堡垒机支持配置控制策略,您可以通过设置命令、协议控制、访问控制和登录控制策略等,对运维行为进行管控,从而有效防止用户执行高危命令操作或发生误操作,以保障运维安全。
步骤一:新建控制策略
登录堡垒机控制台,在顶部菜单栏,选择堡垒机所在的地域。
在堡垒机实例列表,定位到目标实例,单击管理。
在左侧导航栏,单击控制策略。
在控制策略页面,单击新建控制策略。
在新建控制策略页面,配置相关控制策略,单击新建控制策略。
命令策略
主机命令策略 | 需要控制命令列表 | 配置在当前策略生效的用户和主机中,允许或禁止执行的命令。 有关主机控制命令策略的推荐模板,请参见主机命令策略推荐模板。 |
需要审批命令列表 | 如果用户执行了需要审批的命令,管理员需在堡垒机控制台对该命令是否执行进行审批。审批允许后该命令会被执行,审批拒绝后该命令不生效。关于命令审批的更多信息,请参见命令审批。 |
数据库命令策略 | 需要控制命令列表 | |
主机命令策略推荐模板
下表介绍主机控制命令策略推荐配置的命令以及推荐策略模板。
命令 | 描述 | 推荐策略 |
reboot | 重启 | 命令审批 |
restart | 重启 | 命令审批 |
shutdown | 关闭系统 | 命令审批 |
halt | 关闭系统 | 命令审批 |
poweroff | 关闭系统 | 命令审批 |
init 0 | 停机 | 命令审批 |
pkill | 批量杀死进程 | 命令审批 |
kill | 杀死单个进程 | 命令审批 |
rm -rf | 递归强制删除,忽视提示 | 命令审批 |
mount | 挂载文件系统,有病毒拷贝危险 | 命令审批 |
umount | 卸载文件系统 | 命令审批 |
parted | 文件系统分区 | 命令审批 |
format | 格式化 | 黑名单命令 |
dd if=/dev/zero of=/dev/had | 硬盘清零 | 黑名单命令 |
:(){:|:&};: | fork炸弹 | 黑名单命令 |
(mv)(|.*)(/dev/null) | 移动目录至黑洞 | 黑名单命令 |
(wget)(|.*)(-O- \| sh) | 下载后直接执行 | 黑名单命令 |
mkfs.ext3 * | 格式化 | 黑名单命令 |
dd if=/dev/random of=/dev/* | 向块设备中随机写入数据 | 黑名单命令 |
协议控制
配置控制策略的RDP选项、SSH选项以及SFTP选项。
选中协议控制项表示允许该操作,未选中表示不允许进行相应操作。例如,选中文件上传,表示允许执行上传文件操作。
步骤二:关联资产及用户
在关联资产/用户页面,您需要同时为该策略关联资产及用户,使该策略在相应资产及用户上生效。
为该策略关联资产。支持选择策略针对所有资产生效或策略针对已选择的资产生效。
说明 如果需要通过控制策略批量关联资产或者资产账户,可以先将资产添加到资产组,再进行批量关联。
为该策略关联用户。支持选择策略针对所有用户生效或策略针对已选择的用户生效。
