本文介绍了如何配置、使用云盾堡垒机,帮助您快速熟悉产品。

在购买云盾堡垒机实例后,您需要进行如下配置操作:
  1. 登录云盾云堡垒机控制台,选择您已购买的堡垒机实例,单击启用 ,启用堡垒机,具体操作请参考网络配置
  2. 启用堡垒机实例后,单击管理

  3. 选择内网接入公网接入,即通过内网还是公网连接云盾堡垒机 Web 管理页面。
  4. 在云盾堡垒机Web管理页面中,定位到资产 > 服务器页面,单击页面右上角的同步阿里云ECS

  5. 同步阿里云ECS 对话框中,勾选您想要加入堡垒机实例进行管理的云服务器,单击 加入云堡垒机

    说明
    如果您的服务器使用的端口不是默认的端口(如 SSH 不是默认 22 端口,或 RDP 不是默认 3389 端口),或者您需要指定堡垒机实例连接的云服务器资产是通过公网 IP 还是内网 IP,您可通过以下两种方式进行配置:
    • 定位到资产 > 服务器页面,勾选需要修改的服务器,单击服务器列表下方的修改端口配置连接IP进行修改。

    • 定位到系统 > 系统设置 页面,进行运维端口及运维连接 IP 的全局设置,单击保存修改后生效。
      说明
      如果您通过此方式进行全局设置,所有服务器都将使用该配置方式,且服务器单独的配置修改不生效。

  6. 定位到资产 > 凭据页面,单击新建凭据

  7. 新建凭据对话框中,输入名称、登录名、凭据类型、密码,单击确定
    说明
    关于凭据的作用,请参考术语介绍


  8. 定位到用户 > 用户管理页面,单击新建本地用户
    说明
    更多新建用户的操作,请参考用户管理


  9. 新建用户对话框中,输入手机号码、密码、邮件、姓名,单击确定
    说明
    您输入的手机号码就是运维登录的用户名。


  10. 定位到授权 > 授权组页面,单击右上角的新建授权组。在弹出的对话框中,输入授权组名称,单击确定

  11. 单击已创建的授权组中服务器/服务器组用户凭据控制策略下方的文字,可将堡垒机的用户、服务器、凭据绑定在一起,并配置相应的控制策略。
    说明
    其中服务器和凭据要对应,否则可能导致无法登录。


  12. 如果您希望堡垒机用户在通过 SSH 或 RDP 协议方式登录堡垒机时需要使用密码 + 短信验证码的双因子认证方式,可在系统 > 系统设置页面中勾选双因子认证选项,并单击保存修改

审计查询操作

当用户以堡垒机用户的身份,通过 SSH、RDP、或 SFTP 协议方式登录云盾堡垒机并对已授权服务器进行运维操作时,您可在云盾堡垒机 Web 管理页面中查看该用户会话的详细信息。
说明
用户登录云盾堡垒机时,使用的用户名即为之前设定的用户手机号码。
关于如何登录堡垒机进行系统运维,请参考:
当用户登录堡垒机后对已授权服务器进行运维操作时,您可在 审计 > 实时会话页面查看该用户的实时会话情况。单击 查看 可以对该会话进行监控,也可以单击 切断连结直接中断该实时会话。

当用户的会话连接断开后,您可在 审计 > 录像回放页面查看该用户的会话情况,单击 播放查看该会话执行的操作。

您也可以在 审计 > 指令查询页面,查看用户会话中输入并执行了哪些指令。
说明
此功能仅针对已授权服务器上执行的命令行操作。