本文将指导堡垒机管理员在开通V2版本堡垒机实例后,快速部署主机资产、堡垒机用户、运维授权,并使用堡垒机实现运维和审计查询。

使用限制

云盾堡垒机系统支持通过SSH、SFTP、Windows远程桌面等协议的方式代理接入授权的服务器,并实现全程录像。同时,支持使用Xshell、SecureCRT、PuTTY等标准客户端工具对授权的服务器直接进行运维连接。

使用云盾堡垒机服务前,您需要注意以下内容:
  • 所有接入堡垒机实例的ECS云服务器,需要正常开机并保持运行中状态。
  • 堡垒机和服务器必须网络端口可达(公网或者内网均可)。

使用流程

在使用V2版本堡垒机时,您可以按照以下步骤进行操作:
任务 描述
步骤1:同步阿里云ECS 在使用堡垒机进行主机运维前,管理员需要在堡垒机实例中添加要管理的主机资产。在该任务中,管理员将在堡垒机实例中同步导入当前阿里云账号下的ECS资产。
步骤2:新建本地用户 在使用堡垒机进行主机运维前,管理员需要在堡垒机实例中创建堡垒机用户,即登录堡垒机进行主机运维的用户。在该任务中,管理员将在堡垒机实例中新建本地运维用户。
步骤3:为用户授权 在使用堡垒机进行主机运维前,管理员需要创建授权组,将指定资产、凭据、用户和控制策略关联在一起,即授权指定用户通过凭据运维指定资产。在该任务中,管理员将在堡垒机实例中创建并配置授权组。
步骤4:运维及审计查询 当堡垒机用户通过SSH、RDP、SFTP协议方式登录云盾堡垒机并对已授权服务器进行运维操作时,管理员可以在云盾堡垒机Web管理页面查看用户会话的详细信息。在该任务中,管理员将在堡垒机实例中进行审计查询。

名词解释

对象

云盾堡垒机有三种对象,分别是用户、主机、和凭据。
  • 用户代表技术工程师,也就是自然人,登录堡垒机时用户名即为手机号码。
  • 主机是您在阿里云上的ECS实例。
  • 凭据是用于登录ECS实例的用户名、密码或用户密钥。其中,凭据名称用于辨识不同的凭据;登录名为要登录的ECS上的用户名(例如administrator、root);密码或密钥为该用户的密码或密钥。

授权组

授权组是将堡垒机中数个独立的对象个体联系在一起的概念,通过授权组功能可以达到控制某个用户只能访问其权限内主机的目的。假设您单位的运维模型如下:

您在阿里云上共10个ECS实例,其中:
  • 应用服务器2个(APP1、APP2)
  • 数据库服务器2个(DB1、DB2)
  • 中间件服务器2个(M1、M2)
  • 开发测试服务器4个(TEST1-4)
您单位共有三类工作人员:
  • 开发人员(devuser):负责开发产品原型,以及测试。
  • 运维人员(opsuser):负责维护线上服务器和应用系统。
  • 管理员(adminuser):全面协调公司内部技术人员工作,并定期进行审计。
您在ECS实例中使用三种主机账号:
  • dev(不能sudo)
  • ops (可以sudo)
  • shadow_r00t (可以sudo)
在此模型下,您可以按照如下策略配置授权关系:
个人账号 ECS主机 主机账号 说明
devuser TEST1-4 dev 开发人员只能使用开发机,且使用不能sudo的账号防止基础系统配置被改。
opsuser APP1、APP2、DB1、DB2、M1、M2 ops 运维人员使用可以sudo权限的账号维护主机基础系统配置。
adminuser 所有 shadow_r00t 管理员使用可以sudo的账号登录系统。

这样就可以通过授权组实现职责明晰的技术管理策略:开发人员对开发测试服务器有完全的控制权限;运维人员控制生产机;管理员则可以访问所有设备并通过云盾堡垒机Web管理页面进行审计。

运维

云盾堡垒机的运维操作可以通过连接协议代理端口实现,现有规则表如下:
运维协议 端口号 四层协议
SSH 60022 TCP
Windows远程桌面 63389 TCP
SFTP 60022 TCP
FTP 60021 TCP
VNC 5900 TCP
Windows远程桌面网关 44300 TCP

您可以使用标准协议客户端如Xshell、SecureCRT、PuTTY、Windows远程桌面客户端直接连接上述端口号,并通过堡垒机用户名、密码登录,连接后根据提示进行下一步操作。

审计

云盾堡垒机的审计分为两种,分别是实时监控和录像回放。
  • 实时审计专注于事中控制,可以通过云盾堡垒机管理平台随时切入某个运维会话查看现场操作。
  • 录像回放专注于事后审计,主要用于已经结束的会话进行录像回放或命令检索,检索可以使用时间段、手机号、主机IP地址、ECS实例ID、协议类型等条件筛选结果,还可以通过曾经执行过的命令进行全局检索,并自动跳转到这条命令的会话和时间段播放。