堡垒机本地用户的登录失败次数限制是否可以调整?

是的。3.0.X版本堡垒机本地用户可以自行设置登录失败次数限制。操作步骤如下:
  1. 登录云盾管理机系统。
  2. 前往系统 > 认证管理页面。
  3. 安全配置页签下,配置用户锁定选项。

子账号被锁定该如何处理?

在发生以下情况时,子账号会被锁定:
  • 在1小时内,子账号的登录密码错误输入4次。此时,需要主账号在云盾堡垒机控制台的子账号管理页面,单击解锁为其解锁后,才能继续登录。
  • 在15分钟内,子账号的MFA码错误输入4次。这种情况无法手动解锁,需要等待15分钟自动解锁。

本地用户如何配置双因子认证?

3.0.X版本中的双因子配置逻辑存在一些问题,后续版本会完善该配置。目前,请按照以下方式进行配置:
  1. 登录云盾堡垒机系统。
  2. 前往系统 > 认证管理页面。
  3. 单击双因子认证页签,配置认证方式:
    • 只勾选短信口令:开启密码+短信的双因子认证。

    • 只勾选密码,或者同时勾选密码短信口令:只开启密码认证,不开启双因子认证。

如何使用共享账号?

堡垒机上托管的不同服务器有相同的主机账号时(账号名和密码都相同),您可以使用共享账号来简化管理。

创建共享账号后,选择绑定主机,即可将该账号添加到指定的服务器中。

已购买云盾堡垒机实例,为什么在控制台中的管理页面无法登录堡垒机系统?

无法登录可能是当前登录页面已过期,建议您刷新云盾堡垒机管理控制台页面后重新单击管理登录堡垒机系统。

登录堡垒机系统时,提示证书无效,应该如何处理?

建议您尝试清理浏览器缓存。然后通过云盾堡垒机管理控制台,再次登录堡垒机系统。
说明 推荐您使用IE、Chrome和Firefox浏览器。

金融云环境中如何登录堡垒机系统?例如,之前是要通过VPN访问服务器进行运维,将服务器接入堡垒机系统后是否仍需要通过VPN连接?

首先,您需要通过VPN连接才可以通过内网IP登录堡垒机系统。而通过堡垒机系统登录目标服务器进行运维时,则不需要使用VPN,通过内网IP方式连接ECS云服务器即可。
说明 确保堡垒机系统与目标服务器在同一专有网络VPC中即可。

通过SSH方式登录堡垒机系统时,能否使用密钥作为认证方式?

可以。当使用SSH登录堡垒机60022端口时,您可以使用密钥或者密码作为认证方式。

购买云盾堡垒机后,是否仍然能够直接连接ECS实例的IP?

堡垒机系统本身对ECS实例的IP没有进行策略控制,如果您没有配置其他访问控制策略,则仍然可以直接连接该ECS实例的IP。
说明 为了保证您服务器运维的合规性及完整性,建议您配置相关访问控制策略,仅允许通过堡垒机系统登录ECS实例进行运维操作。

如果希望用户只能通过云盾堡垒机系统登录ECS进行运维,不允许以其他方式登录应如何配置?

您可以通过设置该ECS实例的安全组,只允许堡垒机系统的IP访问该ECS实例;或者将所有登录凭据收回,仅在堡垒机系统中保存登录凭据,实现用户只能通过堡垒机系统登录ECS云服务器。

登录堡垒机系统后,单击ECS实例进行登录时,提示失败,应该如何处理?

请检查想要登录的ECS实例所在的安全组和ECS实例本身的防火墙设置,确认没有启用任何访问控制规则,导致堡垒机系统对ECS实例相关运维端口的访问被禁止。

登录堡垒机系统后,在一段时间内没有选择需要登录的ECS实例后自动断开,默认的超时时间是多久?是否支持自定义?

  • 如果您通过RDP方式连接堡垒机系统,在选择服务器界面等待100秒后仍未登录ECS实例,将自动断开连接。
  • 如果您通过SSH方式连接堡垒机系统,在选择服务器界面等待10分钟后仍未登录ECS实例,将自动断开连接。

默认超时时间不支持更改。

使用WinSCP工具登录SFTP目标服务器时遇到“列出'/root'的目录项时错误”,应该如何处理?



WinSCP登录对话框中,将会话连接中的缓存相关选项全部禁用,然后重新连接目标服务器进行登录。

通过堡垒机系统以RDP方式登录目标服务器遇到错误,应该如何处理?

错误信息如下:

提示该错误是由于该ECS服务器启用了网络级别的身份验证,您需要在目标服务器中进行以下配置后重新登录。



通过私钥方式登录ECS云服务器,仍然提示需要输入密码?

通过以下方式进行排查:
  • 确认您所添加的私钥类型。目前堡垒机系统仅支持通过ssh-keygen工具生成的RSA私钥(不支持带密码的私钥)。
  • 确认所添加的授权组凭据是否正确- 确认该凭据的有效性(您可以通过用私钥直连登录ECS云服务器的方式进行验证)。

堡垒机系统无法连接ECS云服务器?

通过以下方式进行排查:
  • 检查目标ECS服务器的相关安全组规则设置是否正确,确保堡垒机系统可以连通ECS实例的相关运维端口。
  • 检查ECS服务器自身防火墙或其它中间设备是否存在其它访问连接限制,例如iptables等。
  • 检查堡垒机系统中访问该ECS服务器的端口信息,确保所添加的相关凭据信息正确。

目前用于登录服务器的私钥是带有密码的,如何在凭据中输入私钥密码?

目前资产凭据不支持带有密码的私钥。

凭据是否必须是ECS服务器上的真实用户,还是创建凭据时堡垒机系统会自动在对应的ECS服务器中创建一个新用户?

凭据中设置的登录名必须是目标ECS服务器上已有的用户(如root),堡垒机系统本身不会对ECS服务器进行任何操作。

运维人员如何修改云盾堡垒机系统的登录密码?

您可以通过以下方式修改您的云盾堡垒机系统登录密码:
  • 联系堡垒机系统管理员进行修改。
  • 登录堡垒机系统后,修改您的登录密码。具体操作步骤,请查看用户修改密码

为什么运维人员登录堡垒机系统后无法看到ECS云服务器列表?

请联系您的堡垒机系统管理员,确认管理员已为您创建授权组关系。

系统管理员如何给不同运维人员配置不同主机的运维权限?

云盾堡垒机系统的权限控制依赖于目标服务器的凭据权限。例如,您可以在授权组A中添加目标服务器的root权限凭据,在授权组B中添加目标服务器的普通权限凭据,这样在授权组A中的用户(运维人员)即具有目标服务器的root权限,而授权组B中的用户只拥有普通权限。

在云盾堡垒机系统中,如何设置通过内网IP登录ECS服务器?

您可以通过以下两种方式进行设置:
  • 通过设置单台服务器的连接IP配置:在云盾堡垒机系统中,定位到资产 > 服务器页面,勾选目标服务器,单击配置连接IP,选择内网IP

  • 通过设置全局运维连接IP配置:在云盾堡垒机系统中,定位到设置页面,勾选运维连接IP并选择内网IP

目标ECS服务器使用的不是SSH、RDP等协议的标准端口,云盾堡垒机系统该如何配置?

云盾堡垒机系统支持自定义运维端口,您可以通过以下方式进行设置。
  • 单台服务器配置:在云盾堡垒机系统中,定位到资产 > 服务器页面,勾选目标服务器,单击修改端口,填写自定义的运维端口号。

  • 全局配置:在云盾堡垒机系统中,定位到设置页面,勾选运维端口,填写自定义的运维端口号。

堡垒机系统中的审计录像能保存多久?

审计录像一般可以保存半年以上,且支持手动删除。当堡垒机系统磁盘快满时,会自动清除最久的审计日志和录像。
说明 云盾堡垒机系统直接保存运维协议的原始数据,根据流量不同所占用的空间大小也不同。
  • SSH运维会话一般每天产生2M左右日志数据。
  • 远程桌面(RDP)运维会话(1024 * 768分辨率)一般每小时产生2M左右日志数据。

登录云盾堡垒机系统提示连接不安全?

该提示是由于自签名证书未被浏览器信任,并不会影响云盾堡垒机系统的安全性。

云盾堡垒机系统开放哪些端口,是否可以修改?

云盾堡垒机系统默认开放三个端口:
  • 443(https端口,web管理页面)
  • 60022(SSH运维端口)
  • 63389(RDP运维端口)
说明 系统默认端口不支持修改。

通过SSH方式登录云盾堡垒机系统后,如何配置COMMENT字段值?



COMMENT为系统预留字段,目前不支持自定义配置。