定义好的用户组中；可选项可以点击“新建用户组”打开用户组添加页面，添加用户组。状态：此状态表示此用户是否可用。AS400协议的运维用户： 鉴于AS400运维的特殊性，在HAC中要使用AS400协议，运维用户名必须指定为运维用户的客户端IP地址，其他信息如，认证方式可以随便填写。 例如：用户要在上做AS400运维，运维用户名必须为“.2.104”： 授权和其他协议授权类似，具体运维过程见运维用户使用手册。5 用户组管理“用户组管理”与“用户管理”类似，其主要功能是实现组授权、批量授权。可添加、编辑、删除用户组。可以按照用户组名和备注排序。选择“运维管理用

9、户组管理”，点击“添加”后右方出现如下配置界面： 用户组名：填写用户组名称，可任意填写；必填项 备注：主要是作为描述该用户组的附加注释信息；可选项 检索：可以检索用户，支持模糊查询； 用户列表：可选择属于该用户组的用户；添加user组，选择其中的user_a和user_b用户，点击“添加”，如下图所示： 添加完成，在用户组列表页面会有显示：6 资源管理 在资源管理模块中，实现对被审计的核心设备及提供的服务协议的管理，包括添加、编辑和删除，提供授权用户的入口，提供资源的批量导入和导出功能，同时也提供用户自定义操作系统的功能。6.1 资源管理进入“运维管理/资源管理”页面： 可通过快速查找（设备名

10、、操作系统、资源组、协议、IP地址）对资源进行过滤 可针对设备名、操作系统、IP地址对资源进行排序 可添加、编辑、删除资源 可通过设备导入、导出批量添加资源 设备导入：即以Excel的形式导入设备配置列表。导出列表包括：设备名、操作系统、IP地址、资源列表等信息； 设备导出：即以Excel的形式导出设备配置列表。导入列表包括：设备名、操作系统、IP地址、资源列表等信息。具体设置步骤如下：1) 添加资源：点击上图的“添加”按钮，出现如下界面：设备名：定义设备名称，由格式设备名由中文、数字、字母、下划线、中杠线、点组成，长度为3-64位；必选项IP地址：输入服务器IP地址；必选项检测： 用于检查该

11、设备与HAC是否可达。操作系统：从下拉框中选择该设备对应的操作系统；必选项 （注：如果下拉菜单中的操作系统列表不能满足您实际应用的需求，请进行“配置”，参见本文第章节）资源：选择远程访问设备时使用的协议；必填项 （注：如果列表中默认的协议不能满足实际应用的需求，请进行“配置”，参见本文第章节）备注：附加注释区域，不限字符；可选项2) 添加资源，如定义一台Redhad_AS4：10.10.1.29，协议为：telnet，如下图： 可在协议对应的操作中编辑该协议的端口： 其中telnet协议是否支持中文，如下； AS400协议，添加如下： 此协议比较特殊，需要虚拟网卡，虚拟网卡的配置由系统管理员进

12、行配置，具体请参见运维安全审计系统（HAC）_系统管理员使用手册 第节。 点击“保存”完成添加。3) 编辑资源：“运维管理/资源管理”页面，点击设备名进入编辑页面，可编辑除了“设备名”之外的所有信息：4) 删除资源： “运维管理/资源管理”页面，勾选要删除的设备前面的复选框，点击“删除”完成删除。5) 授权：完成添加，可点击操作中的“授权”，则跳转到授权页面，可进行用户和用户组授权。6.2 操作系统配置可对操作系统类型及协议做配置，进入“运维管理/资源管理”，如上图，添加一个设备，再添加页面点击操作系统后面的“配置”，进入到操作系统配置页面：注：操作系统“RaritanKVM”，不可修改，提供

13、给支持力登KVM用户使用。 通过编辑进行操作系统配置，可添加你所需要的页面上不存在的操作系统，可删除您不需要的操作系统，下面以Redhad_AS4操作系统为例，编辑Redhad_AS4： 操作系统名称：编辑操作系统时不可修改，添操作系统时可通过下拉列表选择您所需要的操作系统； 操作系统版本：操作系统对应的版本，编辑操作系统时不可修改，添操作系统时可手动输入； 权限提升：具有权限提升的操作系统，可勾选此项，例如：Cisco，H3C等设备。这里以Cisco网络设备为例，编辑Cisco： 权限提升命令：填写权限提升的命令，如：Cisco为en，H3C为su 注意：提升权限的完整命令为：enable和

14、super。但是在实际应用中，通常使用简写。 如果在这里填写en、su，那么在实际应用过程中，en/ena/enable、su/super等命令都可匹配为权限提升。权限提升口令符：填写当输入“权限提升命令”后，操作系统出现的固定提示符，如：Password： 注意：应根据实际的情况，确认权限提升口令符中的“：”后，是否需要添加一个空格。 说明：对操作系统的描述说明； 协议：选择操作系统开放的协议；服务协议：TELNET、FTP、SFTP、SSH、RDP、AS400、XWIN、VNC、HTTP、HTTPS、VDH应用协议；必选项 点击“保存”完成编辑。6.3 AD域资源配置HAC对于AD域资源的

15、处理有特殊之处，配置上与其他资源有部分不同。该部分介绍AD域控制器、域成员以及域帐户在HAC上的配置，以下是具体配置过程：1. 添加AD域操作系统 因AD域比较特殊，默认配置中无此系统，需要手工配置此操作系统。进入“运维管理/资源管理/操作系统配置”：点击“添加”： 勾选rdp协议后，保存。2. 添加域控制器进入“运维管理/资源管理/设备列表”，添加域控制器： 设备名：要求是域控制器的正确名称；必填项 操作系统：选择AD域；3. 添加域成员 设备名：可自定义，符合设备名要求即可； 操作系统：选择windows。4. 添加域帐户 进入“设备口令管理/设备帐户管理/帐户列表”，给域控制器添加帐户u

16、ser： 添加完成，返回到“设备口令管理/设备帐户管理/帐户列表”可查看到域帐户的格式显示为：帐户名+域名： 授权，过程同普通授权相同； 进入“运维管理/授权管理/授权列表”页面，点击域成员设备的“帐户分配”，域成员服务器，在帐户分配中显示域控制器的帐户名： 勾选上后保存，即完成AD域资源配置。 7 资源组管理“资源组管理”即灵活定义服务器提供的运维服务协议的组合，方便批量授权。选择“运维管理/资源组管理”，页面如下： 可针对资源组名对列表进行排序 可通过点击各个协议名对资源组进行编辑，1） 资源组添加，点击上图中“添加”： 资源组名：必填项 备注：对资源组的描述说明。 检索：可通过IP段检索

17、您所需要的资源，也可以通过资源名模糊匹配来检索您所需的资源。 资源列表：可选择的资源。点击“添加”完成资源组添加：2） 资源组编辑，点击资源列表中的任意协议或ALL，出现如下设置界面：3） 资源组删除，在“运维管理/资源组管理”，勾选所要删除的资源前面的复选框，点击“删除”完成资源组的删除。8 授权管理授权管理定义了用户、用户组可以访问的资源、资源组，并且指定了对应的授权规则。选择“运维管理/授权管理”，页面如下： 可针对用户名、资源名、授权名对列表进行排序 可创建“用户/组资源/组授权规则”的授权 可通过点击按钮“用户/组”“资源/组”，查看当前存在的授权 可通过对资源进行过滤（不对资源组过

18、滤） 可对授权的资源进行帐户分配 可对授权的资源进行告警配置8.1 授权授权的具体配置步骤如下：1) 创建授权 点击按钮“用户/组”，在用户或组中切换，从列表中选择用户或用户组 点击按钮“资源/组”，在资源或组中切换，从列表中选择资源或资源组 在授权规则列表中，选择适用于该用户的规则 点击按钮“新建”，创建授权例如：新建一个“test10.10.1.23_sshANY”的授权2) 若创建“单对单”或“组对单”的授权，可通过 对资源进行过滤 点击 ，可弹出资源过滤窗口 过滤某一设备资源i、 在IP地址栏中，填写设备IP那么在资源列表中，显示该IP设备上所有的资源ii、 在协议栏中，选择任意协议，

19、那么在资源列表中，显示所有该协议的资源。iii、 同理，在资源组栏中，选择任意资源组，那么在资源列表中，显示该资源组中所有的资源以上三种过滤条件可任意组合进行过滤3) 查看当前存在的授权 初始页面显示“用户资源”的授权，即单对单的授权 点击按钮“用户/组”“资源/组”，可查看其它授权例如：若要查看“用户资源组”（即单对组的授权），只需单击一下按钮“资源/组”即可8.2 设备帐户分配“帐户分配”定义了运维用户可以访问指定资源时绑定的系统帐户，具体步骤为，“运维管理/授权管理”。选择相应指定资源操作中的“帐户分配”，以10.10.1.23_ssh为例，如下：进入帐户分配页面： 资源名：主机帐户要分

20、配给的指定的资源； 用户名：主机帐户要分配给的指定的用户； 添加帐户：可选帐户。说明： root、test两个帐户处于激活状态，处于未激活状态的用户在此不显示。勾选帐户前面的复选框，点击“保存”完成帐户分配。这样，运维用户就可以使用分配的帐户进行运维了。8.3 告警进入“运维管理/授权管理/授权列表”页面，可对用户(组)和资源（组）进行授权，页面如图所示： 点击“告警”按钮，则进入“告警绑定”页面：2) 点击“添加”按钮，添加告警规则，页面如图所示：TELNET和SSH协议告警配置页面FTP和SFTP协议告警配置页面 规则名：必填项； 协议：定义了此规则所适用的协议；规则类型：分为黑名单和白名

21、单；黑名单命令：禁止执行此命令； 白名单命令：此命令以外的其他命令都禁止执行； （注： 黑名单和白名单同时存在时，黑名单命令有效，白名单命令失效） 匹配命令：定义了此规则所适用的操作命令，按pcre正则进行匹配。 参数： 命令所附带的参数；（ssh和telnet无此项内容） 告警级别：可定义告警相应级别，包括普通、告警、严重三种； 是否阻止：定义是否阻止命令的执行； 邮件列表：当发生此响应动作时，向邮件列表中的地址发送告警邮件； 激活状态：当激活时告警生效。 点击“保存”完成添加，添加完成后的告警列表页面如图所示： 点击“绑定”按钮，选择“有效帐户级别”，界面如图： 点击“确定”，则实现帐户绑

22、定，界面显示如图： ssh、telnet、ftp、sftp绑定告警时，都存在“有效帐户级别”，“有效帐户级别”与设备帐户管理中的“帐户级别”有关，具体关联请参见运维安全审计系统（HAC）_口令管理员手册.doc第节：设备帐户管理。黑、白名单符合正则表达式，可参考以下例子： 单个命令，黑白名单都匹配：例如：rm 匹配所有含有rm的命令 多个命令，黑白名单匹配方式不一样：例如：黑名单：cat|vi|pwd 匹配含有cat或vi或pwd的命令。白名单：pwd,date,cd 匹配含有pwd或date或cd命令同个授权绑定黑、白名单，匹配方式如下：1. 只有白名单的情况例如：cat 阻断；结果：cat

23、命令可执行，其他命令均被阻断；2. 只有黑名单的情况例如：rm阻断；结果：rm命令被阻断，其他命令可执行；3. 黑白名单共存的情况：例如：白名单cat，黑名单rm，黑名单rm阻断，白名单及其他命令放行。9 规则管理规则定义了一个对象，说明访问时间范围、会话长度、可以访问的客户IP地址，系统默认配置了一个所有权限定义。添加规则的具体配置步骤如下：1) 选择“运维管理规则管理”，显示如下： 可针对规则名、访问日期区间、会话时长、客户IP对列表进行排序 可添加授权规则2) 点击 “添加”按钮，出现如下配置页面： 规则名：可任意填写；必填项访问日期区间：用于设置访问该资源的具体时间，包含以下几个方面：

24、 年/月/日：限制可访问该资源组的年、月、日，不填为不限制；可选项周：限制可访问该资源的一周中的某天，如周一周日（以17表示），不填为不限制；可选项时间：限制可访问该资源的一天中的时间段，格式为：hh:mm-hh:mm，如：13:00-23:59，不填为不限制； 可选项 会话时间：限制可访问该资源持续会话时间，以分为单位，只能为数字范围为：1-9999，不填为不限制；可选项 客户IP：限制可访问该资源的IP地址，不填为不限制。可选项3) 点击“添加”即可完成授权规则设置。 可对规则进行编辑、删除操作，如上图，在对应规则的操作中选择“编辑”即可对规则进行编辑。勾选规则名前面的复选框，点击“删除”

25、完成规则的删除。10 应用发布在此设置VDH的相关信息，可以添加、删除VDH，配置应用协议。进入“运维管理/应用发布”，界面如下 VDH名称：填写VDH的名称，可随意填写；必填项 IP地址：填写VDH的IP地址；必填项 应用配置：配置应用协议。10.1 VDH添加、删除1） 添加VDH，输入VDH名称和IP，点击后面的“添加”按钮完成添加： VDH添加成功：2） 删除VDH，点击右侧操作下面的“删除”完成删除VDH。10.2 VDH监控可通过“VDH监控”，来监控VDH服务器的性能状态。点击操作下面的“监控”，如下图; 任务管理器：可查看相关的应用程序、进程等。同：Windows任务管理器；

26、计算机管理：可对VDH主机进行管理； 事件查看器：可审核系统事件和存放系统、安全及应用程序日志； 性能：可查看VDH主机性能； 网络配置：可查看及修改网络配置： 信任站点：可添加信任站点： 关于：可以查看VDH的版本：10.3 VDH应用安装VDH的应用，必须在后台进行安装，具体步骤和注意事项请参见运维安全审计系统（HAC）_应用发布配置手册10.4 VDH应用配置对VDH应用协议进行配置，可添加、编辑、删除应用协议。进入“运维管理/应用发布”，点击右侧“应用配置”，页面如下：添加应用协议，点击“添加”进入添加页面： 协议名称：填写协议名称，由字母、数字、下划线、中杠线、点组成，此名称用于资源

27、管理中显示的协议名必填项； 权限设置：可设置为普通用户、超级用户（不推荐使用）； 代理转发：勾选此代理则采用数据库代理方式审计，支持Oracle、Informix、DB2三种数据库类型，勾选此项审计平台可审计数据库详细信息。说明：若“运维管理/运维配置”中若“Imperva数据库审计”为“开启”状态，应用协议不能勾选“代理转发”。 程序名称：填写应用程序名称，此名称是在用户进行运维时桌面显示的图标名称；必填项 程序路径：应用程序在VDH主机上的安装路径，目前所有的应用程序必须安装在C:Program Files 或C:Windows 目录下。下面以PLSQL为例，PLSQL应用程序的路径，从开

28、始菜单/程序/PLSQL Developer/PLSQL Developer/右键属性：快捷方式中的“目标”，便是PLSQL应用程序的路径。添加PLSQL协议： 自启动：设置定义的程序是否运维用户在登录vdh时，能自动启动；（“我的电脑”不允许设置为自动启动） 启动参数：即该应用启动时，运行的参数。点击“保存”完成添加。添加完成，可在资源管理中添加该应用的资源，进入“运维管理/资源管理/操作系统配置”。可添加PLSQL协议。11 运维配置“运维配置”提供运维的相关设置，包括帐户锁定、提示修改密码的提前天数、强制修改密码的提前天数、强制修改密码的延后天数、托管登录、变更工单、RDP设置、teln

29、et设置、imperva数据库审计等。进入“运维管理/运维配置”，页面如下： 帐户锁定：为了防止用户帐户密码被暴力破解，所设置的登录次数限制。默认值为5次，如果超过设置值，该帐户将被锁定，变成未激活状态。死锁次数设置为零，表示不启用此功能（死锁次数对认证方式为令牌认证的运维账户不起作用）；提示修改密码的提前天数：运维用户密码到期前的X天进行提示修改密码；强制修改密码的提前天数：运维用户密码到期前的M天要求强制修改密码；强制修改密码的延后天数：运维用户密码到期后的N天要求强制修改密码；托管登陆：可控制运维用户是否可以自行输入后台核心服务器的的设备帐户和密码，登录后台服务器； 变更工单：HAC可与

30、变更工单管理制度相结合，运维工单状态，设置开启或关闭使用运维工单；RDP设置：RDP运维过程中磁盘映射、剪贴板和Console控制设置：磁盘映射：勾选此项后，运维用户在RDP运维过程中有磁盘映射的权限；RDP剪贴板：勾选此项后，运维用户在RDP运维过程中可使用本地的剪贴板；RDP登录Console：勾选此项后，运维用户在RDP运维时可使用Console方式登录RDP服务器；Telnet设置：设置telnet运维时，客户端到HAC段是否为加密协议，即SSH。默认关闭。Imperva数据库审计：设置是否应用Imperva数据库审计功能。（注：Imperva数据库审计支持Oracle、DB2、informix、mysql、Ms-sql）12 技术支持HAC技术支持联系方式如下：广州总部：地址：广州市萝岗区科学城科学大道162号创意大厦B3区主楼2层邮编：510663电话：(0086)- 传真：(0086)-北京分公司：地址：北京上地东路5-3号烽火科技大厦七层