配置控制策略

步骤一：新建控制策略

1. 登录堡垒机控制台，在顶部菜单栏，选择堡垒机所在的地域。

2. 在堡垒机实例列表，定位到目标实例，单击管理。

3. 在左侧导航栏，单击控制策略。

4. 在控制策略页面，单击新建控制策略。

5. 在新建控制策略页面，配置以下信息后，单击页面右下角的新建控制策略。

   优先级

   • 优先级可设置范围：1~100。默认值为1，即最高优先级。

   • 不同控制策略可以设置相同的优先级。多个控制策略的优先级相同时，最新创建的策略优先级最高。在一条策略中，若控制命令和审批命令里设置有相同的命令，则优先级从高到低是：拒绝 > 允许 >审批。

   命令策略

   主机命令策略	需要控制命令列表 说明 仅适用于Linux主机。	配置在当前策略生效的用户和主机中，允许或禁止执行的命令。 (黑名单)不允许执行以下命令：选择黑名单后，控制命令列表可以为空。在当前策略生效的用户和主机，不允许执行黑名单命令列表中的命令。 (白名单)只允许执行以下命令：选择白名单后，控制命令列表为必填项。在当前策略生效的用户和主机，只允许执行白名单命令列表中的命令。 有关主机控制命令策略的推荐模板，请参见主机命令策略推荐模板。
   	需要审批命令列表	如果用户执行了需要审批的命令，管理员需在堡垒机控制台对该命令是否执行进行审批。审批允许后该命令会被执行，审批拒绝后该命令不生效。关于命令审批的更多信息，请参见命令审批。 说明 控制命令生效的优先级高于审批命令。
   数据库命令策略	需要控制命令列表	(黑名单)不允许执行以下命令：选择黑名单后，控制命令列表可以为空。在当前策略生效的用户和数据库，不允许执行黑名单命令列表中的命令。 (白名单)只允许执行以下命令：选择白名单后，命令列表为必填项。在当前策略生效的用户和数据库，只允许执行白名单命令列表中的命令。 匹配方式：支持SQL解析和正则匹配。

   主机命令策略推荐模板

   下表介绍主机控制命令策略推荐配置的命令以及推荐策略模板。

   命令	描述	推荐策略
   reboot	重启	命令审批
   restart	重启	命令审批
   shutdown	关闭系统	命令审批
   halt	关闭系统	命令审批
   poweroff	关闭系统	命令审批
   init 0	停机	命令审批
   pkill	批量杀死进程	命令审批
   kill	杀死单个进程	命令审批
   rm -rf	递归强制删除，忽视提示	命令审批
   mount	挂载文件系统，有病毒拷贝危险	命令审批
   umount	卸载文件系统	命令审批
   parted	文件系统分区	命令审批
   format	格式化	黑名单命令
   dd if=/dev/zero of=/dev/had	硬盘清零	黑名单命令
   :(){:|:&};:	fork炸弹	黑名单命令
   (mv)(|.*)(/dev/null)	移动目录至黑洞	黑名单命令
   (wget)(|.*)(-O- \| sh)	下载后直接执行	黑名单命令
   mkfs.ext3 *	格式化	黑名单命令
   dd if=/dev/random of=/dev/*	向块设备中随机写入数据	黑名单命令

   协议控制

   配置控制策略的RDP选项、SSH选项以及SFTP选项。选中协议控制项表示允许该操作，未选中表示不允许进行相应操作。例如，选中文件上传，表示允许执行上传文件操作。

   协议选项	配置项	说明
   RDP选项	键盘记录	勾选后，可以针对RDP协议运维时的键盘操作进行审计，在图像文字界面可以查看审计具体内容。
   	驱动器/打印机映射	管控RDP协议运维时可以映射驱动器、打印机和磁盘。
   	磁盘映射方式下载文件	管控RDP协议运维时可以通过磁盘映射方式下载文件。
   	磁盘映射方式上传文件	管控RDP协议运维时可以通过磁盘映射方式上传文件。
   	粘贴板下载	管控RDP协议运维时通过粘贴板下载文件或文字的操作。
   	粘贴板上传	管控RDP协议运维时通过粘贴板上传文件或文字的操作。
   SSH选项	X11转发	管控SSH协议运维时是否可以进行X11转发。
   	远程执行命令	管控是否可以在命令行模式下，通过SSH连接堡垒机的指定主机并执行相应的命令。具体操作可参见堡垒机支持远程命令运维说明
   	SFTP通道	取消勾选本项后，将无法进行SFTP协议连接。
   	SSH通道	取消勾选本项后，将无法进行数据库运维和通过SSH权限登录资产账户。 重要 SSH通道和SFTP通道必须至少开启一项。取消勾选SSH通道后，将无法通过SSH权限登录资产账户，请谨慎配置。 若主机账户配置仅开启SFTP权限，请勿在控制策略里为该账户关闭SSH通道及SFTP通道，否则将无法通过堡垒机使用该主机账户访问目标服务器。
   	SSH正反向隧道	开启后，即可使用VSCode、Cursor工具运维SSH账户。 重要 通过VSCode和Cursor工具运维时，堡垒机无法管控和审计执行的命令，请谨慎开启。
   SFTP选项	文件上传	管控SFTP协议运维文件上传的操作。
   	文件下载	管控SFTP协议运维文件下载的操作。
   	删除文件	管控SFTP协议运维删除文件的操作。
   	文件重命名	管控SFTP协议重命名文件的操作。
   	创建文件夹	管控SFTP协议创建文件夹的操作。
   	删除文件夹	管控SFTP协议运维删除文件夹的操作。

   访问控制

   配置来源IP是否可以访问当前策略生效的主机。

   • (白名单)只允许以下IP：如果选择白名单，IP列表为必填项。只允许白名单中的来源IP访问当前策略生效的主机。

   • (黑名单)不允许以下IP：如果选择黑名单，IP列表可以为空。不允许黑名单中的来源IP访问当前策略生效的主机。

   登录控制

   • 运维审批：开启后，运维员登录资产时，需由管理员审批通过，才能进行运维。关于运维审批的更多信息，请参见运维审批。

   • 登录备注：启用登录备注后，运维员在网页运维、单点登录运维以及申请运维令牌时，需先填写备注。通过运维门户运维资产时的登录备注如下图：

     

步骤二：关联资产及用户

在关联资产/用户页面，您需要同时为该策略关联资产及用户，使该策略在相应资产及用户上生效。

1. 为该策略关联资产。支持选择策略针对所有资产生效或策略针对已选择的资产生效。

   • 选择策略针对所有资产生效，默认对所有资产账户生效。

   • 选择策略针对已选择的资产生效，在关联资产后，可选择关联所有账户或者关联指定账户。

   说明

   如果需要通过控制策略批量关联资产或者资产账户，可以先将资产添加到资产组，再进行批量关联。

2. 为该策略关联用户。支持选择策略针对所有用户生效或策略针对已选择的用户生效。

控制策略功能视频演示