本文介绍堡垒机的常见术语。
基本对象
云盾堡垒机有五种对象,分别是用户、服务器、服务器组、凭据、控制策略。
- 用户:代表技术工程师,也就是自然人,云盾堡垒机目前有本地用户、云子账号用户、 AD/LDAP用户。
- 服务器:是您在阿里云上的ECS实例。
- 服务器组:是多个服务器的组合,方便归类管理,统一授权。
- 凭据:是用于登录ECS实例的用户名、密码或用户密钥。以下是凭据的相关说明:
- 凭据名称用于辨识不同的凭据。
- 登录名为要登录的ECS上的用户名(例如administrator、root)。
- 密码或密钥为该用户的密码或密钥。
- 控制策略:用于对运维操作行为做策略控制。云盾堡垒机支持RDP协议上传下载控制、来源IP控制、访问时间段控制、SSH命令控制。
授权组
授权组是将堡垒机中数个独立的对象联系在一起的概念,通过授权组功能可以达到控制某个用户只能访问他权限内服务器的目的。
以下通过示例帮助您更好地理解授权组的概念:
您在阿里云上共10个ECS实例,其中:
- 应用服务器2个(APP1、APP2)
- 数据库服务器2个(DB1、DB2)
- 中间件服务器2个(M1、M2)
- 开发测试服务器4个(TEST1-4)
您单位共有三类工作人员:
- 开发人员(devuser):负责开发产品原型以及测试
- 运维人员(opsuser):负责维护线上服务器和应用系统
- 管理员(adminuser):全面协调公司内部技术人员工作,并定期进行审计
您在ECS实例中使用三种主机账号:
- dev(不能sudo)
- ops(可以sudo)
- shadow_r00t(可以sudo)
在这样的情况下,您可以按照如下策略配置授权关系:
| 云盾账号 | ECS主机 | 主机账号 | 说明 |
|---|---|---|---|
| devuser | TEST1-4 | dev | 开发人员只能使用开发机,且使用不能sudo的账号防止基础系统配置被篡改。 |
| opsuser | APP1、APP2、DB1、DB2、M1、M2 | ops | 运维人员使用可以sudo的账号维护主机基础系统配置。 |
| adminuser | 所有 | shadow_r00t | 管理员使用可以sudo的账号登录系统。 |
根据这样的授权关系配置进行授权组配置就可以实现职责明晰的技术管理策略:
- 开发人员对开发测试服务器有完全的控制权限。
- 运维人员控制生产服务器。
- 管理员可以访问所有设备,并通过云盾堡垒机Web管理页面进行审计。
关于详细授权组操作步骤,请参考授权组管理。
运维
云盾堡垒机的运维操作可以通过连接协议代理端口实现。
默认链接协议规则如下表:
| 运维协议 | 端口号 | 四层协议 |
|---|---|---|
| SSH | 60022 | TCP |
| Windows远程桌面 | 63389 | TCP |
| SFTP | 60022 | TCP |
您可以使用标准协议客户端(如 Xshell、SecureCRT、PuTTY、及Windows 远程桌面客户端等工具)直接连接规则表中的端口号,并使用堡垒机用户名、密码进行登录。成功登录堡垒机后,根据提示即可对授权服务器进行相关运维操作。
关于登录堡垒机进行运维的详细操作步骤,请参考:
审计
云盾堡垒机的审计分为两种:实时监控和录像回放。
- 实时审计:专注于事中控制,您可以通过云盾堡垒机Web管理页面随时切入某个运维会话查看现场操作。
- 录像回放:专注于事后审计,主要用于对已经结束的会话进行录像回放或命令检索。支持通过时间段、手机号、服务器 IP、ECS 实例 ID、协议类型等条件进行筛选,还支持通过曾经执行过的命令进行全局检索,并自动跳转到执行这条命令的会话和时间段进行回放。
关于审计相关的详细操作步骤,请参考: