麒麟开源堡垒机用户操作手册
目录
1.概述 (1)
1.1.功能介绍 (1)
1.2.名词解释 (1)
1.3.环境要求 (2)
2.登录堡垒机 (2)
2.1.准备....................................................................................................错误!未定义书签。
2.1.1.控件设置 (2)
2.1.2.Java Applet支持................................................................................错误!未定义书签。
2.2.登录堡垒机 (3)
3.设备运维 (4)
3.1.Web Portal设备运维 (4)
3.2.运维工具直接登录 (5)
3.3.SecureCRT打开多个设备 (7)
3.4.列表导出 (11)
4.操作审计 (14)
4.1.字符协议审计 (14)
4.2.S会话审计 (16)
4.3.图形会话审计 (17)
4.4.RDP会话审计 (18)
4.5.VNC会话审计 (20)
5.其他辅助功能 (22)
5.1.修改个人信息 (22)
5.2.网络硬盘 (22)
5.3.工具下载 (23)
1.概述
运维安全堡垒平台(以下简称运维堡垒机)是用于对第三方或者内部运维管理员的运维操作行为进行集中管控审计的系统。运维堡垒机可以帮助客户规范运维操作行为、控制并降低安全风险、满足等级保护级其他法规对IT内控合规性的要求。
1.1.功能介绍
运维堡垒机集中管理运维账号、资产设备,集中控制运维操作行为,能够实现实时监控、阻断、告警,以及事后的审计与统计分析。
支持常用的运维工具协议(如SSH、telnet、、RDP、VNC等),并可以应用发布的方式支持图形化运维工具。
运维堡垒机支持旁路模式和VPN模式两种方式,物理上旁路部署,灵活方面。
运维堡垒机在操作方式上,不改变用户的操作习惯,仍然可以使用自己本机的运维工具。
1.2.名词解释
协议
指运维堡垒机运维工具所用的通信协议,比如Putty使用SSH协议,CRT支持SSH 和Telnet等。
工具
指运维人员实现对设备的维护所使用的工具软件。
设备账号
指运维目标资产设备的用于维护的系统账户。
自动登录
指运维堡垒机为运维工具实现自动登录目标被管设备,而运维用户不需要输入目标设备的登录账号和密码,也称为单点登录(SSO)。
命令阻断
指根据命令权限策略检查用户输入的操作指令,如果策略不允许执行此指令,会拒绝转发此操作命令目标设备,同时向操作员反馈拒绝执行的提示信息。这是实现实时操作控制的一种重要手段。
应用发布
指通过在应用发布服务器部署应用程序,提供给用户远程虚拟化方式进行使用,就如同安装在本地一样的效果。
1.3.环境要求
运维堡垒机提供运维Web Portal,登录 Web Portal要求运维终端采用支持IE 内核的浏览器,因为需要支持ActiveX控件,推荐使用IE浏览器,支持IE8、IE9、IE10。另外,运维终端还需要安装JRE环境,支持 Web Portal的Java Applet。
2.登录堡垒机
2.1.控件设置
WebPortal方式使用前必须安装插件,插件支持chrome、firefox、ie等通用浏览器,安装过程如下:
1.如果终端安装了360杀毒软件,请先关闭360杀毒和安全卫士,不然安
装时无法注意,安装后,在开启杀毒软件和卫士就不会在影响使用
2.登录堡垒机,在堡垒机的其它菜单中,点击工具下载,下载:堡垒机插
件2016-221.rar,解压后安装(只需要默认点击下一步)
2.2.登录堡垒机
在浏览器地址栏输入,在已经导入证书的情况下,会顺利地打开登录页面,否则需要选择信任证书并继续浏览,才能看到登录界面。登录界面如下图:
支持普通口令登录,也支持动态口令登录。动态口令登录需要登录用户手上有动态口令的USBKey才行,没有的人不能用动态口令登录。
认证方式有英文名和中文名两种方式的原因是,在运维堡垒机都采用实名制账户管理,每个用户账号(英文名)都对应一个自然人的真实姓名(中文名)。一般直接使用默认的英文名登录认证方式即可。
输入用户名、密码后认证通过后即可看到堡垒机的运维主界面,如下图所示:
主界面为左右布局,左侧菜单,右侧为工作区,右侧展示菜单对应的各项功能和操作数据。
菜单区有三大功能:“设备管理”、“运维审计”、“其他”。
运维堡垒机的运维Web Portal的核心功能在“设备管理”和“运维审计”两
块,设备管理是对设备进行运维的统一操作入口,运维审计是对运维操作的回顾和审计。
从“设备管理”菜单的结构可以看出,运维堡垒机把所有设备分组管理,形成设备组,而且从右侧界面结构看到,设备又根据运维方式进一步分类,比如有SSH设备、RDP设备等,让用户能够很方便地找到操作对象。
“设备管理”菜单中的另一块就是“应用发布”,“应用发布”就是在堡垒机上部署了一些运维工具,提供给运维人员使用,这些工具不需要下载安装,就可以直接使用来对设备进行运维,是一种虚拟化的操作方式。
“运维审计”是提供给运维人员自己查看审计自己历史操作过程记录的一个途径,有利于积累操作经验。
“其他”是一些辅助功能,比如修改个人信息、下载工具、网盘等。3.设备运维
运维堡垒机支持运维人员以三种方式登录运维:
1)打开WebPortal,在Webportal中点击相应的工具链接进行登录
2)直接在维护终端本地打开工具进行登录
3)进行VPN拨号,然后打开维护终端本地工具进行登录
3.1.Web Portal设备运维
设备运维除了选用应用发布服务器上的软件工具意外,都是使用本地安装的工具软件。首次登录注意看,设备列表中每个设备右端对应的操作栏,如下图所示。设备列表的第一列是ID,也非常重要,在下一节运维工具直接登录运维的时候要用到。
以第一行设备Linux-1为例。它的操作为“ssh(putty | securecrt) s)”,表示该
设备有两种运维登录方式,一种是ssh方式,第二种是sftp方式,并且列明了可以使用的工具,SSH方式可以使用putty或者securecrt,sftp方式使用WINSCP。括号里面的蓝色字体表示是链接,点击链接可与打开工具。
第一次点击工具链接的时候,堡垒机系统并不知道你的工具是否安装以及所在位置,需要用户自己指定工具安装在哪个路径下面,因此,会弹出对话窗口让登录人员进行路径选择,第一次选择路径后,系统即会记录该路径,以后再登录都不需要重新输入,界面如下。
找到运维工具后,启动工具,堡垒机系统一般将会自动登录到目标系统,代替运维人员实现登录目标设备的登录操作,这就是单点登录,简化运维操作,不需要记忆大量设备的账号密码。采用putty工具自动登录目标设备后的界面如下图所示。
其他设备的运维与此类似。
3.2.运维工具直接登录
除了在Web界面点击工具链接登录目标设备运维,支持使用本地运维工
具直接进行登录运维,操作体验与没有使用堡垒机完全相同,完全不改变操作习惯。
运维人员直接使用运维工具柜进行运维,与使用堡垒机之前不同,需要注意二个事项:
1.无论运维人员希望登录哪一台目标设备运维,工具的目标主机地址都
是运维堡垒机,不能绕过堡垒机直接填写目标设备地址访问。
2.运维人员登录认证的帐号,也不能再使用目标设备最终登录账号,登
录账号使用的是用户在运维堡垒机上的登录账号与目标设备在上的
ID好组合而成的一个标识,其格式是:
堡垒机账号—目标设备ID
中间的连接符是两个减号。
而登录密码就是用户在堡垒机上账号的密码。
如何得到设备的ID呢?用浏览器登录堡垒机WebPortal可以查看,在设备列表的衣领就是设备ID,如下图所示Linux-1的ID是5。
因此当希望用工具直接登录目标设备Linux-1(192.168.1.45)时,应该在打开的工具(比如putty)界面上,目标主机的地方填写堡垒机地址(假定为192.168.1.61),如下图所示。
点击“Open”按钮,当Putty提示输入登录用户名和密码的时候,此时应该输入在堡垒机上的账号名(假设为tom)与ID的组合,即“tom--5”,密码为堡垒机用户tom的密码。这样Putty就会穿过堡垒机把你带到要维护的目标设备192.168.1.45。
3.3.SecureCRT打开多个设备
1、登录堡垒机WebPortal(假设为192.16.100.51),点击工具CRT链接可以登
录一个目标设备,如下图所示。
在SecureCRT上打开“文件”-“快速连接”
协议选择:“SSH2”
主机名:“192.16.100.51”(主机名填写堡垒机的访问IP地址)端口: “23”
用户名:即堡垒机用户名,这里是cx
用户名格式:堡垒机用户名--服务器ID 如图:
打开不同的AIX或Linux需查看不同的服务器ID
查看服务器ID的方法:在WebPortal设备列表中左边第一列。点击“连接”,输入堡垒机登录密码。
重命名服务器名称
点击“确定”完成配置,如下图。
3.4.列表导出
当设备非常多的时候,按上面每台设备添加并填入ID的方式,会给运维人员造成很大的负担,因此堡垒机提供列表导出方式,可以直接导出SecureCRT、Xshell的配置列表(ssh协议)和Mremote列表(RDP、VNC、X11协议),导入列表后,工具内就有用户可以登录所有的设备,并且已经配置好id值用户可以直接使用。
首先登录到堡垒机前台,点击列表导出菜单,得到如下界面
在界面中,只需要选择SECURECRT的版本(6或7),如果版本低,必须
要升级到6.x或7.x版本,然后点击后面的提交按钮,会下载一个以主帐号为命名的zip文件(有的时候,因为IE安全问题,头一次点击提交无法下载,这时只要在到这个界面,选择好版本后在点击提交按钮就可以下载了)。
将文件存到一个目录解压,会得到一个以用户名为名称的目录,里面就是所有的主机列表配置。
打开Securecrt的option菜单里的global setting,可以得到securecrt的sessions 文件存贮位置,如下图:
只需要将下载解压的目录的放到这个目录的sessions目录下
打开CRT后,会出现一个以用户目录为名称的目录,里面会出现服务器组列表,服务器组列表就会有所有能登录的设备,这时,用户可以直接使用CRT,通过找到服务器点击的方式登录目标设备
4.操作审计
操作审计让运维人员可以查看自己的操作记录,既可以积累经验,有便于查找问题的原因,有助于快速解决问题。普通运维用户只能看到自己的操作记录。
操作审计主界面如下图所示。把会话按协议进行了分类管理。
4.1.字符协议审计
Telnet和SSH会话属于字符会话,这类协议的特点是以字符命令操作为主,命令防火墙对这类协议效果最好。
上图所示,会话列表以颜色表示不同会话的状态。堡垒机对不同状态会话的的颜色表示定义是:
白色会话行:正常会话;
黄色会话行:会话中有告警级别的命令操作;
橙色会话行:会话中有被阻断执行的命令;
红色会话行:会话有违规操作被断开;
?回放审计
点击会话列表中一行中的“回放(putty|CRT)”可以进行回放审计,下图就是回放画面。
?命令记录查看
点击一个会话行中的“文件”按钮操作,可以查看会话过程中输入的全部命令和执行结果,如下图所示。
命令列表式查看
点击任何会话行中的“命令”操作按钮,将以列表的方式显示该会话执行的全部命令,如下图所示。
4.2.S会话审计
会话都是文件传输操作会话,对这两类会话除了可以审计会话用户、时间、来源、目标、操作命令,堡垒机还可以审计上传和下载的文件。
S会话列表包含信息如下图所示。
点击“查看”能够查看一个文件传输会话过程中所有的操作命令列表,如下图所示。
最右边一列“下载”栏中有下载链接的,表明该行命令有文件传输操作,并
且文件已经被备份了,可以下载下来进行审计。
4.3.图形会话审计
RDP和VNC会话都属于图形会话,操作基本以鼠标点击为主,也有键盘输入信息。
RDP和VNC会话回放审计需要JRE支持。回放支持两种方式,一种是独立窗口回放,一种是ActiveX控件在IE浏览器窗口回放。
使用ActiveX在IE窗口回放时,如果感觉不顺畅,可以启用浏览器的“兼容
视图”,如图所示点击地址栏图标。
兼容性视图也可以在IE菜单—工具—兼容性视图设置中配置,如下图。
4.4.RDP会话审计
RDP会话列表如下图所示。
从每个会话可以审计来源IP、设备IP、运维用户、系统账号、开始时间、结束时间等。
点击“回放”按钮和ActiveX按钮都可以全过程回放会话过程,区别是,直接“回放”是在独立的本地窗口进行回放,而ActiveX方式是在浏览器窗口中进行回放,下面两个图可以看出两者的差别,回放效果相同,从方便性上,可能直接回放更方面,不需要对浏览开放更多的控件许可。
齐治堡垒机简易使用手册 Shterm用户手册- 应用发布手册杭州奇智信息科技有限公司2011年3月版本浙江齐治科技有限公司目录第1章用户登录shterm ......................................................... ................................................. 3 普通用户首次登录............................................................... ........................................ 3 用户登录账号............................................................... .................................... 4 使用环境准备............................................................... .................................... 4 第2章Windwos设备访问............................................................... ......................................... 6 WEB登录...............................................................
运维安全堡垒平台用户操作手册 麒麟开源堡垒机用户操作手册
目录 1.概述 (1) 1.1.功能介绍 (1) 1.2.名词解释 (1) 1.3.环境要求 (2) 2.登录堡垒机 (2) 2.1.准备................................................................................................. 错误!未定义书签。 2.1.1.控件设置 (2) 2.1.2.Java Applet支持............................................................................. 错误!未定义书签。 2.2.登录堡垒机 (3) 3.设备运维 (4) 3.1.Web Portal设备运维 (4) 3.2.运维工具直接登录 (6) 3.3.SecureCRT打开多个设备 (7) 3.4.列表导出 (11) 4.操作审计 (14) 4.1.字符协议审计 (14) 4.2.SFTP和FTP会话审计 (16) 4.3.图形会话审计 (17) 4.4.RDP会话审计 (18) 4.5.VNC会话审计 (20) 5.其他辅助功能 (22) 5.1.修改个人信息 (22) 5.2.网络硬盘 (22) 5.3.工具下载 (23)
1.概述 运维安全堡垒平台(以下简称运维堡垒机)是用于对第三方或者内部运维管理员的运维操作行为进行集中管控审计的系统。运维堡垒机可以帮助客户规范运维操作行为、控制并降低安全风险、满足等级保护级其他法规对IT内控合规性的要求。 1.1.功能介绍 运维堡垒机集中管理运维账号、资产设备,集中控制运维操作行为,能够实现实时监控、阻断、告警,以及事后的审计与统计分析。 支持常用的运维工具协议(如SSH、telnet、ftp、sftp、RDP、VNC等),并可以应用发布的方式支持图形化运维工具。 运维堡垒机支持旁路模式和VPN模式两种方式,物理上旁路部署,灵活方面。 运维堡垒机在操作方式上,不改变用户的操作习惯,仍然可以使用自己本机的运维工具。 1.2.名词解释 协议 指运维堡垒机运维工具所用的通信协议,比如Putty使用SSH协议,CRT支持SSH 和Telnet等。 工具 指运维人员实现对设备的维护所使用的工具软件。 设备账号 指运维目标资产设备的用于维护的系统账户。 自动登录 指运维堡垒机为运维工具实现自动登录目标被管设备,而运维用户不需要输入目标设备的登录账号和密码,也称为单点登录(SSO)。 命令阻断
极地内网内控安全管理系统 (内控堡垒主机) 操作手册北京市海淀区上地安宁庄西路9号金泰富地大厦8层 电话:010- 传真:010- 客服:400-01234-18 邮编:100085 网站:
目录
一、前言 欢迎使用内控堡垒主机系统,本用户使用手册主要介绍内控堡垒主机部署结构、配置、使用和管理。通过阅读本文档,用户可以了解内控堡垒主机系统的基本设计思想,配置和使用方法。在安装、使用内控堡垒主机系统之前,请仔细阅读文档内容。 本章内容主要包括: ●本文档的用途。 ●阅读对象。 ●本文档的组织结构。 ●如何联系北京极地安全技术支持。 1.1 文档目的 本文档主要介绍如何配置和使用内控堡垒主机系统。通过阅读本文档,用户能够正确地部署和配置内控堡垒主机系统。 1.2 读者对象 本安装手册适用于具有基本网络知识的安全管理员、系统管理员阅读,通过阅读本文档,他们可以独自完成以下一些工作: ●内控堡垒主机系统的功能使用。 ●内控堡垒主机系统的策略配置与管理。 1.3 文档组织 本文档包括以下章节及其主要内容: ●前言,介绍了本手册各章节的基本内容、文档和技术支持信息。 ●系统简介,介绍内控堡垒主机系统的部署结构和登录方法。 ●系统应用,介绍如何配置使用内控堡垒主机系统。 1.4 技术支持 北京极地公司对于生产的安全产品提供远程的产品咨询服务,广大用户和合作伙伴可以通过多种方式获取在线文档、疑难解答等全方位的技术支持。
公司主页提供交互网络服务,用户及合作伙伴可以在世界的任何地方,任何时候访问技术支持中心,获取实时的网络安全解决方案、安全服务和各种安全资料。 ●传真: 010- ●客服经理承接质量问题投诉邮箱: 二、系统简介 内控堡垒主机系统是极地安全内控解决方案的重要组成部分,部署在企业的内部网络中,用于保护企业内部核心资源的访问安全。 内控堡垒主机是一种被加固的可以防御进攻的计算机,具备很强安全防范能力。内控堡垒主机扮演着看门者的工作,所有对网络设备和服务器的请求都要从这扇大门经过。因此内控堡垒主机能够拦截非法访问,和恶意攻击,对不合法命令进行命令阻断,过滤掉所有对目标设备的非法访问行为。 内控堡垒主机具备强大的输入输出审计功能,不仅能够详细记录用户操作的每一条指令,而且能够将所有的输出信息全部记录下来,也具备图形终端操作的审计功能,能够对多平台的多种图形终端操作做审计,并且内控堡垒主机具备审计回放的功能,能够模拟用户在线操作过程。总之,内控堡垒主机能够极大的保护企业内部网络设备及服务器资源的安全性,使得企业内部网络管理合理化,专业化,信息化。 2.1 关键字 用户名:也叫主帐号,使用内控堡垒主机的用户统称为用户名。 资源:内控堡垒主机管理的主机系统,数据库,网络设备等统称为资源。例如AIX系统、Windows2000系统、DB2数据库、CISCO3560等。 从账号:从账号是资源中的账号,例如AIX中的root账号,Windows2000中的Administrator账号。 SSO单点登录:SSO(SingleSign-On)中文为单点登录,就是说在同一个地点完成对不同资源的访问。 策略:控制用户登录、设置密码、禁止使用命令、允许访问命令的方法。
安全运维审计配置手册 自然人:登录堡垒机使用的账号 资源:需要堡垒机管理的服务器、网络设备等等 从账号:资源本身的账号,即登录资源使用的账号 岗位:资源的集合,通过岗位可以将堡垒机管理的资源进行分类,便于管理员运维自然人与资源之间的使用逻辑关系 个人岗位:岗位的子类,可以理解为对自然人来说个人独有资源集合 密码代填:在运维人员登录资源的时候,堡垒机可以代填用户名密码,如果不代填的情况下,需要用户自己手动输入用户名密码 组织结构:目录树是堡垒机自身的一个目录结构,它可以方便管理员对繁杂的用户群体、资源群体进行归类区分,可以对比windows或者Linux操作系统的文件系统进行理解 目录树:可以将其理解为堡垒机目录结构的根目录,类似于linux系统的根目录
堡垒机使用前准备 1、访问堡垒机页面前浏览器配置 堡垒机使用ie浏览器访问,并需要配置加密协议
2、访问堡垒机页面,并下载安装标准版控件
注:安装控件的时候直接下一步直接安装即可,安装过程中关闭所有浏览器页面安装完控件以后访问堡垒机,浏览器会提示运行加载项,点击允许
管理员对堡垒机的管理操作 堡垒机管理员在管理堡垒机的时侯步骤如下: 1、添加堡垒机用户 2、添加资源(需要堡垒机管理的设备) 3、创建岗位(给资源划分组) 4、如果需要密码代填功能可以将资源的账号绑定到对应资源中 5、将岗位与堡垒机用户关联(将资源组给运维人员) 1、用户管理模块创建自然人 1、用户账号是登录堡垒机时使用的账号,用户名称是用于标识这个账号用的可以使用中文 2、初始化口令的默认密码是123456,用户初次登录堡垒机的时候会强制要求修改密码 3、将用户账号、用户名称、密码等信息都填写完毕以后点击保存即可创建自然人账号,这个账号是每个运维人员登录堡垒机使用的账号
Shterm用户手册- 应用发布手册 (配置管理员) 杭州奇智信息科技有限公司 2011年3月 版本
目录 第1章用户登录shterm (3) 1.1普通用户首次登录 (3) 1.1.1用户登录账号 (4) 1.1.2使用环境准备 (4) 第2章Windwos设备访问 (6) 2.1.1WEB登录 (6) 2.1.2本地MSTSC客户端登录 (7) 第3章访问字符终端设备(Telnet、SSH) (9) 3.1.1Web终端访问 (9) 3.1.2第三方SSH客户端工具访问 (10) 3.1.3WEB调用客户端登录 (12) 第4章客户端工具访问 (14) 4.1.1调用客户端工具 (14) 4.1.2文件传递 (15) 第5章文件传输 (15) 第6章账户设置 (16) 6.1个人信息修改 (16) 6.2密码修改 (18)
第1章用户登录shterm 1.1普通用户首次登录 Shterm采用Web作为用户界面。用户可使用Microsoft Internet Explorer 或以其为内核其他浏览器、Mozilla Firefox、Google Chrome等主流浏览器访问Shterm。 Shterm的访问地址一般为这种形式的:https://ipaddr,如:https://10.100.192.102 注意:建议将此站点加入到浏览器的安全站点中。
1.1.1用户登录账号 目前Shterm已与AD域认证系统进行了联合认证,因此在登录Shterm系统时只需要使用自己的AD域账号密码就可以登录Shterm系统了。 1.1.2使用环境准备 为了正常的使用Shterm您需要做以下环境准备工作:首先在您的系统安装Jre(Java虚拟机),此工具可在shterm的右上方下拉“工具下载”。 如果浏览器用的是IE或IE核心的,则需要再安装ShtermLoader工具,此工具可在shterm的右上方“工具下载”中下载并安装; 注意:需根据浏览器的版本下载相应的ShtermLoader,如32位的浏览器则需要下载32位的ShtermLoader,64位的浏览器则需要下载64位的ShtermLoader;
运维安全堡垒平台用户操作手册
目录 1.概述 (1) 1.1.功能介绍 (1) 1.2.名词解释 (1) 1.3.环境要求 (2) 2.登录堡垒机 (2) 2.1.准备 (2) 2.1.1.控件设置 (2) 2.2.登录堡垒机 (3) 3.设备运维 (4) 3.1.Web Portal设备运维 (4) 3.2.运维工具直接登录 (6) 3.3.SecureCRT打开多个设备 (7) 3.4.列表导出 (11) 4.操作审计 (14) 4.1.字符协议审计 (14) 4.2.SFTP和FTP会话审计 (16) 4.3.图形会话审计 (17) 4.4.RDP会话审计 (18) 4.5.VNC会话审计 (20) 5.其他辅助功能 (22) 5.1.修改个人信息 (22) 5.2.网络硬盘 (22) 5.3.工具下载 (23)
1.概述 运维安全堡垒平台(以下简称运维堡垒机)是用于对第三方或者内部运维管理员的运维操作行为进行集中管控审计的系统。运维堡垒机可以帮助客户规范运维操作行为、控制并降低安全风险、满足等级保护级其他法规对IT内控合规性的要求。 1.1.功能介绍 运维堡垒机集中管理运维账号、资产设备,集中控制运维操作行为,能够实现实时监控、阻断、告警,以及事后的审计与统计分析。 支持常用的运维工具协议(如SSH、telnet、ftp、sftp、RDP、VNC等),并可以应用发布的方式支持图形化运维工具。 运维堡垒机支持旁路模式和VPN模式两种方式,物理上旁路部署,灵活方面。 运维堡垒机在操作方式上,不改变用户的操作习惯,仍然可以使用自己本机的运维工具。 1.2.名词解释 协议 指运维堡垒机运维工具所用的通信协议,比如Putty使用SSH协议,CRT支持SSH 和Telnet等。 工具 指运维人员实现对设备的维护所使用的工具软件。 设备账号 指运维目标资产设备的用于维护的系统账户。 自动登录 指运维堡垒机为运维工具实现自动登录目标被管设备,而运维用户不需要输入目标设备的登录账号和密码,也称为单点登录(SSO)。 命令阻断
堡垒主机用户操作手册 运维管理 版本2.3.2 2011-06 目录1.前言...................................................... 1.1.系统简介 .............................................. 1.2.文档目的 .............................................. 1.3.读者对象 .............................................. 2.登录系统.................................................. 2.1.静态口令认证登录 (3) 2.2.字证书认证登录 ........................................ 2.3.动态口令认证登录 ...................................... 2.4.LDAP域认证登录........................................ 2.5.单点登录工具 ..........................................
3.单点登录(SS0)........................................... 3.1.安装控件 .............................................. 3.2.单点登录工具支持列表 .................................. 3.3.单点登录授权资源查询 .................................. 3.4.单点登录操作 .......................................... Windows资源类(域内主机\域控制器 \windows2003\2008) Unix\Linux资源类............................... 数据库(独立)资源类 ........................... ORACLE_PLSQL单点登录........................... ORACLE_SQLDeveleper单点登录.................... MSSQLServer2000查询分析器单点登录.............. MSSQLServer2000企业管理器单点登录.............. SQLServer2005ManagementStudio单点登录.......... SQLServer2008ManagementStudio单点登录.......... SybaseDbisqlg单点登录..........................
Shterm 用户手册 -应用发布手册 (配置管理员) 杭州奇智信息科技有限公司 2011 年 3 月 版本 <>
目录 第 1章用户登录 shterm .....................................错误 ! 未定义书签。 普通用户首次登录 . ...................................错误 ! 未定义书签。 用户登录账号 . .................................错误 ! 未定义书签。 使用环境准备 . .................................错误 ! 未定义书签。第 2 章Windwos 设备访问 ....................................错误 ! 未定义书签。 WEB登录 ......................................错误 ! 未定义书签。 本地 MSTSC客户端登录 . .........................错误 ! 未定义书签。第 3 章访问字符终端设备( Telnet 、 SSH) .....................错误 ! 未定义书签。 Web终端访问 ..................................错误 ! 未定义书签。 第三方 SSH客户端工具访问 . .....................错误 ! 未定义书签。 WEB调用客户端登录 ............................错误 ! 未定义书签。第 4章客户端工具访问 . .....................................错误 ! 未定义书签。 调用客户端工具 . ...............................错误 ! 未定义书签。 文件传递 . .....................................错误 ! 未定义书签。第 5章文件传输 . ...........................................错误 ! 未定义书签。第 6章账户设置 . ...........................................错误 ! 未定义书签。 个人信息修改 . .......................................错误 ! 未定义书签。 密码修改 . ...........................................错误 ! 未定义书签。
丰泽堡垒机 Fortress 运维用户使用手册Version 1.3.4 2014年4月
目录 1前言 (1) 1.1概述 (1) 1.2图形界面格式约定 (1) 1.3使用环境 (1) 2登录设备 (1) 2.1系统首页 (1) 2.2工具安装 (3) 2.2.1客户端工具安装 (3) 2.2.1Java虚拟机安装 (5) 2.3常用参数设置 (7) 2.4个人信息设置 (8) 2.5 委托管理 (8) 3运维访问过程 (9) 4运维协议 (9) 4.1最近访问 (9) 4.2全部协议 (10) 4.3文本协议 (11) 4.4图形协议 (11) 4.5文件传输 (12) 5运维实例 (13) 5.1文本类协议运维实例 (13) 5.2图形类协议运维实例 (15) 5.3HTTP(s)协议运维实例 (17) 5.4文件传输协议运维实例 (18) 5.5特殊运维 (19) 5.5.1紧急运维 (19) 5.5.2二次授权 (21)
1前言 1.1概述 本文档为运维堡垒机的运维用户的使用手册,作为运维用户的操作指南。 1.2图形界面格式约定 1.3使用环境 Fortress 的运维用户采用 WEB作为用户界面。运维用户可以使用任意浏览器,如果您使用的是 IE 8浏览器,请在兼容模式下运行。 2登录设备 2.1系统首页 用IE浏览器访问: https://Fortress-IP,如果是IE7/8,访问过程中会出现证书安全警告等信息: 此时点击“继续浏览此网站”,将出现Fortress的登录页面。如下图:
图1. 用户登录 使用运维管理员分配给运维用户的用户名和密码登录系统。登录成功后,首页如下: 图2. 系统首页 首页内容为:当前日期、上次登录时间及登录IP、最近10次运维记录。运维记录包含运维用户的IP、运维过的资源名称、目标设备的IP地址、设备账户、运维开始时间、运维结束时间、在线时长。 在管理界面的右上角有三个按钮,分别是“修改密码”、“工具下载”、“退出登录”。其作用如下: 修改密码:修改当前运维用户的登录密码,只有静态口令用户可以修改密码。为了安全性考虑,首次登录后,建议静态口令用户对密码进行修改。 工具下载:下载运维用户在进行运维管理时所必需安装的工具,与【运维管理 -> 工具下载】页面下载的文件相同。
堡垒机使用手册 使用堡垒机登陆方法 1、使用Secure CRT 登陆,选择SSH2登陆方式,输入相应的用户名,点击 connect Quick Connect Prvtocol : Ho st name' Authentic 的 on 0 PaaswontJ 0 PdbfccKey I#. Keyboard Irrt 已启crtiu 已 0GSSAPI Ml Save session 0 Open in a tab TVl 2、输入用户名和密码 Enter Secure Shell Password 1 Ml31 @ 10'.4-S.BD.€G requires a password. Pl 亡曰吕e enter a password now. Ussnane: 100131 P asswad. I 1 Save p 曰闘 >VDrd 3、选择1进入服务器列表 [Conneci ] Canod Port; 22 Finewsl: None Username. ?ni| ..Show quick corned on startup
10.43.66 - Seen reCRT File Edit View Options Transfer Script Tools Help Ji] a Cl a SI I 裁昌- 寻m 百瑟F ◎ I 10.4fi.50.66 VENU5TECH AUDIT SYSTEM HAl000 Last login: Thu Jun 7 17:51:07 2012 from 10*4S.51.2J9 shell audit system select node: 1| F 图为服务器列表 B IfUS.SIKGG selected group : BE 5融台应目爼 4、选择需要登陆的服务器 ■t e u t 01^34567890123456789 1234567£911111111112222£22222 13弓.勺?.17.11 133.96.17.13 133.17.14 133 . ■96.17*15 133.96.17.16 133.■96.17.17 133,.■96.17*15 133.96.17.21 133.17.22 丄汨"9乞17.23 133.96.17.25 133.17.27 丄汩"9&17.2勒 133.96.17.29 133,勺 6.17.J0 133.^6.17.31 133.96.17.12 133.S6.17. J3 133.96.17.34 133.96.17.35 133.S6.17.ie 133.96.IS.1(3 133.96.15.12 133.-9^,15*14 133.96.IS.15 133.96.IS.le 133.96.1S*17 133.96.IB.ig 133.■96.IB.21 (bildbi) (b-i1db2) tb11appl) (bi1app2) (memdbl) fmemdb^) (^ccxdbl) (jicttdb2) Cb11app3) (bi 1 app4) CxjdblJ CxjdbZ) (Lilnbikl) Cb11nbi ■ Cb11wbikl) (bi fbl 1weDl) Cb11webZ) (bi1web3) Cb11web4) (bi IwebS) (crmdbl) fcrmdb?) (crmqxappl) ( 堡垒机安装部署测试及优缺点总结 近期出于管理和检查需要,单位领导要求上堡垒机系统,测试了几个商业堡垒机,因为价格超过预算等原因都未购买,又测试了三个开源的堡垒机,感觉麒麟开源堡垒机功能最全,基本上和商业堡垒机一样,唯一的问题就是图形部分不开源,但因为我们的服务器基本上全是LINUX环境,TELNET、SSH、FTP、SFTP已经足够了因此将这套堡垒机已经用于生产环境。 现在市场商业堡垒机价格太高,基本上都要到10万左右,我结合在公司部署开源堡垒机的经验,将过程写成文档与大家分享。 我测试的其它开源堡垒机基本上还是半成品,麒麟堡垒机基本上已经是一个成品堡垒机,但是还是存在某些小BUG,可以自己修改源代码改掉。 麒麟堡垒机安装条件: 1.系统必须至少有二块网卡,一块网卡安装时会报错,如果是虚机虚2块网卡出来。 2.系统最低硬件配置为:Intel 64位CPU、4G内存、200G硬盘。(注意:32位CPU 装不上)。 安装过程: 麒麟堡垒机安装过程非常简单,用光盘启动,一回车,完全无人值守安装,不需要任何的干涉(安装过程赞一个,基本上可以给95分)。 过程图如下: 插入光驱进行启动,会到安装界面,在”blj”那里直接回车(PS:如果使用笔记本进行虚机安装,先选择”Install Pcvm”,方式使用500M SWAP, 默认安装方式使用32G SWAP,这几个安装方式主要就是SWAP大小不同,如果使用虚机方式安装堡垒机,有可能出现SWAP 不够用问题)。 我的硬件物理机为8G内存,普通的E3 单个CPU,2T 串口硬盘,安装过程大约要等30分钟左右,安装完毕,系统重启,退出光盘即可。 麒麟开源堡垒机用户操作手册 目录 1.概述 (1) 1.1.功能介绍 (1) 1.2.名词解释 (1) 1.3.环境要求 (2) 2.登录堡垒机 (2) 2.1.准备 (2) 2.1.1.控件设置 (2) 2.1.2.Java Applet支持 (3) 2.2.登录堡垒机 (3) 3.设备运维 (4) 3.1.Web Portal设备运维 (5) 3.2.运维工具直接登录 (6) 3.3.SecureCRT打开多个设备 (7) 3.4.列表导出 (11) 4.操作审计 (14) 4.1.字符协议审计 (14) 4.2.SFTP和FTP会话审计 (16) 4.3.图形会话审计 (17) 4.4.RDP会话审计 (18) 4.5.VNC会话审计 (20) 5.其他辅助功能 (22) 5.1.修改个人信息 (22) 5.2.网络硬盘 (22) 5.3.工具下载 (23) 1.概述 运维安全堡垒平台(以下简称运维堡垒机)是用于对第三方或者部运维管理员的运维操作行为进行集中管控审计的系统。运维堡垒机可以帮助客户规运维操作行为、控制并降低安全风险、满足等级保护级其他法规对IT控合规性的要求。 1.1.功能介绍 运维堡垒机集中管理运维账号、资产设备,集中控制运维操作行为,能够实现实时监控、阻断、告警,以及事后的审计与统计分析。 支持常用的运维工具协议(如SSH、telnet、ftp、sftp、RDP、VNC等),并可以应用发布的方式支持图形化运维工具。 运维堡垒机支持旁路模式和VPN模式两种方式,物理上旁路部署,灵活方面。 运维堡垒机在操作方式上,不改变用户的操作习惯,仍然可以使用自己本机的运维工具。 1.2.名词解释 协议 指运维堡垒机运维工具所用的通信协议,比如Putty使用SSH协议,CRT支持SSH 和Telnet等。 工具 指运维人员实现对设备的维护所使用的工具软件。 设备账号 指运维目标资产设备的用于维护的系统账户。 自动登录 指运维堡垒机为运维工具实现自动登录目标被管设备,而运维用户不需要输入目标设备的登录账号和密码,也称为单点登录(SSO)。 命令阻断 指根据命令权限策略检查用户输入的操作指令,如果策略不允许执行此指令,会 齐治堡垒机操作手册 中国旅游集团有限公司 信息共享中心 2020年2月 版本 目录 第一章建立用户账户 (3) 1.1 首次访问与默认用户账号 (3) 1.2 添加用户账号、分配用户角色 (4) 1.3建立普通用户账号 (6) 1.4快速身份切换 (6) 第二章添加目标设备(配置管理员) (7) 2.1 Windows设备(RDP) (7) 2.1.1 条件准备 (7) 2.1.2 添加设备 (7) 2.1.3 设置密码 (8) 2.2 Linux设备(SSH、X windows) (10) 2.2.1 条件准备 (10) 2.2.2 添加设备 (10) 2.2.3 设置密码 (11) 2.3网络设备(Telnet) (12) 2.3.1 条件准备 (12) 2.3.2 添加设备 (12) 2.3.3 设置null账号密码 (13) 2.3.4 设置特权模式(enbale)密码 (14) 第三章建立访问控制规则(配置管理员) (15) 3.1新建规则 (16) 3.2关联用户账户 (16) 3.3 关联设备 (17) 3.4 关联系统账号 (17) 第四章设备访问(普通用户) (18) 4.1环境准备 (18) 4.2图形设备 (18) 4.3 设备访问 (18) 4.4字符终端设备访问(Telnet、SSH) (22) 4.5 Web终端 (22) 4.6 第三方SSH客户端 (23) 第五章操作审计(审计管理员) (26) 5.1字符会话审计 (26) 5.1.1 命令列表式查看 (27) 5.1.2 命令回放 (27) 5.1.3 命令查询 (28) 5.2图形会话审计 (28) 5.2.1 会话列表 (29) 5.2.2 会话审计 (29) 齐治堡垒机操作手册 中国旅游集团 信息共享中心 2020年2月 版本 目录 第一章建立用户账户 (3) 1.1 首次访问与默认用户账号 (3) 1.2 添加用户账号、分配用户角色 (4) 1.3建立普通用户账号 (6) 1.4快速身份切换 (6) 第二章添加目标设备(配置管理员) (7) 2.1 Windows设备(RDP) (7) 2.1.1 条件准备 (7) 2.1.2 添加设备 (7) 2.1.3 设置密码 (8) 2.2 Linux设备(SSH、X windows) (10) 2.2.1 条件准备 (10) 2.2.2 添加设备 (10) 2.2.3 设置密码 (11) 2.3网络设备(Telnet) (12) 2.3.1 条件准备 (12) 2.3.2 添加设备 (12) 2.3.3 设置null账号密码 (13) 2.3.4 设置特权模式(enbale)密码 (14) 第三章建立访问控制规则(配置管理员) (15) 3.1新建规则 (16) 3.2关联用户账户 (16) 3.3 关联设备 (17) 3.4 关联系统账号 (17) 第四章设备访问(普通用户) (18) 4.1环境准备 (18) 4.2图形设备 (18) 4.3 设备访问 (18) 4.4字符终端设备访问(Telnet、SSH) (22) 4.5 Web终端 (22) 4.6 第三方SSH客户端 (23) 第五章操作审计(审计管理员) (26) 5.1字符会话审计 (26) 5.1.1 命令列表式查看 (27) 5.1.2 命令回放 (27) 5.1.3 命令查询 (28) 5.2图形会话审计 (28) 5.2.1 会话列表 (29) 5.2.2 会话审计 (29) 堡垒机使用说明 注意:可以自行选择WEB方式使用,或通过RDP客户端远程连接WINDOWS、SSH 客户端连接LINUX。无论哪种方式连接,都使用你的堡垒机账号连接183.168.162.8即可。 一 WEB方式使用 准备工作 1.1 根证书安装 使用ie登录 运维人员使用的PC机,需要信任ICore4A-UTM,才能安装控件,进行运维。 步骤1:普通用户登录堡垒机 步骤2:单击界面右上角的【下载】 步骤3:单击下载框中的“下载”,将根证书下载至本地: 步骤4:双击“”,将其添加到受信任的根证书颁发机构进行安装。 1.2 IE选项设置(推荐使用IE) 步骤1:单击IE浏览器中的【工具】>【Internet选项】>【安全】>【可信站点】步骤2:将“该区域的安全级别”设置为最低: 步骤3:单击【站点】,将堡垒机的管理地址添加为可信站点: 步骤4:最后单击【关闭】>【应用】>【确定】即可 1.3 ActiveX控件安装 ICore4A-UTM需要安装控件,才能调用运维人员PC机的本地运维软件,进行运维操作。以下以IE 7.0浏览器为例: 步骤1:普通用户登录到堡垒机后,IE界面中会弹出“ActiveX控件”安装选项: 步骤2:单击该加载选项,再单击“为此计算机上的所有用户安装此加载项(A)…” 步骤3:刷新界面后,再单击【系统运维】,页面将弹出以下提示: 步骤4:单击【安装】后,页面将再次弹出“”控件安装提示: 步骤5:单击【安装】后,页面将弹出“”控件安装提示 步骤6:单击【安装】后即可 1.4 客户端工具准备 字符类工具: 步骤1:检查本地是否安装了字符类工具,如putty、SecureCRT; 如果未安装可从网上下载安装或由厂家提供安装程序。 步骤2:普通用户登录堡垒机后,单击界面右上角的【运维设置】 步骤3:在运维设备对话框中,将本地的putty和SecureCRT等运维工具的绝对路输入到填写框中: 步骤4:设置参数: 堡垒机维护手册 麒麟开源 1麒麟开源堡垒机用户手册概述 本手册为堡垒机运维系统维护手册,适用于没有任何堡垒机使用经验的用户。本手册假设阅读者拥有堡垒机的全部权限。 1.1 如何阅读本手册 如果已经有过堡垒机使用经验,可选取您感兴趣的章节进行阅读;如果您是堡垒机的首次使用者,建议按照顺序通读本手册。 1.2 手册使用说明 带下划线表示操作中的菜单,例如: 资源管理—用户列表—新建用户 表示:操作为先点击“资源管理”菜单,在出现的页面中再点击“用户列表”菜单,最后点击“新建用户”菜单。 红色字体表示用户特别需要注意的内容。 1.3 麒麟开源堡垒机系统版本 本手册为麒麟开源堡垒机 1.1系统版本。 2麒麟开源堡垒机维护介绍 系统维护手册是系统上线运行后,对系统进行日常维护,发现问题解决问题的一个参考手册,基本的日常维护主要包括前台操作和后台维护两部分。系统的维护主要通过后台来进行,前台操作只是为后台维护提供基本的参考。 2.1 麒麟开源堡垒机前台操作 前台操作是指在进行日常后台维护操作之前或者之后,通过前台的一些基本 操作来发现问题,或者查看问题是否解决。 前台的基本操作如下: 2.1.1麒麟开源堡垒机登陆系统 登陆系统分为web登陆和工具直接登录两种,web主要针对的是审计用户包括:操作审计、日志审计和db审计等,工具登陆是一般运维人员的常用登陆方式。 通过这两种登陆方式的检验来确保系统用户的正常基本使用。 2.1.2麒麟开源堡垒机登陆报表 通过查看系统的登陆报表可以较快捷的了解到用户登陆情况和登陆失败的原因。登陆报表在堡垒机的日志报表-审计报表-登陆明细中查看。界面如下: 2.2 麒麟开源堡垒机后台维护 后台维护是对系统进行维护的常用手段,前台登陆是为后台维护的一个辅助手段。 后台维护包括对系统运行命令的查看、启动项是否正常、运行情况的查看以 尚思卓越企业堡垒机快速使用 指导手册 尚思卓越(北京)科技有限公司 [文档信息] 文档名称 文档管理编号 保密级别文档版本号 制作人制作日期2018年07月17日复审人复审日期 扩散范围 扩散批准人 [版本变更记录] 时间版本说明修改人 [文档送呈] 单位目的 目录 1. 自动化平台各管理员大致功能 (1) 2. 平台登录 (1) 2.1 WEB方式访问、登录 (1) 3. 配置管理员 (3) 3.1创建配置管理员并登陆 (3) 3.2添加设备并管理 (4) 4.创建业务员并登录 (6) 5.脚本功能的使用 .......................................................................... 错误!未定义书签。 5.1创建脚本及脚本任务 ........................................................... 错误!未定义书签。 5.2脚本任务审批 ....................................................................... 错误!未定义书签。 5.3查看脚本任务执行结果 ....................................................... 错误!未定义书签。 5.3.1业务员查看任务执行结果 .......................................... 错误!未定义书签。 5.3.2审计管理员查看任务执行结果 .................................. 错误!未定义书签。 6.批量命令功能使用 ...................................................................... 错误!未定义书签。 6.1批量命令执行 ....................................................................... 错误!未定义书签。 6.2查看执行结果 ....................................................................... 错误!未定义书签。 6.2.1业务员查看执行结果 .................................................. 错误!未定义书签。 6.2.2审计管理员账户查看命令执行结果 .......................... 错误!未定义书签。 7.巡检功能使用 .............................................................................. 错误!未定义书签。 7.1创建巡检任务 ....................................................................... 错误!未定义书签。 7.2查看巡检任务执行结果 ....................................................... 错误!未定义书签。 7.2.1业务员查看任务执行结果 .......................................... 错误!未定义书签。 7.2.2审计管理员查看任务执行结果 .................................. 错误!未定义书签。 8.报表的查看 .................................................................................. 错误!未定义书签。 8.1脚本任务报表 ....................................................................... 错误!未定义书签。 8.2巡检任务报表 ....................................................................... 错误!未定义书签。 堡垒主机操作管理流程 一、概述 为了完善业务需要,提高内控堡垒主机系统的管理规范性,运维管理人员应依据堡垒主机操作管理流程进行操作。堡垒主机操作管理流程包含用户账户申请、用户资源申请、授权人审批管理、授权账户安全管理、授权资源操作、责任划分等流程项。 二、管理流程 管理流程主要是由普通用户想要申请资源而发起申请至指定审批人,审批人根据实际情况予以审批或拒绝,或转发上级领导继续审批,审批环节可以根据需要分为一级至多级,直至有领导同意后,选择执行人去将此申请落实。 自然人(申请用户)申请、接入资源申请流程主要包括以下几类: ●用户账户申请流程 向系统管理员或安全部门负责人发起自然人账户申请,并填写 账户接入申请单申请新的接入账户,由系统管理员或安全部门 负责人审核后给予账户的用户名密码授权。 ●资源接入申请流程 资源相关负责人申请资源接入到内控堡垒主机系统,用户申请 资源接入时需详细列出管理的资源信息,资源信息包括主机系 统、登录账户密码、主机IP地址等。资源信息提交后由系统 管理员核对资源信息和接入账户的对应关系。 ●自然人变更流程 自然人申请调整岗位,申请调整资源授权,申请数字证书等需 向系统管理员提交变更申请单。 ●自然人注销流程 由于工作调离或资源主机下架等造成自然人账户需注销停用,需要向系统管理员作出说明,并由系统管理员审核后对自然人 账户进行注销停用处理。 三、账户管理 帐号管理包含对所有服务器、网络设备帐号的集中管理。帐号和资源的集中管理是集中授权、认证和审计的基础。帐号管理可以完成对帐号整个生命周期的监控和管理,而且还降低了企业管理大量用户帐号的难度和工作量。同时,通过统一的管理还能够发现帐号中存在的安全隐患,并且制定统一的、标准的用户帐号安全策略。 授权账户的管理按照职责划分可分为系统管理员、安全审计员、普通账号 ●系统管理员 负责对申请人账户的创建、变更和撤销;负责资源的创建、修 改、删除、授权。 ●安全审计员 负责审核、登记备案自然人的用户权限和管理资源,并进行定 期审计。堡垒机安装部署测试文档
麒麟开源堡垒机用户操作手册范本
齐治堡垒机操作手册
齐治堡垒机操作手册
堡垒机使用说明
堡垒机系统维护手册
尚思卓越堡垒机快速操作手册
堡垒主机系统操作管理流程(管理员用户操作手册)
相关主题
文本预览