本文介绍使用堡垒机时的常见问题及解决方案。

堡垒机通过不断地进行版本升级来提供更多的功能和更好的用户体验。堡垒机实例不同版本之间存在功能差异。更多信息,请参见版本说明。功能使用常见问题按照不同版本分为以下模块:

通过SSH方式运维登录堡垒机时,能否使用密钥作为认证方式?

可以。当使用SSH方式登录堡垒机60022端口时,您可以使用密钥或密码作为认证方式。

购买云盾堡垒机后,是否仍然能够直接连接ECS实例的IP?

堡垒机实例本身对ECS实例的IP没有进行策略控制,如果您没有配置其他访问控制策略,仍然可以直接连接该ECS实例的IP。
说明 为了保证您服务器运维的合规性及完整性,建议您配置相关访问控制策略,仅允许通过堡垒机实例登录ECS实例进行运维操作。

如果希望用户只能通过云盾堡垒机实例登录ECS进行运维,不允许以其他方式登录,应如何配置?

您可以通过设置该ECS实例的安全组,只允许堡垒机实例的IP访问该ECS实例;或者不要将服务器登录的凭据分发给用户,仅在堡垒机实例中保存登录凭据,实现用户只能通过堡垒机实例登录ECS云服务器。

登录堡垒机实例后,单击ECS实例进行登录时,提示失败,应该如何处理?

请检查登录的ECS实例所在的安全组和ECS实例本身的防火墙设置,确认没有启用禁止堡垒机实例访问ECS服务器运维端口的任何访问控制规则。

使用WinSCP工具登录SFTP目标服务器时遇到“列出'/root'的目录项时出错”,应该如何处理?

问题现象

使用WinSCP工具登录SFTP目标服务器时遇到“列出'/root'的目录项时出错”,如下图所示:列出'/root'的目录项时出错

问题原因

可能是本地客户端存在缓存导致。

解决方案

您需要在WinSCP工具进行以下配置:
  1. 打开WinSCP工具。
  2. 在左侧导航栏,选择环境 > 目录
  3. 目录读取选项全部取消选中。WinSCP登录对话框
  4. 单击保存
  5. 在服务器列表中,单击目标服务器重新登录。

通过私钥方式登录云服务器ECS,仍然提示需要输入密码,该如何解决?

您需要通过以下方式进行排查:
  • 确认您所添加的私钥类型。目前堡垒机实例仅支持通过ssh-keygen工具生成的RSA私钥(不支持带密码的私钥)登录ECS服务器。
  • 确认所添加的授权组凭据是否正确。您可以通过使用私钥登录ECS云服务器的方式进行验证。
    说明 堡垒机版本不同,使用私钥登录ECS云服务器的方法也不同。请根据您堡垒机的版本,查看对应文档。

堡垒机实例无法连接ECS云服务器,该如何解决?

您需要通过以下方式进行排查:
  • 检查目标ECS服务器的相关安全组规则设置是否正确,确保堡垒机实例可以连通ECS实例的相关运维端口。
  • 检查ECS服务器自身防火墙或其他中间设备是否存在其它访问连接限制,例如iptables等。
  • 检查堡垒机实例中访问该ECS服务器的端口信息,确保所添加的相关凭据信息(服务器的账户、密钥或密码)正确。

运维人员如何修改云盾堡垒机实例的登录密码?

您可以通过以下方式修改您的云盾堡垒机实例登录密码:
  • 联系堡垒机实例管理员进行修改。
  • 登录堡垒机实例后,自行修改您的登录密码。具体操作,请参见用户修改密码

云盾堡垒机开放哪些端口,是否可以修改?

云盾堡垒机默认开放以下端口:
  • 443(https端口,Web管理页面)
  • 60022(SSH运维端口)
  • 63389(RDP运维端口)
说明 V2和V3.1版本不支持修改系统默认端口。V3.2版本支持修改系统默认端口。

堡垒机哪些版本的实例支持通过调用API接口使用主机、主机组、主机账户、用户、用户组和主机授权功能?

堡垒机V3.2.17及以上版本支持。如果您的堡垒机实例为3.2.17及以上版本,您可以通过调用API接口使用堡垒机提供的主机、主机组、主机账户、用户、用户组和主机授权功能。以下是堡垒机支持的API类型:

如何将堡垒机的运维日志转存到日志服务(SLS)中?

堡垒机支持将运维日志转存到日志服务对应的Logstore中。运维日志即运维人员使用堡垒机进行运维的操作记录。您配置了运维日志转存,堡垒机在接收到运维记录后,会自动将运维日志转存到日志服务中。您可以参考以下步骤配置堡垒机运维日志转存:

  1. 登录日志服务控制台,并根据页面提示开通日志服务。
  2. 日志应用区域,单击日志审计服务
  3. 全局配置页面,参考以下步骤配置审计信息。
    1. 中心项目Project所在区域下拉列表中,选择日志中心化存储的目标地域。
    2. 配置采集同步授权。
      日志审计服务支持手动授权和通过账号密钥辅助授权。您可以选择以下任一方式配置采集同步授权:
      • 通过账号密钥辅助授权:输入账号的AccessKey和AccessSecret。

        AccessKey信息不会被保存,仅临时使用。此处AccessKey信息对应的RAM用户需具备RAM读写权限(例如已被授权AliyunRAMFullAccess策略)。

      • 手动授权:具体操作,请参见手动授权日志采集与同步
    3. 在云产品列表中,打开堡垒机操作日志开关并设置存储方式中的存储时间。
    审计配置
  4. 可选:查看堡垒机运维日志。
    1. 在左侧导航栏,单击审计查询图标。
    2. 在左侧中心化菜单下单击堡垒机
    3. 堡垒机页签下查看运维日志。

如何在ECS服务器的安全组中设置放行堡垒机出口IP的规则?

使用堡垒机对ECS服务器进行运维前,您需要在服务器的安全组中设置放行堡垒机的出口IP的规则。您的ECS服务器中配置了放行堡垒机出口IP的规则后,堡垒机才能和您的ECS服务器正常通信,进行运维审计操作。您可以执行以下步骤设置安全组规则:
  1. 登录云盾堡垒机控制台
  2. 定位到进行运维操作的堡垒机实例,将鼠标移动到出口IP上方。
  3. 复制并保存该堡垒机的公网IP地址和私网IP地址。
  4. 在ECS服务器的安全组中设置放行堡垒机公网IP和私网IP的规则。

    设置安全组规则的具体操作,请参见添加安全组规则

在云盾堡垒机实例中,如何设置通过内网IP登录ECS服务器?

您可以通过以下两种方式进行设置:
  • 通过导入ECS实例方式导入的ECS服务器,默认是使用内网IP登录。更多信息,请参见导入阿里云ECS实例
  • 资产管理 > 主机页面,选择需要修改运维连接IP的主机,并单击批量 > 修改运维连接IP。在修改运维连接IP对话框中,将主机IP类型选择为内网IP,并单击确定

目标ECS服务器使用的不是SSH、RDP等协议的标准端口,云盾堡垒机实例该如何配置?

云盾堡垒机实例支持自定义运维端口,您可以在登录堡垒机实例后,在资产管理 > 主机页面,选择目标服务器,单击批量 > 修改运维端口。在修改运维端口页面,选择使用的协议并输入自定义的运维端口号,再单击确定

堡垒机实例中的审计录像能保存多久?

V3.2版本堡垒机实例的审计录像一般可以保存半年以上,审计录像存储在OSS上,当堡垒机存储空间快满时,会自动清除最久的审计日志和录像。

说明 云盾堡垒机实例直接保存运维协议的原始数据,根据流量不同所占用的空间大小也不同。
  • SSH运维会话一般每天产生2 M左右日志数据。
  • 远程桌面(RDP)运维会话(1024 * 768分辨率)一般每小时产生2 M左右日志数据。

堡垒机本地用户的登录失败次数限制是否可以调整?

是的。V3.1.X版本堡垒机本地用户可以自行设置登录失败次数限制。操作步骤如下:
  1. 登录云盾堡垒机系统。
  2. 在左侧导航栏,选择系统 > 认证管理
  3. 安全配置页签下的用户锁定区域,修改密码尝试次数修改密码尝试次数

子账号被锁定该如何处理?

以下内容介绍了不同情况下,子账号被锁定的解决办法:
  • 在1小时内,子账号的登录密码连续4次输入错误。此时,需要主账号在云盾堡垒机控制台的子账号管理页面,单击解锁为其解锁后,才能继续登录。
  • 在15分钟内,子账号的MFA码连续4次输入错误。这种情况无法手动解锁,需要等待15分钟自动解锁。

本地用户如何配置双因子认证?

3.1.X版本中的双因子配置逻辑存在一些问题,后续版本会完善该配置。目前,请按照以下方式进行配置:
  1. 登录云盾堡垒机实例。
  2. 在左侧导航栏,选择系统 > 认证管理
  3. 单击双因子认证页签。
  4. 双因子认证页签下,配置认证方式。您可以选择以下认证方式:
    • 选中短信口令:开启密码和短信的双因子认证。开启短信口令认证
    • 选中密码,或同时选中密码短信口令:只开启密码认证,不开启双因子认证。开启密码认证
  5. 单击保存更改

如何使用共享账号?

堡垒机上托管的不同服务器有相同的主机账号时(账号名和密码都相同),您可以使用共享账号来简化管理。

创建共享账号后,选择绑定主机,即可将该账号添加到指定的服务器中。

已购买云盾堡垒机实例,为什么在控制台中的管理页面无法登录堡垒机实例?

无法登录可能是当前登录页面已过期,建议您刷新云盾堡垒机管理控制台页面后重新单击管理登录堡垒机实例。

金融云环境中如何登录堡垒机实例?例如,之前需要通过VPN访问服务器进行运维,将服务器接入堡垒机实例后是否仍需要通过VPN连接?

首先,您需要通过VPN连接才可以通过内网IP登录堡垒机实例。通过堡垒机实例登录目标服务器进行运维时,则不需要使用VPN,通过内网IP方式连接ECS云服务器即可。
说明 您需要确保堡垒机实例与目标服务器在同一专有网络VPC中。

登录堡垒机实例后,在一段时间内没有选择需要登录的ECS实例后自动断开,默认的超时时间是多久?是否支持自定义?

以下是不同方式连接堡垒机实例的超时时间说明:

  • 如果您通过RDP方式连接堡垒机实例,在选择服务器界面等待100秒后仍未登录ECS实例,将自动断开连接。
  • 如果您通过SSH方式连接堡垒机实例,在选择服务器界面等待10分钟后仍未登录ECS实例,将自动断开连接。

默认超时时间不支持更改。

通过堡垒机实例以RDP方式登录目标服务器遇到错误,应该如何处理?

错误信息如下:RDP方式登录目标服务器报错
提示该错误是由于该ECS服务器启用了网络级别的身份验证,您需要在目标服务器中进行以下配置后重新登录。RD会话主机配置远程设置

目前用于登录服务器的私钥是带有密码的,如何在凭据中输入私钥密码?

目前资产凭据不支持带有密码的私钥。

凭据是否必须是ECS服务器上的真实用户,还是创建凭据时堡垒机实例会自动在对应的ECS服务器中创建一个新用户?

凭据中设置的登录名必须是目标ECS服务器上已有的用户(如root),堡垒机实例本身不会对ECS服务器进行任何操作。

系统管理员如何给不同运维人员配置不同主机的运维权限?

云盾堡垒机实例的权限控制依赖于目标服务器的凭据权限。例如,您可以在授权组A中添加目标服务器的root权限凭据,在授权组B中添加目标服务器的普通权限凭据,这样在授权组A中的用户(运维人员)即具有目标服务器的root权限,而授权组B中的用户只拥有普通权限。

在云盾堡垒机实例中,如何设置通过内网IP登录ECS服务器?

您可以通过以下两种方式进行设置:
  • 通过设置单台服务器的连接IP配置:在云盾堡垒机实例中,定位到资产 > 服务器页面,选择目标服务器,单击配置连接IP,选择内网IP配置连接IP
  • 通过设置全局运维连接IP配置:在云盾堡垒机实例中,定位到设置页面,选中运维连接IP并选择内网IP设置运维连接IP

目标ECS服务器使用的不是SSH、RDP等协议的标准端口,云盾堡垒机实例该如何配置?

云盾堡垒机实例支持自定义运维端口,您可以通过以下方式进行设置:
  • 单台服务器配置:在云盾堡垒机实例中,定位到资产 > 服务器页面,选择目标服务器,单击修改端口,填写自定义的运维端口号。修改运维端口号
  • 全局配置:在云盾堡垒机实例中,定位到设置页面,选中运维端口,填写自定义的运维端口号。修改全局运维端口号

堡垒机实例中的审计录像能保存多久?

V2和V3.1版本堡垒机实例的审计录像一般可以保存半年以上,且支持手动删除。当堡垒机实例磁盘快满时,会自动清除最久的审计日志和录像。
说明 云盾堡垒机实例直接保存运维协议的原始数据,根据流量不同所占用的空间大小也不同。
  • SSH运维会话一般每天产生2 M左右日志数据。
  • 远程桌面(RDP)运维会话(1024 * 768分辨率)一般每小时产生2 M左右日志数据。

登录云盾堡垒机实例提示连接不安全?

该提示是由于自签名证书未被浏览器信任,并不会影响云盾堡垒机实例的安全性。

使用RDP运维,如何切换主机?

在使用RDP运维过程中想切换主机,您可以通过以下方式进行切换:
  1. 单击电脑桌面左下角的开始按钮。
  2. 在弹出的开始菜单中,单击电源按钮。
  3. 电源菜单中,单击断开连接断开连接
  4. 返回主机列表界面后,选择您要运维的主机并登录,即可完成主机切换。主机列表