本文介绍您在使用运维安全中心(堡垒机)前需要了解的一些相关注意事项。
使用堡垒机分配的域名地址进行运维
为了解决动态IP的问题,堡垒机提供固定的公网或私网域名连接堡垒机,我们建议您使用堡垒机分配的域名地址进行连接运维,避免因IP地址发生变化而无法运维。
通过内网进入运维门户限制
堡垒机本地用户、AD/LDAP用户目前不支持通过内网地址进入运维门户进行网页方式运维、申请运维令牌、更改密码等操作。
支持纯内网登录堡垒机或服务器。具体操作,请参见内网安全运维最佳实践。
RAM用户可以在控制台管理页面进行网页方式运维及申请运维令牌。具体操作,请参见网页运维。
运维客户端工具及版本限制
由于远程连接堡垒机的客户端工具及版本较多,实际运维场景较为复杂,因此请您使用堡垒机兼容的客户端远程连接工具进行运维,防止出现连接失败或者影响系统稳定性的情况。兼容的客户端工具以及版本列表,请参见客户端远程连接工具及版本。
OpenSSH版本限制
堡垒机目前对OpenSSH 8.7及以下版本的客户端及服务器兼容性较高。若您客户端或服务器的OpenSSH版本为8.8及以上,可能会出现运维失败的情况。您可以手动进行配置相关文件避免该问题,具体操作,请参见密码与密钥相关问题。
堡垒机用户名字符长度限制
由于客户端限制,进行RDP协议运维时,堡垒机用户名不能超过63字符,若超过63字符,只能通过网页运维方式登录服务器。具体操作,请参见网页运维。
RAM用户双因子认证
RAM用户目前沿用访问控制设置,不支持MFA(Multi Factor Authentication)之外的其他双因子认证方式。
如果需要为RAM用户设置双因子认证,您可以登录RAM访问控制台,设置RAM用户的多因素认证MFA。具体操作,请参见为阿里云账号绑定MFA设备。
针对非RAM用户,例如本地用户、AD/LDAP用户,支持短信、邮件、钉钉工作消息通知或者OTP令牌认证发送动态验证码进行双因子认证。
运维地址通知短信限制
受运营商限制,国际站堡垒机向中国内地手机号码(+86)发送堡垒机运维地址通知短信,可能会被拦截。在该场景下,建议您使用邮箱认证。
短信双因子认证、消息通知等其他发送短信通知的功能不受限制。
- 本页导读 (1)