本文將指導堡壘機管理員在開通V2版本堡壘機實例后,快速部署主機資產、堡壘機用戶、運維授權,并使用堡壘機實現運維和審計查詢。

使用限制

云盾堡壘機系統支持通過SSH、SFTP、Windows遠程桌面等協議的方式代理接入授權的服務器,并實現全程錄像。同時,支持使用Xshell、SecureCRT、PuTTY等標準客戶端工具對授權的服務器直接進行運維連接。

使用云盾堡壘機服務前,您需要注意以下內容:
  • 所有接入堡壘機實例的ECS云服務器,需要正常開機并保持運行中狀態。
  • 堡壘機和服務器必須網絡端口可達(公網或者內網均可)。

使用流程

在使用V2版本堡壘機時,您可以按照以下步驟進行操作:
任務 描述
步驟1:同步阿里云ECS 在使用堡壘機進行主機運維前,管理員需要在堡壘機實例中添加要管理的主機資產。在該任務中,管理員將在堡壘機實例中同步導入當前阿里云賬號下的ECS資產。
步驟2:新建本地用戶 在使用堡壘機進行主機運維前,管理員需要在堡壘機實例中創建堡壘機用戶,即登錄堡壘機進行主機運維的用戶。在該任務中,管理員將在堡壘機實例中新建本地運維用戶。
步驟3:為用戶授權 在使用堡壘機進行主機運維前,管理員需要創建授權組,將指定資產、憑據、用戶和控制策略關聯在一起,即授權指定用戶通過憑據運維指定資產。在該任務中,管理員將在堡壘機實例中創建并配置授權組。
步驟4:運維及審計查詢 當堡壘機用戶通過SSH、RDP、SFTP協議方式登錄云盾堡壘機并對已授權服務器進行運維操作時,管理員可以在云盾堡壘機Web管理頁面查看用戶會話的詳細信息。在該任務中,管理員將在堡壘機實例中進行審計查詢。

名詞解釋

對象

云盾堡壘機有三種對象,分別是用戶、主機、和憑據。
  • 用戶代表技術工程師,也就是自然人,登錄堡壘機時用戶名即為手機號碼。
  • 主機是您在阿里云上的ECS實例。
  • 憑據是用于登錄ECS實例的用戶名、密碼或用戶密鑰。其中,憑據名稱用于辨識不同的憑據;登錄名為要登錄的ECS上的用戶名(例如administrator、root);密碼或密鑰為該用戶的密碼或密鑰。

授權組

授權組是將堡壘機中數個獨立的對象個體聯系在一起的概念,通過授權組功能可以達到控制某個用戶只能訪問其權限內主機的目的。假設您單位的運維模型如下:

您在阿里云上共10個ECS實例,其中:
  • 應用服務器2個(APP1、APP2)
  • 數據庫服務器2個(DB1、DB2)
  • 中間件服務器2個(M1、M2)
  • 開發測試服務器4個(TEST1-4)
您單位共有三類工作人員:
  • 開發人員(devuser):負責開發產品原型,以及測試。
  • 運維人員(opsuser):負責維護線上服務器和應用系統。
  • 管理員(adminuser):全面協調公司內部技術人員工作,并定期進行審計。
您在ECS實例中使用三種主機賬號:
  • dev(不能sudo)
  • ops (可以sudo)
  • shadow_r00t (可以sudo)
在此模型下,您可以按照如下策略配置授權關系:
個人賬號 ECS主機 主機賬號 說明
devuser TEST1-4 dev 開發人員只能使用開發機,且使用不能sudo的賬號防止基礎系統配置被改。
opsuser APP1、APP2、DB1、DB2、M1、M2 ops 運維人員使用可以sudo權限的賬號維護主機基礎系統配置。
adminuser 所有 shadow_r00t 管理員使用可以sudo的賬號登錄系統。

這樣就可以通過授權組實現職責明晰的技術管理策略:開發人員對開發測試服務器有完全的控制權限;運維人員控制生產機;管理員則可以訪問所有設備并通過云盾堡壘機Web管理頁面進行審計。

運維

云盾堡壘機的運維操作可以通過連接協議代理端口實現,現有規則表如下:
運維協議 端口號 四層協議
SSH 60022 TCP
Windows遠程桌面 63389 TCP
SFTP 60022 TCP
FTP 60021 TCP
VNC 5900 TCP
Windows遠程桌面網關 44300 TCP

您可以使用標準協議客戶端如Xshell、SecureCRT、PuTTY、Windows遠程桌面客戶端直接連接上述端口號,并通過堡壘機用戶名、密碼登錄,連接后根據提示進行下一步操作。

審計

云盾堡壘機的審計分為兩種,分別是實時監控和錄像回放。
  • 實時審計專注于事中控制,可以通過云盾堡壘機管理平臺隨時切入某個運維會話查看現場操作。
  • 錄像回放專注于事后審計,主要用于已經結束的會話進行錄像回放或命令檢索,檢索可以使用時間段、手機號、主機IP地址、ECS實例ID、協議類型等條件篩選結果,還可以通過曾經執行過的命令進行全局檢索,并自動跳轉到這條命令的會話和時間段播放。