堡垒机提供运维控制策略功能,您可以通过添加控制策略,设置命令控制、命令审批、协议控制、访问控制策略等,管理用户对主机的访问。本文介绍如何新建控制策略。

操作步骤

  1. 登录堡垒机系统。具体操作,请参见登录系统
  2. 在左侧导航栏,单击控制策略
  3. 控制策略页面,单击新建控制策略
  4. 新建控制策略页面,配置控制策略的名称、优先级、命令控制、命令审批、协议控制、访问控制以及运维审批,单击新建控制策略
    配置项 说明
    名称 自定义控制策略名称。规则如下:
    • 长度为1~128个字符。
    • 不能以特殊字符开头。
    • 仅可包含特殊字符中的半角句号(.)、下划线(_)、短划线(-)、反斜线(\)以及空格。
    优先级 配置控制策略优先级。
    • 优先级可设置范围:1~100。默认值为1,即最高优先级。
    • 不同控制策略可以设置相同的优先级。多个控制策略的优先级相同时,堡垒机会根据策略中具体的规则来确定策略生效顺序。
      • 命令相关规则优先级排序(从高到低):拒绝、允许、审批。
      • 访问控制策略优先级排序:黑名单高于白名单。
    命令控制 配置在当前策略生效用户和主机中,允许或禁止执行的命令。
    • 命令控制类型
      • (黑名单)不允许执行以下命令:选择黑名单后,命令控制列表可以为空。在当前策略生效用户和主机中,不允许执行黑名单命令列表中的命令。
      • (白名单)只允许执行以下命令:选择白名单后,命令列表为必填项。在当前策略生效用户和主机中,只允许执行白名单命令列表中的命令。
    • 命令列表:有关命令策略的推荐模板,请参见命令策略推荐模板
    命令审批 配置执行需要审批的命令。

    如果用户执行了已配置在命令审批命令列表中的命令,您可以在堡垒机控制台对该命令是否执行进行审批。审批允许后该命令会被执行,审批拒绝后该命令不生效。关于命令审批的更多信息,请参见审批命令

    命令审批对命令控制(白名单或黑名单)以外的命令生效。命令控制策略生效的优先级高于命令审批。

    协议控制 配置控制策略的RDP选项SSH选项以及SFTP选项

    选中协议控制项表示允许该操作,未选中表示不允许进行相应操作。例如,选中文件上传,表示允许执行上传文件操作。

    访问控制 配置来源IP是否可以访问当前策略生效的主机。
    • (白名单)只允许以下IP:如果选择白名单,IP列表为必填项。只允许白名单中的来源IP访问当前策略生效的主机。
    • (黑名单)不允许以下IP:如果选择黑名单,IP列表可以为空。不允许黑名单中的来源IP访问当前策略生效的主机。
    运维审批 开启后,运维人员登录资产时,需由管理员审批通过,才能进行运维。关于运维审批的更多信息,请参见运维审批
  5. 可选:关联资产/用户页面,为该策略关联资产或用户,使该策略在相应资产或用户上生效。
    更多信息,请参见关联主机或用户

命令策略推荐模板

下表介绍命令策略推荐配置的命令、描述以及推荐策略模板。您可以参照该表,配置命令控制和命令审批。
命令 描述 推荐策略
reboot 重启 命令审批
restart 重启 命令审批
shutdown 关闭系统 命令审批
halt 关闭系统 命令审批
poweroff 关闭系统 命令审批
init 0 停机 命令审批
pkill 批量杀死进程 命令审批
kill 杀死单个进程 命令审批
rm -rf 递归强制删除,忽视提示 命令审批
mount 挂载文件系统,有病毒拷贝危险 命令审批
umount 卸载文件系统 命令审批
parted 文件系统分区 命令审批
format 格式化 黑名单命令
dd if=/dev/zero of=/dev/had 硬盘清零 黑名单命令
:(){:|:&};: fork炸弹 黑名单命令
(mv)(|.*)(/dev/null) 移动目录至黑洞 黑名单命令
(wget)(|.*)(-O- \| sh) 下载后直接执行 黑名单命令
mkfs.ext3 * 格式化 黑名单命令
dd if=/dev/random of=/dev/* 向块设备中随机写入数据 黑名单命令

控制策略功能视频演示