堡垒机提供运维控制策略功能。使用运维控制策略功能,您可以设置命令控制、命令审批、协议控制和访问控制策略,管理用户对主机的访问。本文介绍如何新建控制策略。

操作步骤

  1. 登录堡垒机系统。具体操作,请参见登录堡垒机系统
  2. 在左侧导航栏,单击控制策略,然后单击新建控制策略
    新建控制策略页面,您可以按照配置向导,配置控制策略的基本属性、命令控制、命令审批、协议控制以及访问控制。
  3. 基本属性步骤下,配置策略名称优先级备注,然后单击下一步:命令控制(选填)
    说明
    • 优先级可设置范围:1~100。默认值为1,即最高优先级。
    • 不同控制策略可以设置相同的优先级。多个控制策略的优先级相同时,堡垒机会根据策略中具体的规则来确定策略生效顺序。
      • 命令相关规则优先级排序(从高到低):拒绝、允许、审批。
      • 访问控制策略优先级排序:黑名单高于白名单。
  4. 命令控制(选填)步骤下,配置命令控制类型以及命令列表,然后单击下一步:命令审批(选填)
    • 命令控制类型
      • (黑名单)不允许执行以下命令:选择黑名单后,命令控制列表可以为空。在当前策略生效用户和主机中,不允许执行黑名单命令列表中的命令。
      • (白名单)只允许执行以下命令:选择白名单后,命令列表为必填选项。在当前策略生效用户和主机中,只允许执行白名单命令列表中的命令。
    • 命令列表:有关命令策略的推荐模板,请参见命令策略推荐模板
  5. 命令审批(选填)步骤下,配置命令审批中填写的命令列表,然后单击下一步:协议控制(选填)

    命令审批对命令控制(白名单或黑名单)以外的命令生效。命令控制策略生效的优先级高于命令审批。

    如果用户执行了已配置在命令审批命令列表中的命令,您可以在堡垒机控制台对该命令是否执行进行审批。审批允许后该命令会被执行,审批拒绝后该命令不生效。关于命令审批的更多信息请参见审批命令

  6. 协议控制(选填)步骤下,配置控制策略的RDP选项SSH选项以及SFTP选项,然后单击下一步:访问控制(选填)
    选中协议控制项表示允许该操作,未选中表示不允许进行相应操作。例如,选中文件上传,表示允许执行上传文件操作。
  7. 访问控制(选填)步骤下,设置允许访问主机的来源IP限制模式IP列表以及登录时段限制。然后,单击新建控制策略,完成控制策略的创建。
    您可以选择以下来源IP限制模式:
    • (白名单)只允许以下IP:如果选择白名单,IP列表为必填项。只允许白名单中的来源IP访问当前策略生效的主机。
    • (黑名单)不允许以下IP:如果选择黑名单,IP列表可以为空。不允许黑名单中的来源IP访问当前策略生效的主机。
  8. 可选:在创建控制策略成功页面,单击关联主机/用户,为该策略关联用户或主机,使该策略在相应主机或用户上生效。
    更多信息,请参见关联主机或用户

命令策略推荐模板

下表介绍命令策略推荐配置的命令、描述以及推荐策略模板。您可以参照该表,配置命令控制和命令审批。
命令 描述 推荐策略
reboot 重启 命令审批
restart 重启 命令审批
shutdown 关闭系统 命令审批
halt 关闭系统 命令审批
poweroff 关闭系统 命令审批
init 0 停机 命令审批
pkill 批量杀死进程 命令审批
kill 杀死单个进程 命令审批
rm -rf 递归强制删除,忽视提示 命令审批
mount 挂载文件系统,有病毒拷贝危险 命令审批
umount 卸载文件系统 命令审批
parted 文件系统分区 命令审批
format 格式化 黑名单命令
dd if=/dev/zero of=/dev/had 硬盘清零 黑名单命令
:(){:|:&};: fork炸弹 黑名单命令
(mv)(|.*)(/dev/null) 移动目录至黑洞 黑名单命令
(wget)(|.*)(-O- \| sh) 下载后直接执行 黑名单命令
mkfs.ext3 * 格式化 黑名单命令
dd if=/dev/random of=/dev/* 向块设备中随机写入数据 黑名单命令

控制策略功能视频演示