文档

配置控制策略

更新时间:

堡垒机支持配置控制策略。您可以通过设置命令控制、命令审批、协议控制、访问控制策略等,对运维行为进行管控,有效防止用户进行高危命令操作或误操作,以保障运维安全。

步骤一:新建控制策略

  1. 登录堡垒机系统。具体操作,请参见登录系统

  2. 在左侧导航栏,单击控制策略

  3. 控制策略页面,单击新建控制策略

  4. 新建控制策略页面,配置控制策略的名称、优先级、命令控制、命令审批、协议控制、访问控制以及运维审批,单击新建控制策略

    配置项

    说明

    名称

    自定义控制策略名称。规则如下:

    • 长度为1~128个字符。

    • 不能以特殊字符开头。

    • 仅可包含特殊字符中的半角句号(.)、下划线(_)、短划线(-)、反斜线(\)以及空格。

    优先级

    配置控制策略优先级。

    • 优先级可设置范围:1~100。默认值为1,即最高优先级。

    • 不同控制策略可以设置相同的优先级。多个控制策略的优先级相同时,最新创建的策略优先级最高,在一条策略中,若命令控制和命令审批里设置有相同的命令,则优先级从高到低是:拒绝 > 允许 >审批。

    命令控制

    说明

    仅适用于Linux主机。

    配置在当前策略生效用户和主机中,允许或禁止执行的命令。

    • 命令控制类型

      • (黑名单)不允许执行以下命令:选择黑名单后,命令控制列表可以为空。在当前策略生效用户和主机中,不允许执行黑名单命令列表中的命令。

      • (白名单)只允许执行以下命令:选择白名单后,命令列表为必填项。在当前策略生效用户和主机中,只允许执行白名单命令列表中的命令。

    • 命令列表:有关命令策略的推荐模板,请参见命令策略推荐模板

    命令审批

    说明

    仅适用于Linux主机。

    配置执行需要审批的命令。

    如果用户执行了已配置在命令审批命令列表中的命令,您可以在堡垒机控制台对该命令是否执行进行审批。审批允许后该命令会被执行,审批拒绝后该命令不生效。关于命令审批的更多信息,请参见命令审批

    命令审批对命令控制(白名单或黑名单)以外的命令生效。命令控制策略生效的优先级高于命令审批。

    协议控制

    配置控制策略的RDP选项SSH选项以及SFTP选项

    选中协议控制项表示允许该操作,未选中表示不允许进行相应操作。例如,选中文件上传,表示允许执行上传文件操作。

    重要
    • SSH通道和SFTP通道必须至少开启一项。取消勾选SSH通道后,将无法通过SSH权限登录资产账户,请谨慎配置。

    • 如果您为主机账户开启仅开启SFTP权限,请勿在控制策略里为该账户关闭SSH通道及SFTP通道,否则将无法通过堡垒机使用该主机账户访问目标服务器。

    访问控制

    配置来源IP是否可以访问当前策略生效的主机。

    • (白名单)只允许以下IP:如果选择白名单,IP列表为必填项。只允许白名单中的来源IP访问当前策略生效的主机。

    • (黑名单)不允许以下IP:如果选择黑名单,IP列表可以为空。不允许黑名单中的来源IP访问当前策略生效的主机。

    运维审批

    开启后,运维人员登录资产时,需由管理员审批通过,才能进行运维。关于运维审批的更多信息,请参见运维审批

步骤二:关联资产及用户

关联资产/用户页面,您需要同时为该策略关联资产及用户,使该策略在相应资产及用户上生效。

  1. 为该策略关联资产。支持选择策略针对所有资产生效策略针对已选择的资产生效

    • 选择策略针对所有资产生效,默认对所有资产账户生效。

    • 选择策略针对已选择的资产生效,在关联资产后,可选择关联所有账户或者关联指定账户。

    说明

    如果需要通过控制策略批量关联资产或者资产账户,可以先将资产批量添加到资产组,再进行批量关联。

  2. 为该策略关联用户。支持选择策略针对所有用户生效策略针对已选择的用户生效

命令策略推荐模板

下表介绍命令策略推荐配置的命令、描述以及推荐策略模板。您可以参照该表,配置命令控制和命令审批。

命令

描述

推荐策略

reboot

重启

命令审批

restart

重启

命令审批

shutdown

关闭系统

命令审批

halt

关闭系统

命令审批

poweroff

关闭系统

命令审批

init 0

停机

命令审批

pkill

批量杀死进程

命令审批

kill

杀死单个进程

命令审批

rm -rf

递归强制删除,忽视提示

命令审批

mount

挂载文件系统,有病毒拷贝危险

命令审批

umount

卸载文件系统

命令审批

parted

文件系统分区

命令审批

format

格式化

黑名单命令

dd if=/dev/zero of=/dev/had

硬盘清零

黑名单命令

:(){:|:&};:

fork炸弹

黑名单命令

(mv)(|.*)(/dev/null)

移动目录至黑洞

黑名单命令

(wget)(|.*)(-O- \| sh)

下载后直接执行

黑名单命令

mkfs.ext3 *

格式化

黑名单命令

dd if=/dev/random of=/dev/*

向块设备中随机写入数据

黑名单命令

控制策略功能视频演示