💝💝💝欢迎来到我的博客,很高兴能够在这里和您见面!希望您在这里可以感受到一份轻松愉快的氛围,不仅可以获得有趣的内容和知识,也可以畅所欲言、分享您的想法和见解。
推荐:Linux运维老纪的首页,持续学习,不断总结,共同进步,活到老学到老
导航剑指大厂系列:全面总结 运维核心技术:系统基础、数据库、网路技术、系统安全、自动化运维、容器技术、监控工具、脚本编程、云服务等。
常用运维工具系列:常用的运维开发工具, zabbix、nagios、docker、k8s、puppet、ansible等
数据库系列:详细总结了常用数据库 mysql、Redis、MongoDB、oracle 技术点,以及工作中遇到的 mysql 问题等
懒人运维系列:总结好用的命令,解放双手不香吗?能用一个命令完成绝不用两个操作
数据结构与算法系列:总结数据结构和算法,不同类型针对性训练,提升编程思维,剑指大厂
非常期待和您一起在这个小小的网络世界里共同探索、学习和成长。💝💝💝 ✨✨ 欢迎订阅本专栏 ✨✨
技能目标:
了解运维管理存在的安全风险
掌握等级保护对安全管理的要求
理解运维堡垒机的功能和特点
掌握麒麟堡垒机的应用技术
7.1 安全事件与等保标准
安全运维管理,是企业 IT 系统管理中容易忽视的一个环节。
IT 系统运维是企业内部“自 己”的事,因此也常常对“自己人”要求不严格,忽视监管。首先容易出现的问题是监管措 施的缺失,管理员的操作行为没有有效的审计措施,也没有有效的审计角色执行审计工作; 其次管理员权限分配不合理,一个超级管理员权限无限大,可做任何操作;没有严格根据职 责角色进行权限划分,一个管理员密码多人同时掌握等,都是企业 IT 运维管理里常常出现
的问题。一旦出现问题难以溯源难以追责。除此之外,缺少集中统一的管理平台,大量的系
统对外开放管理端口,都造成了企业 IT 运维管理不安全和低效。
7.1.1运维管理安全相关的等保要求
在等保 2.0 标准二级、三级、四级“安全管理中心”要求中,对系统管理、审计管理、
安全管理、集中管控等多个方面均有明确要求,分为通用要求和扩展要求两部分。等保一级
未定义“安全管理中心”要求。
“安全管理中心”要求,具体内容如下:
1.安全通用要求
(1)系统管理
a.应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操
作,并对这些操作进行审计;
b.应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统
资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。
以上 a、b 项为等保二级(7.1.5.1)、三级(8.1.5.1)和四级(9.1.5.1)的统一要求。
(2)审计管理
a.应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操
作,并对这些操作进行审计;
b.应通过审计管理员对审计记录应进行分析,并根据分析结果进行处理,包括根据安全
审计策略对审计记录进行存储、管理和查询等。
以上 a、b 项是等保二级(7.1.5.2)、三级(8.1.5.2)和四级(9.1.5.2)的统一要求。
(3)安全管理
a.应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操
作,并对这些操作进行审计;
b.应通过安全管理员对系统中的安全策略进行配置,包括安全参数的设置,主体、客体
进行统一安全标记,对主体进行授权,配置可信验证策略等。
以上 a、b 项是等保三级(8.1.5.3)和四级(9.1.5.3)的统一要求。
(4)集中管控
a.应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控;
b.应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理;
c.应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测;
d.应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存
时间符合法律法规要求;
e.应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理;
f.应能对网络中发生的各类安全事件进行识别、报警和分析;
g.应保证系统范围内的时间由唯一确定的时钟产生,以保证各种数据的管理和分析的时
间上的一致性。
以上 a、b、c、d、e、f 项为等保三级(8.1.5.4)和四级(9.1.5.4)的统一要求,g 项
为等保四级(9.1.5.4)的单独要求。
企业 IT 系统运维管理,需要严格按角色分工授权。
系统管理员负责对系统的资源和运行进行管理配置。比如:创建账户,分配存储空
间资源等操作;
系统管理员的权限可能很大,系统管理员的行为就需要审计管理员来监督和制约。
审计管理员负责审计授权账户的操作行为,比如:什么时间什么人访问过某资源,
做了什么操作,这些都需要审计的功能,实现跟踪查找和取证。
安全管理员的职责是负责进行安全策略的管理配置,比如:进行安全策略的配置,
系统补丁的管理,病毒的防护等。
在集中管控方面,对重要的系统划分区域管理,采用独立于业务流量之外的带外管理,
利用 Zabbix、Nagios、Cacti 等传统集中管控工具,集中管理网络设备和服务器等,既是等
保的明确要求,也是企业进行高效的 IT 管理必要手段。“唯一确定的时钟”不仅是等保的
要求,也是企业 IT 系统正常运行的必要条件。比如:应用服务器和数据库服务器时间如果
不一致,就可能导致系统异常无法工作。因此,一般企业内部都会部署时间服务器,保障企
业内部系统时钟上的一致性。除此之外,域控制器本身就有时间服务的职能,域内所有节点
都会自动和域控制器同步时间。以上等保“安全管理中心”的审计要求,除了 IT 系统自身都需要具备按角色授权管理
的能力外,从运维的角度来说,企业通常采用运维堡垒机进行带外管理,以满足安全运维管
理和行为审计的需求。
2.云计算安全扩展要求
在等保 2.0 标准云计算安全扩展要求中,一、二级标准未定义“安全管理中心”要求;
三、四级标准定义了明确的“安全管理中心”要求,仅此“集中管控”一项要求,具体内容
如下:
集中管控
a.应能对物理资源和虚拟资源按照策略做统一管理调度与分配;
b.应保证云计算平台管理流量与云服务客户业务流量分离;
c.应根据云服务商和云服务客户的职责划分,收集各自控制部分的审计数据并实现各自
的集中审计;
d.应根据云服务商和云服务客户的职责划分,实现各自控制部分,包括虚拟化网络、虚
拟机、虚拟化安全设备等的运行状况的集中监测。
以上 a、b、c、d 项是等保 2.0 三级(8.2.5.1)和四级(9.2.5.1)的统一要求。
对于私有云和公有云而言,“物理资源和虚拟资源的统一调度分配”,是高效管理的必
要条件。目前主流的云平台也都具备这类的管理工具。比如开源的云计算管理平台
OpenStack;微软的 Hyper-V 私有云管理平台 SCVMM,以及 VMware 的 VMware vCloud
Suite 等,都是这类管理工具。
“保证云计算平台管理流量与云服务客户业务流量分离”,是云平台安全管理的需要,
也是保障客户服务质量的需要。作为云平台需要在建设伊始,就做好将管理流量与业务流量
分离的规划。
根据选用的 IAAS、PAAS、SAAS 平台不同,云服务商和云服务客户会有不同的责权
划分。这个在前面章节中已经讲过。对于集中审计,云服务商自身需要具备自身集中审计的
能力,同时也需要为云客户提供独立审计的服务。主流的云服务提供商基本都提供了此类服
务,当然这也是云客户在考察云服务商能力的一个参考点。比如:阿里云就为客户提供了“操
作审计 ActionTrail”服务,客户可以根据需要开启。开启之后,就可以对自己的登录管理
行为进行有效的追踪和存档。如阿里云为客户提供了操作审计服务,界面如图 7.1 所示。
图 7.1 阿里云为客户提供的操作审计服务
对于私有云,可以采用 Zabbix、Prometheus、EFK 等监控工具。对于公有云来说,云
服务商通常也会为客户提供统一监控平台,客户可根据需要使用和配置其提供的监控功能。
7.2 安全运维基础知识介绍
安全运维既需要熟练的操作技术,也需要专业的管理知识和严谨的工作态度、安全意识,
下面从技术和管理的角度介绍安全运维的基础知识。
7.2.1 带外管理和带内管理
网络管理可分为带外管理(out-of-band)和带内管理(in-band)两种管理模式。
带外管理即管理信息和业务数据分开传输,即使业务数据网络出现异常,仍然通过
这个带外管理网络进行远程管理,处理故障。
带内管理指的是管理信息和业务数据采用相同网络传输,一旦网络出现故障,数据
无法访问,远程管理也无法实现。
目前,主流的服务器、网络设备基本都支持带外管理功能,有独立的带外管理端口。如:
DELL、HP 等服务器的远程管理口独立于系统之外,即使操作系统无法启动,仍然能够实
现远程管理以及进入 BIOS 等操作。
7.2.2 权限分配的一般原则
权限分配可以遵循的原则有:最小权限分配、职责分离、岗位轮换。1.最小权限分配
最小权限分配原则指仅授予某账户完成其工作任务的最小权限,不能有超过其工作任务
之外的特权。如果某账户临时需要使用某个特殊权限,经批准执行后,也要按时收回权限。
对于安全运维管理,管理员账户权限超越普通员工,因此更加需要按最小特权原则,为管理
员分配权限;否则,权限管理就失去了意义。 比如:审计员仅能执行审计日志,不应具有
账户管理权限;系统管理员可以维护账户,但是不应具有审计权限。
2.职责分离
职责分离指的是一个工作任务,由两个人共同执行才能完成。通常用于一些重要的岗位
职责。比如:企业财务的公章管理,管理公章和执行用印的人都是两个人,任何一个人无法
独自使用公章。再比如:对于一些特殊重要的账户角色,由两个人各掌握一半密码,操作时
必须两个人同时在场各输入一半密码,验证正确后才能登录系统执行操作。这样任何一个人
都无法独立登录系统操作,以避免一个人掌握过大的权限。
3.岗位轮换
岗位轮换简单说就是轮换职责,某些工作职责,定期轮换不同的员工来执行。岗位轮换
的意义一方面是作为审查检测机制,有威慑作用;同时也避免了一些重要岗位过于依赖单个
个体。
以上权限分配原则,适用于企业安全管理的多个方面,不是仅局限于 IT 管理。
7.2.3 运维堡垒机介绍
运维堡垒机是一种具备强大防御功能和安全审计功能的服务器或一体机。基于跳板机理
念,作为内外网络的集中安全运维及审计的平台。同时运维堡垒主机还具备,对运维人员的
远程登录进行集中管理的功能作用。
运维堡垒机是网络中容易受到侵害的主机,所以它也必须是自身保护完善的主机。通常,
至少配备两块网卡设备。一个连接外网,用以对目标服务器的远程登录及维护;另一个则连
接内网,便于内部网络的管理、控制和保护。
随着规模的不断扩大,传统的 IT 运维面临着如下问题:
1.多个用户使用同一个账号
在实际的工作场景中,经常会出现多个用户共享同一账号的情况。如果发生安全事故,
不仅难以定位账号的实际使用者和责任人,而且无法对账号的使用范围进行有效控制,存在
较大安全风险和隐患。
2.一个用户使用多个账号
一个维护人员使用多个账号是较为普遍的情况,用户需要记忆多个口令登录不同的系统,
降低工作效率,增加工作复杂度。
3. 缺少统一的权限管理平台
权限管理日趋繁重和无序,而且维护人员的权限大多是粗放管理,无法基于最小权限分
配原则进行用户权限管理,难以实现更细粒度的命令级权限控制,系统安全性无法充分保证。
4. 无法制定统一的访问审计策略,审计粒度粗
各网络设备、主机系统、数据库是分别单独审计记录访问行为,由于没有统一审计策略,
并且各系统自身审计日志内容深浅不一,难以及时通过系统自身审计发现违规操作行为和追
查取证。
5. 不易进行内容审计
传统的网络安全审计系统无法对维护人员经常使用的 SSH、RDP 等加密、图形操作协
议进行内容审计。
正是为了解决以上问题,运维堡垒机应运而生。图 7.2 是运维堡垒机的常见使用场景。
图 7.2 运维堡垒机的使用场景
对于私有云或传统的运维环境,可以选择部署堡垒机管理平台,比如:下面要讲的麒麟
运维堡垒机。对于公有云而言,大多数据公有云平台也都提供了堡垒机产品,客户可以自行
选购,使用更加方便快捷,功能也很强大。比如:阿里云堡垒机系统。
1.运维堡垒机的基本功能
下面是运维堡垒机的主要功能:
(1)账号管理
设备支持统一账户管理策略,能够实现对所有服务器、网络设备、安全设备等账号进行
集中管理,完成对账号整个生命周期的监控,并且可以对设备进行特殊角色设置。如:审计
巡检员、运维操作员、设备管理员等自定义设置,以满足审计需求。
(2)身份认证
设备提供统一的认证接口,对用户进行认证,支持身份认证模式包括动态口令、静态密
码、硬件 key 、生物特征等多种认证方式,设备具有灵活的定制接口,可以与其他第三方
认证服务器之间结合;安全的认证模式,有效提高了认证的安全性和可靠性。
(3)资源授权
设备提供基于用户、目标设备、时间、协议类型 IP、行为等要素实现细粒度的操作授
权,最大限度保护用户资源的安全。
(4)访问控制
设备支持对不同用户进行不同策略的制定,细粒度的访问控制能够最大限度的保护用户
资源的安全,严防非法、越权访问事件的发生。
(5)操作审计
设备能够对字符串、图形、文件传输、数据库等全程操作行为审计;通过设备录像方式
实时监控运维人员对操作系统、安全设备、网络设备、数据库等进行的各种操作,对违规行
为进行事中控制。对终端指令信息能够进行精确搜索,进行录像精确定位。
2.运维堡垒机的部署方式
目前,通常运维堡垒机为旁路接入模式,物理上旁路、逻辑上串行。用户想要运维时,
必须通过运维堡垒机进行跳转登录。这种运维堡垒机为通用模式,因为不修改网络拓扑并且
可以实现 SSO(单点登录)、应用发布等多种功能,已经成为国内运维堡垒机的主流模式。
运维堡垒机对于运维操作人员相当于一台代理服务器(Proxy Server),其工作流程如
图 7.3 所示。
图 7.3 运维堡垒机工作流程示意图
(1)运维人员通过自己的运维终端首先连接到运维堡垒机,然后向运维堡垒机提交操
作请求。
(2)该请求通过运维堡垒机的权限检查后,运维堡垒机的应用代理模块将代替用户连
接到目标设备完成该操作,之后目标设备将操作结果返回给运维堡垒机,最后运维堡垒机再
将操作结果返回给运维人员。
通过这种方式,运维堡垒机逻辑上将运维人员与目标设备隔离开来,建立了从“运维人
员->运维堡垒机用户账号->授权->目标设备账号->目标设备”的管理模式,解决操作权限控
制和行为审计问题的同时,也解决了加密协议和图形协议等无法通过协议还原进行审计的问
题。
7.3 运维堡垒机实验环境介绍
7.3.1 本章实验环境
本章实验环境如表 7-1 所示。
表 7-1 本章实验环境相关主机系统配置说明
| 主机 | 操作系统 | 主机名/IP 地址 | 主要软件及版本 | |||||
| 运维堡垒机 | CentOS7-x64 |
Admin/网卡 1: 192.168.10.10
网卡 2:192.168.100.10
| 麒麟中标 | |||||
| CentOS 服务器 | CentOS7-x64 | CentOS7/192.168.100.11 | SSH | |||||
| Windows 服务器 | Windows Server 2016 | Windows2016/192.168.100.12 | RDP 远程桌面 | |||||
| Windows 工作站 | Windows10-x64 | Windows10/192.168.10.5 |
VMware
workstation
14pro
|
在本实验环境中,运维堡垒机采用双网卡配置,一块网卡连接服务器网段,一块网卡连
接 Windows10 工作站。图 7.4 是实验环境拓扑图。
7.3.2 环境需求
本实验堆环境的要求如下:
(1)VMware Workstation 14pro 软件及环境;
(2)配置虚拟机 CPU、内存、网卡等硬件环境;
(3)安装运维堡垒机、Windows Server 2016、CentOS 7 虚拟机操作系统;
(4)Secure CRT、微软远程桌面(Mstsc)等工具应用;
( 5 ) 配 置 运 维 堡 垒 机 系 统 用 户 。 本 实 验 使 用 的 运 维 堡 垒 机 软 件 包 , 可 在
https://www.tosec.com.cn/download.html 下载。在浏览器中输入此地址,打开下载页面,
如图 7.5 所示。
图 7.5 运维堡垒机下载地址
注:
(1)该网站提供两个安装版本,一个是运维堡垒机 tar 包安装版,一个是运维堡垒机一
键安装版 ISO 镜像。可下载 ISO 安装盘,执行一键安装。
(2)本环境中 VMware 使用 14pro 版本。
7.3.3 准备安装环境
运维堡垒机系统安装之前,首先需要了解运维堡垒机的运行环境资源需求,根据厂商提
供的需求指引分配虚拟机的硬件资源;同时需要掌握各个角色间访问依赖的端口号,同步开
放端口。
1. 运维堡垒机环境需求
内存:>=2G;
CPU:>=1 核;
硬盘:>=10G(硬盘必须为 STAT 模式,要支持虚拟机 vda 模式)。
2. 端口需求及注意事项
Windows10 工作站需要可以访问到运维堡垒机的 TCP 22、443、1080、3389、
3390 端口;
运维堡垒机需要能连接到被管理服务器的 ssh(22)、rdp(3389)等端口;
Windows10 工作站不需要能访问到被管理的服务器。
7.4 运维堡垒机部署
本节内容从创建虚拟机、运维堡垒机安装、运维堡垒机管理使用等几个方面进行讲解,
首先讲解虚拟机的创建。
7.4.1 创建虚拟机
安装好“VMware® Workstation 14 Pro”主程序后,开始为运维堡垒机创建虚拟机。
下面是创建虚拟机的步骤。
1.初始配置
双击桌面上“VMware Workstation Pro”图标,打开 VMware 主界面,如图 7.6 所示。
右侧窗格点击“主页”选项卡,再点击“创建新的虚拟机”按钮。
图 7.6 创建新的虚拟机
完成上面的操作之后,弹出图 7.7 界面,选择“自定义(高级)”,点击“下一步”按
钮。
图 7.7 自定义创建虚拟机
执行完前面操作,出现虚拟机兼容性界面,如图 7.8 所示。在虚拟机兼容性界面,保持
默认,继续点击“下一步”按钮。
图 7.8 选择虚拟机硬件兼容性
弹出如图 7.9 界面,点击“浏览”按钮,选择运维堡垒机 ISO 文件,再点击“下一步”
按钮。
图 7.9 选择安装介质
弹出如图 7.10 所示界面中,设置虚拟机名称及虚拟机存放位置,点击“下一步”按钮。
图 7.10 设置虚拟机名称及位置
2.为运维堡垒机分配资源
完成上面的操作,弹出如图 7.11 界面,在此界面下,选择合适的 CPU 数量,本环境中
设置为 2 核 CPU。根据自己的硬件资源情况设定,最少为 1 核。然后,点击“下一步”按
钮。
图 7.11 设置 CPU 内核数量
完成上面设置后,进入如图 7.12 所示界面,为虚拟机分配内存,建议设置为 2GB。如
果资源紧张,也可以设置为 1GB。点击“下一步”按钮。
图 7.12 设置内存大小
进入图 7.13 界面后,选择网络类型。本环境中暂按默认配置,在后面的网卡设置中再
作调整。点击“下一步”按钮。
图 7.13 选择网络类型
连续点击“下一步”按钮后,进入图 7.14 界面。点选“创建新虚拟磁盘”单选项,再
点击“下一步”按钮。
图 7.14 创建新的虚拟磁盘
完成以上操作后,进入图 7.15 界面后,在这里设置磁盘大小。
图 7.15 指定磁盘容量
“最大磁盘大小”最小值为 20GB,本环境中设置为 100GB。注意:不要勾选“立即分
配所有磁盘空间”单选项。如果勾选此项,会立即占用宿主机 100GB 的空间。
“将虚拟磁盘存储为单个文件”,本环境中选择此项。如果选择“将虚拟磁盘拆分成多
个文件”,有利于虚拟机迁移,但会降低磁盘性能。
连续点击“下一步”按钮,进入如图 7.16 界面,点击“自定义硬件”超链接。
图 7.16 自定义硬件
点击“自定义硬件”后,弹出图 7.17 所示界面。
配置网卡 1:先把已有的网卡,配置为与宿主机相连,勾选“自定义:特定虚拟网络”
单项框。
本实验环境中宿主机 Windows10 工作站,作为访问运维堡垒机的客户端。所以运维堡
垒机的这块网卡与宿主机本地虚拟网卡 VMnet1 相连。VMnet1 是安装 VMware 软件时在宿
主机产生的虚拟网卡。
图 7.17 配置网卡 1
接上面操作,如图 7.18 所示。点击“添加(A)”按钮,选择“网络适配器”,再点击“完
成”按钮, 为运维堡垒机添加第二块网卡。
图 7.18 配置网卡 2
点击“完成”按钮后,返回到如图 7.19 界面。这里,配置运维堡垒机网卡 2 的网络连
接,将“网络适配器 2”的网络连接方式配置为“仅主机模式”。点击“关闭”按钮,再点
击“完成”按钮,完成虚拟机创建的操作。
图 7.19 配置网卡 2 连接方式
另外,两台虚拟机 Windows 和 CentOS7,都是单网卡配置。创建虚拟机过程中,网卡
配置选择“仅主机模式”选项。这样,运维堡垒机的网卡 2 和 Windows、CentOS7 虚拟机
即在同一网段中;而运维堡垒机的网卡 1 和宿主机的 VMnet1 网卡在同一网段中。宿主机和
Windows、CentOS7 虚拟机之间无互联,不能直接通信。这样模拟的网络环境与生产环境
类似,维护人员的终端只与运维堡垒机相联,与服务器之间不能直接通信。实现了统一集中
管理与审计,也保障了运维安全性。
7.4.2 运维堡垒机安装工作
按前面的步骤,创建虚拟机后,可进入运维堡垒机操作系统安装环节。
1.运维堡垒机系统安装
前面在创建虚拟机过程中,已添加运维堡垒机 ISO 虚拟光盘。启动虚拟机之后,自动
进入 ISO 光盘引导界面,选择第一项回车。余下操作为无人执守安装,自动安装直至完成,
如图 7.20 所示。
注:磁盘小于 2TB 选择第一项安装,磁盘大于 2TB 选择第二项安装,KVM 类型虚拟
机选择第三项安装,其他选项不常用。
图 7.20 运维堡垒机系统初始安装
安装完成后,登录运维堡垒机操作系统,管理员账户为:root 初始密码为:blj2015BLJ
登录后,即可修改初始密码。
修改密码命令:
passwd root
建议:安装完操作系统后,先关闭防火墙,再执行运维堡垒机访问及配置等操作。关闭
防火墙命令:
service iptables stop
其他两台虚拟机:Windows2016 和 CentOS7 按常规方法安装操作系统即可,在此不
再赘述。
虚拟机全部安装完成后,按照表 7-2 中的数据为虚拟机分配 IP。
表 7-2 虚拟机 IP 分配表
| 虚拟机 | IP 地址 |
| 运维堡垒机 |
网卡 1- 192.168.10.10
网卡 2- 192.168.100.10
|
| CentOS7 虚拟机 | 192.168.100.11 |
| Windows2016 虚拟机 | 192.168.100.12 |
| Windows10 工作站 | 192.168.10.5 |
注:
(1)在宿主机 Windows10 工作站中,在网络连接界面,将与运维堡垒机相连的虚拟网
卡 VMnet1,IP 配置为 192.168.10.5,如图 7.21 所示。(本环境中为 VMnet1 网卡)
图 7.21 宿主机网卡配置
(2)其他虚拟机为单网卡配置,直接为网卡分配 IP 地址。
(3)为测试方便,建议:先关闭所有虚拟机的防火墙,待测试完成后再配置防火墙策
略。
完成基础环境配置后,进行连通性测试,操作如下:
从 Windows10 工作站 ping 运维堡垒机网卡 IP 192.168.10.10,能通;从运维堡垒机
ping CentOS7 虚拟机 IP192.168.100.11 以及 Windows2016 虚拟机 IP192.168.100.12,能
通;而从 Windows10 工作站 ping 192.168.100.11 和 192.168.100.12 是不通的,必须通过
运维堡垒机,才能实现远程管理。
2.运维堡垒机登录
系统安装完成后,打开浏览器(建议用谷歌浏览器)输入运维堡垒机地址
https://192.168.10.10 进行登录,默认管理员用户名和密码为 admin/12345678。
系统设置主要包括三个步骤:
(1)为每个运维人员创建一个 Web 用户;
(2)把需要管理的设备及设备用户(设备管理员账户,如:root 或 administrtor)录入
或导入运维堡垒机,绑定权限;
(3)为 Web 用户进行设备授权。
系统登录界面,如图 7.22 所示。
图 7.22 运维堡垒机登录界面
7.4.3 管理 Web 用户
Web 用户指运维堡垒机用户,运维堡垒机上线后,用户的所有操作必须通过登录运维
堡垒机才能跳转到被管理的服务器,因此,必须先为每个人建立一个 Web 帐号,用于登录
运维堡垒机。
1.添加 Web 用户及用户组
在创建用户前,建议先添加用户组,用户组可以让管理和权限划分更明细化。用户组管
理在菜单“资源管理”->“Web 用户”->“用户组管理”界面,用户组可以分为多层。点
击“添加新节点”按钮,可以创建新的用户组。一般,用户组按企业部门进行划分,如图
7.23 所示。
图 7.23 添加 Web 用户组
完成上面操作,进入图 7.24 界面,输入组名称,其他默认即可,点击“确认”
按钮。
图 7.24 Web 用户组配置
在“资产管理”->“Web 用户”->“用户管理”界面,点击“添加用户”按钮,如图
7.25 所示。
图 7.25 添加 Web 用户
只需要添写用户名、真实姓名、密码、确认密码、运维组五项,其中密码至少 8 位,
运维组随便从下拉中选择一个默认的就可以,然后点击最下方“确认”按钮即可创建新用户。
2.批量创建运维堡垒机 Web 用户
在用户较多的情况下,可以使用导入方式批量创建用户。
首先手工建立一个 Web 用户,然后点击下方的“导出”按钮,系统会导出一个 CSV 格式
文件 audit-member-日期.csv,如图 7.26 所示。
图 7.26 导出 CSV 格式文件
以此文件为模版,只需要按图 7.27 的格式增加新行(电子邮箱选填),然后点“导入”
按钮。
注意,导出的文件中第二列密码为加密密文,编辑时都输入明文导入。
同一个 CSV 文件中,要么密码全是密文,要么全是明文,不能有的密文有的明文进行
导入。
图 7.27 批量导入用户
7.4.4 管理设备和设备用户
运维堡垒机的设备管理基于设备、设备用户和设备组。设备用户。即是。要管理的主机,
可以是网络设备,也可以是服务器。设备用户包含:设备名称、IP 地址、管理端口等信息,
以及固定资产等资产类信息。
1.添加设备组
在创建设备前,建议先创建设备组。设备组在“资源管理”->“设备管理”->“设备组
管理”菜单中,点击添加新节点按钮执行添加操作。设备组是可以分为多级的,根据管理设
备功能或属性特点,可以创建多个设备组来进行管理。如:服务器管理员组,网络设备管理
员组等,如图 7.28 所示。
图 7.28 添加设备组
2.添加设备及设备用户
运维堡垒机的授权基于设备用户。因此,添加完设备组后,要添加设备。必须要给设备
至少增加一个用户,不然无法授权运维人员登录后无法看到没有加设备用户的设备。
点击“资源管理”->“设备管理”->“设备管理”菜单,点击“添加”按钮,如图 7.29
所示。
图 7.29 添加设备
只需要添加主机名、系统类型(下拉选 Windows)、IPv4 地址,设备组(下拉菜单选
择一个默认组) 四项,然后拉到最下方点击“保存修改”按钮,如图 7.30 所示。
说明:设备类型无 Windows 2016 选项,所以选择 Windows 2012。
图 7.30 填写设备信息
添加设备后,会自动返回设备菜单。这时,设备列表最右方有一个“用户”按钮,必须
要点击这台设备的“用户”按钮,给这个设备增加设备用户(实际设备的管理员账户),用
于登录设备身份认证,如图 7.31 所示。
图 7.31 设备用户
完成上面操作后,点击“添加”按钮,添加设备用户。如图 7.32 所示。
图 7.32 添加设备用户
设备用户分为托管用户名/密码或空用户二种方式。
托管用户名/密码是指把设备的用户名和密码录入到运维堡垒机上,比如 root/password。
托管密码方式:运维人员通过运维堡垒机登录设备时,运维堡垒机会自动帮助用户输入
设备用户名和密码登录,而不需要用户再次输入。
空用户方式:用户通过运维堡垒机登录设备时,需要自己二次输入设备的用户名和密码。
参照公司管理需要,确定具体使用的方式。一般情况下,如果用户名和密码不需要让运
维人员知道,可以使用托管方式。如果用户名和密码需要运维人员自行管理,则使用空用户
方式。
在前面操作的基础上,点击“添加”按钮后,进入填写设备用户信息界面,如图 7.33
所示。填写用户名(如果使用空用户方式,不需要输入用户名和密码,只需要勾上空用户即
可)、原始密码、确认密码、登录方式(协议 Windows 选择 rdp,Linux 选择 ssh),端口
(Windows 输入 rdp 端口,Linux 输入 ssh 端口)后,页面拉到最下方。点击“保存修改”
按钮。
图 7.33 填写设备用户信息
3.批量添加设备及设备帐号
如果设备用户量很大,可以使用 Excel CSV 文件导入方式进行创建。导入前注意一定
要先建好设备组,导入过程中如果服务器组列不存在会导入不成功。
导入方法为:首先在运维堡垒机上建立一台设备,并且给这个用户添加一个帐号;然后
点击下载按钮,下载一个 csv 格式文件;使用 audit-devices-日期.csv 表为模版进行批量添
加账户,只需要按模版中例子填入 A-H 列,其它列可从模板中复制,再进行调整,如图 7.34
所示。
图 7.34 批量导入设备用户
录入完成后,另存为 CSV 格式。在“资源管理”->“资产管理”->“设备管理”中,
点击“导入”按钮执行批量添加账户。
注意:导出时密码为密文,如图 7.34 中的 G 列所示。导入时,要修改为明文进行导入。
7.4.5 管理授权
授权分为批量授权和单个设备授权二种模式,临时授权建议使用单个授权模式,日常管
理建议使用批量授权模式。
1.单个设备授权
单个设备授权可以把单个设备帐号授权给运维人员的 Web 用户。单个设备授权只用于
临时授权,比如暂时将一个设备授权给一个用户,使用一段时间后会撤消取。因为这种授权
模式为点到点模式,如果用户和设备多的时候,授权条目会非常多,最终造成权限混乱。单
个设备授权操作选择执行“资源管理”->“设备管理”->“设备管理”菜单,找到想要授权
的设备,点击后面的“用户”按钮,如图 1.33 所示。
图 1.33 设备用户
然后,界面中会列出这台设备上的所有用户。找到想要授权的用户,点击这个用户后面
的“编辑”按钮,如图 7.35 所示。
图 7.35 编辑设备用户
点击“编辑”按钮后,弹出图 7.36 界面。打开这个设备的编辑界面后,鼠标拖拽垂直
滚动条到界面的最下方,会列出所有的运维堡垒机 Web 用户和 Web 用户组,勾上想要授
权的用户或用户组,点击“保存修改”按钮,实现单个设备用户授权。
图 7.36 授权用户和用户组
2.批量授权
批量授权可以一次性把多个设备组或多个设备用户加到一个授权组里,然后把这个授权
组授权给用户或用户组,被授权的用户即可获得授权组操作所有设备的权限。当将设备组加
到授权组时,设备组中所有的设备用户都会被授予登录的权限。
批量授权的步骤为:首先创建一个授权组,再在将设备组或设备用户加到授权组中,然
后在下方勾选想要授权的 Web 用户组或 Web 用户。
批量授权的操作是选择执行 “资源管理”->“权限管理”->“设备批量授权”菜单,
点击“添加新组”按钮,便可新建一个授权组,如图 7.37 所示。
图 7.37 添加授权组
批量授权可以使用设备组的方式或设备用户的方式进行授权。
设备组方式:点击组操作可以列出所有的设备组,勾中想要授权的设备组,点击“保存”
按钮,就可将设备组加到右侧文本框,如图 7.38 所示。
图 7.38 授权组配置 1
如果不想使用设备组,也可以批量选择左侧的系统用户组,批量加入到右侧文本框进行
授权,如图 7.39 所示。
图 7.39 授权组配置 2
将设备组和设备用户添加到右侧文本框里后,可以勾中下方的运维堡垒机 Web 用户组
或 Web 用户。点击“保存”按钮后,运维堡垒机会自动合并右侧文本中的设备用户和设备
组,比如选的某个设备用户已在设备组里,添加后会自动合并。
点击“保存”按钮后,下方勾选的用户或用户组中所有的用户会拥有右侧设备组、设备
用户的登录权限,如图 7.40 所示。
图 7.40 批量授权分配权限
7.4.6 运维操作
运维堡垒机支持工具登录方式和 Web 界面登录方式。
工具登录方式不需要使用浏览器,直接在 SecureCRT、Xshell、远程桌面等任何运维
工具中,输入运维堡垒机的 IP,使用 Web 用户名和密码,可直接登录到运维堡垒机,运维
堡垒机会显示出用户可登录的设备,用户选择设备后可以登录到目标设备。
Web 登录方式使用浏览器访问运维堡垒机 IP,然后使用 Web 用户名和密码登录,登录
后会列出所有的可登录设备,点击设备后面的工具便可登录到目标设备。
1.工具登录方式
使用工具登录,主要有命令行登录和图形界面登录两种方式。对于 Linux 操作系统通常
采用命令行登录,Windows 操作系统通常采用图形界面登录。
命令行工具登录
SSH 使用 SecureCRT 或 Xshell、Putty 等任何一种工具,在目标 IP 中输入运维堡垒机
IP,用户名为运维堡垒机 Web 用户名,密码为登录运维堡垒机 Web 用户密码,默认
ssh/telnet 端口为 22。注意 ssh/ssh1/telnet 协议都要选择 ssh2 协议,RDP 端口为 3389,
如图 7.41 所示。
图 7.41 命令行登录主机
输入 Web 用户名和密码后,可以看到设备列表。本实验环境中因为只有 1 台 Linux 设
备,所以设备列表只有 1 行设备,如图 7.42 所示。
图 7.42 选择操作主机
其中第一列为序号,在输入栏可以输入 1-10 序号登录想要登录的主机,同时在输入栏
可以输入 IP 或主机名的一部分进行索引。比如:如果输入 192 回车,则会索引出 IP 和主
机名中包含字符 192 的所有设备,并且显示出来让用户选择;最终运维人员选择一个设备
后,输入这个设备头一列的 ID 号,回车即可登录到目标设备。
图形界面工具登录
键盘上按住“Windows+R”键,屏幕左下角弹出“运行”窗口。“运行”中输入 mstsc,
启动远程桌面登录程序。输入运维堡垒机 Web 用户及密码,点击“确定”按钮,如图 7.43
所示。
图 7.43 图形界面登录主机
回车后,在此界面可选择服务器 IP 和连接协议,本环境中只有 1 台 Windows2016,所
以直接点击“确定”按钮,如图 7.44 所示。
图 7.44 选择主机
点击“确定”按钮后,便登录桌面。如果设备用户当初创建的是空用户,需要重新输入
目标主机操作系统账户及密码。
2.Web 登录方式
运维堡垒机支持 Web 方式登录管理,可使用浏览器登录运维堡垒机平台(推荐使用谷
歌浏览器)。登录后需要先安装浏览器插件,才能使用全部功能。
客户端插件安装
打开浏览器,输入 https://运维堡垒机 ip,本环境是 https://192.168.10.10。登录运维堡
垒机,然后输入管理员建立的帐号(这里是 test /12345678),登录进去后,首次必须修改
密码,才能执行其他操作,新密码至少 8 位,如图 7.45 所示。
图 7.45 Web 方式登录运维堡垒机
修 改 密 码 后 , 执 行 “ 其 它 ” -> “ 工 具 下 载 ” 菜 单 , 找 到 运 维 堡 垒 机 插 件-windows-2019-3-27.zip,下载到本地解压,安装完成后再打开即可,如图 7.46 所示。
图 7.46 运维堡垒机插件下载
下载并解压缩后,双击插件文件进行安装,如图 7.47 所示。
图 7.47 插件安装 1
安装整个过程全部选择默认的“下一步”按钮,如图 7.48 所示。
图 7.48 插件安装 2
安装完成界面,如图 7.49 所示。
图 7.49 插件安装完成
客户端插件测试
安装后判断插件是否已经安装成功可以打开任何浏览器,在浏览器的 url 输入栏中输入
地址:baoleiji://"&action=a&"。如果出现以下报警即表示安装成功,如图 7.50 所示。
图 7.50 测试插件安装
插件安装好以后,通过浏览器登录运维堡垒机,使用运维堡垒机的日常运维管理功能。
具体操作细节,详见下节内容。
3.运维人员操作
使用 Web 用户,如:test,登录运维堡垒机。点击“设备列表”->“设备组”菜单,
可以看到授权给自己的的 Windows 和 Linux 用户。
右侧工具栏第一列的 IE 图标为 HTML5 连接方式。如果使用 HTML5 工具,不需要安装
插件或在本地安装 SecureCRT 等工具。如果想使用工具登录,点击右侧的运维工具执行登录。注意:如果登录 Linux 操作系统,
必须要先在 PC 上安装 Putty、SecureCRT 等工具,并且保证工具能正常使用,如图 7.51
所示。
图 7.51 Web 操作界面
可以选择一种管理工具,比如点击 SecureCRT 工具,第一次使用时会弹出一个对话框,
要求填入SecureCRT的路径,如图7.52所示。点击“浏览”按钮,在对话框中找到SecureCRT
的路径,点击“确定”按钮。如果想用 Xshell 或 Putty,也要同样指定路径。
注意:堡垒机的此项功能不支持 Seurecrtpotal.exe,选中文件必须是 SecureCRT.exe;
本环境中浏览器为谷歌浏览器。
图 7.52 初次使用配置工具路径
完成上面的设置后,登录到目标机,并且执行命令,如图 7.53 所示。
图 7.53 登录后界面
Windows 操作系统中,点击远程桌面图标,连接到 Windows 远程桌面进行操作,如图
7.54 所示。远程桌面连接过程中,如果有警告信息,全部点击“是”按钮。
图 7.54 Windows 远程桌面登录
以上是运维人员使用运维堡垒机过程中,进行设备管理的基本操作。
4.审计员操作
运维人员是使用运维堡垒机的主要群体,运维堡垒机对运维人员的操作行为进行记录,
需要时可审计或回放。可以使用 admin 用户直接进行审计,也可以使用专门的审计管理员
audit 进行审计。下面以 admin 为例说明审计运维人员操作行为的过程。
审计录像在线回放
审 计 录 像 回 放 支 持 在 线 、 离 线 二 种 方 式 , telnet/ssh 在 线 回 放 , 直 接 点 击
Web/Putty/SecureCRT 中的任意一种方式,如图 7.55 所示。
图 7.55 操作审计界面
审计录像离线回放
telnet/ssh 离线回放功能,需要到“其它”->“工具下载”中下载 sshreply.zip(绿色软
件)。
RDP 在线、离线回放功能,都要到“其它”->“工具下载”中下载 rdpreplay.zip 解压
后使用,如图 7.56 所示。
图 7.56 回放工具下载
和运维工具一样,使用回放工具时,都要浏览找到视频下载位置。如图 7.57 所示。
图 7.57 回放工具的使用
另外,RDP 录相支持.tmp 和.rxs 二种,.tmp 未非压缩模式,.rxs 为压缩模式,默认录相 都是.tmp 的。如果离线播放.tmp 文件,需要选择文件类型;否则,无法看到录相文件,
如图 7.58 所示。
图 7.58 选择回放文件
通过审计回放功能,既可以审核运维人员行为,也可以协助运维人员进行操作回溯,便
于查找问题根源。
5.系统监控管理
以管理员身份登录运维堡垒机后,可以查看当前系统的运行状态,也可以看到实时的连
接,并进行“断开”、“监控”等操作,如图 7.59 所示。
图 7.59 系统监控管理
日常使用中,主要围绕本节所述:设备管理、行为审计、运维堡垒机状态监控这三个方
面内容。关于使用中的异常问题处理,详见下节内容。
7.4.7 故障排除
运维堡垒机在运维管理中,偶而会遇到插件安装失败或异常的情况,导致运维堡垒机无
法完成正常功能操作。下面总结了几点常见问题及排除方法。
1.安装插件后点击 SecureCRT 等工具无法弹出
一般是因为病毒软件阻止插件注册造成的,建议:关闭杀毒软件,并且使用管理员权限
安装插件打开浏览器,在浏览器的 url 输入栏中输入如下链接:baoleiji://"&action=a&"
如果弹出图 7.60 所示的窗口即表示安装成功。如果没有弹出,则说明插件安装失败,
需要查找安装中存在的问题。
图 7.60 测试插件安装
如果安装的不成功,一般是因为 360 等软件不允许注册的原因,可以使用管理员权限
启动 cmd.exe,手工注册。
操作步骤:在 Windows 开始按钮旁边,搜索框中输入 cmd,找到命令提示符。使用鼠
标右键菜单,在弹出菜单中选择以管理员身份运行,如图 7.61 所示。
图 7.61 管理员身份运行命令行
在窗口中输入命令行 c:"\Program Files (x86)"\Baoliji1.1\bljinstall.reg 回车,完成手工
注册,如图 7.62 所示。
图 7.62 命令行手工注册
另外,运维堡垒机目前插件只支持 SecureCRT.exe,不支持 Securecrtportal。如果使
用 Securecrtportal.exe,需要更换为 SecureCRT.exe。
2.程序路径选择错误
运维工具目录存在本地 C 盘:
C:\Users\Administrator\AppData\Roaming\freesvr\configuration.ini 文 件 中 。 其 中
administrator 用户名需要用登录到 PC 运维终端的用户名替换,“查看”菜单中勾选隐藏的
项目选项。
Configuration.ini 文件内容如下:
xshell=C:\Program Files (x86)\NetSarang\Xmanager Enterprise 5\Xshell.exe
xftp=C:\Program Files (x86)\NetSarang\Xmanager Enterprise 5\Xftp.exe
secloudappclient=C:\Program
Files
(x86)\SECLOUDTEC\SecloudAppClient\client.exe
rdpplayer=C:\Freesvr\rdpplayer.exe
securecrt=C:\tools\SecureCRT7.2.3-64bit\SecureCRT.exe
如果目录位置选择错误,可以直接编辑这个文件修改,或删除这个文件后再次在对话框
中输入。
安全运维是企业 IT 工作有序开展的重要环节,堡垒机则是安全运维中的重要工具,在
企业大规模运维中,堡垒机已经是必不可少的一个安全工具。一方面它大大提高了运维管理
的效率,同一界面管理了所有设备,也大大减少了管理漏洞;另一方面它具备了高安全的管
理入口,统一加密的配置提高了安全性;同时完备的审计和回溯功能,既提升了审计的效率
和准确性,也方便管理员排错。在等保的管理要求中,有多个技术维度都重点提及了审计的
要求,因此,堡垒机在合规审计方面也是必不可少的工具之一。
掌握和充分利用好堡垒机的特色功能,学以致用,对于以后的实际工作,具有重要的指
导意义和实用价值。
![[简单实践]Noisy Print - 自制基于加性噪声模型的简易降噪器](https://img-blog.csdnimg.cn/img_convert/d88be87b200e4dd2c60ebb7031a63b77.png)
