手册下载
目 录
14.4 配置网络参数(Network Configuration)
14.8 配置Console控制台登录控制(SSHD Management)
14.9 配置Host头防护(Nginx Management)
本文档详细介绍运维审计系统的各种功能特性,内容包括运维审计系统的特性介绍和操作指导。
本文档适用于运维审计系统的管理员和操作员等多种用户角色,请根据自己的操作角色,参考权限列表,阅读相应的指导,或者在实际操作中有疑问时查阅本文档。
格式 | 说明 |
---|---|
粗体 | 各类界面控件名称采用加粗字体表示,如单击确定。 |
> | 多级菜单用 > 隔开。如选择用户管理菜单下的用户列表子菜单。 | ,表示选择
运维审计系统为了解决用户身份识别问题,为每一个用户创建一个身份认证帐号,用于平台身份鉴别,并借助访问权限将平台身份帐号与相应资产中系统帐号一一关联,实现用户操作与其身份相关联。
运维审计系统中每一个创建的帐号,都需要设置为以下几种角色之一。不同的角色拥有不同的管理和访问权限。
帐号角色 | 角色描述 |
---|---|
超级管理员 | 运维审计系统最高权限角色,除了具备配置管理员、审计管理员等其他角色的权限,还可做基础设置和全局属性配置。 |
配置管理员 | 运维审计系统的配置管理角色,可以配置用户、资产、访问权限。 |
审计管理员 | 运维审计系统中的审计角色,拥有所管理的审计系统中所有的会话和事件的权限。 |
自动化管理员 | 运维审计系统中的自动化管理角色。 |
操作员 | 运维审计系统中对各种资产和设备进行实际操作的角色,即普通用户。 |
由于不同的角色类型对应不同的操作权限,因此本文档所列出的各种操作,只能由拥有权限的部分角色执行。
请不同用户根据自己的角色类型,查阅下面的权限列表,查找到当前用户角色所允许的操作有哪些,并查看这些操作所对应的操作指导:
操作 | 超级管理员 | 配置管理员 | 审计管理员 | 自动化管理员 | 操作员 | |
---|---|---|---|---|---|---|
管理 | 用户管理 | √ | √ | × | × | × |
资产管理 | √ | √ | × | √ | × | |
权限管理 | √ | √ | × | × | × | |
访问 | 资产访问 | √ | √ | × | √ | √ |
文件传输 | √ | √ | × | √ | √ | |
高危操作 | √ | √ | × | × | √ | |
审计 | √ | × | √ | × | × | |
报表 | √ | √ | √ | × | × | |
自动化 | √ | √ | × | √ | × | |
工单 | √ | √ | √ | √ | √ | |
帐号改密 | √ | √ | × | √ | × | |
个人设置 | √ | √ | √ | √ | √ | |
系统配置 | √ | × | × | × | × |
“√”表示拥有该项操作的权限;“×”表示没有该项操作的权限。
运维审计系统支持Web界面、RDP登录、SSH登录三种登录方式。管理员和普通用户可以通过Web方式完成大部分的日常操作;普通用户如果需要快速运维Windows资产可以使用RDP登录;普通用户如果需要快速访问允许通过ssh或者telnet访问的资产可以使用SSH登录。
运维审计系统默认的IP地址为:192.168.0.1/24,登录帐号为admin,密码为admin。为了系统安全,请在初次登录后,及时修改密码并妥善保存。
Web界面是运维审计系统最主要的访问入口,管理员、操作员、审计员都需要登录Web界面,并完成在运维审计系统的各项操作。
客户端环境要求
本地PC客户端环境必须具备下列基本要求,才能够按照本文档的指引完成各项操作任务。
项目 | 要求 |
---|---|
操作系统 |
|
浏览器 |
Note: 浏览器请使用默认设置。如果调整了浏览器设置(例如开启最小字体限制),可能会导致页面显示异常。
|
国密浏览器 |
Note: 浏览器请使用默认设置。如果调整了浏览器设置(例如开启最小字体限制),可能会导致页面显示异常。
|
显示器/浏览器分辨率 | 建议最小为1280*1080(系统的缩放设置为100%时)。 Note: 如使用更小的分辨率,或系统缩放大于100%,可以降低浏览器的缩放比率,使Web界面所有内容能够全部正常显示。
|
使用手机令牌方式登录:手机令牌只能作为双因子认证中的第二重认证方式。
在登录界面的密码输入框中输入第一重认证的密码,单击登录认证成功后,会弹出两步认证密码输入框,继续输入第二重认证的密码并单击提交完成认证。
操作员可以通过RDP的方式登录到运维审计系统,从而直接打开图形会话对设备进行操作。
RDP登录到运维审计系统之后只能执行资产/设备访问操作,不能对运维审计系统进行管理,并且只能看到当前帐号拥有访问权限且支持RDP访问的资产/设备。
本文以装有Windows系统的本地PC为例进行介绍。
操作员可以通过SSH的方式登录到运维审计系统交互终端,从而直接建立Telnet/SSH字符会话对设备进行操作。
通过SSH登录到运维审计系统之后只能执行资产/设备访问操作,不能对运维审计系统进行管理,并且只能看到当前帐号拥有访问权限且支持SSH访问的资产/设备。
本文以Xshell为例介绍登录步骤,Putty的配置与Xshell基本相同。
访问运维审计系统的Web界面时,如果提示证书错误,请安装运维审计系统的安全证书。
在使用运维审计系统访问资产时,除了通过Web方式建立图形会话,其他场景下运维审计系统都会通过AccessClient打开会话。
运维审计系统的Web界面提供了帮助页面,包括查看软件版本、管理软件包和用户手册等。
在运维审计系统的Web界面可以获取软件版本号和各组件的版本信息。
超级管理员和自定义角色中包含系统设置权限的用户可以上传用户手册和软件包,也可以删除过时或者错误的内容;所有用户可以下载用户手册和软件包。
单击上传,从本地PC选择用户手册上传到运维审计系统。
项目 | 描述 |
---|---|
大小 | 每个文件不超过100MB。 |
格式 |
|
文件名 | 字符串格式,最大长度为85个字符,建议使用中英文字符和数字。上传后文件名不能再被修改。 |
单击某个用户手册对应的删除,删除该手册。
单击某个用户手册对应的下载,下载该手册。
单击上传,从本地PC选择软件包上传到运维审计系统。
项目 | 描述 |
---|---|
大小 | 每个文件不超过500MB。 |
文件名 | 字符串格式,最大长度为85个字符,建议使用中英文字符和数字。上传后文件名不能再被修改。 |
单击某个软件包对应的删除,删除该软件包。
单击某个软件包对应的下载,下载该软件包。
用户是指运维审计系统的使用者,包含帐号、角色、身份验证方式等多种属性。运维审计系统支持多种用户配置方式。
按照权限范围的大小,运维审计系统将用户划分为多种不同的角色。运维审计系统缺省提供的用户角色如下,运维审计系统支持自定义新的用户角色。
运维审计系统缺省提供了一个超级管理员角色的用户admin(缺省密码也是admin),请再根据实际情况创建不同角色的用户。
创建用户时,运维审计系统缺省提供的预定义用户属性如表3.1 预定义用户属性所示。如果运维审计系统预定义用户属性不满足需求,可以自定义用户属性。
属性 | 说明 |
---|---|
帐号 | 用户的帐号,用来唯一标识用户。 |
姓名 | 用户的姓名,用户登录Web界面后,姓名会显示在Web界面的右上角。 |
身份验证 | 用户的身份验证方式。运维审计系统缺省支持的是本地密码,即用户身份验证功能由运维审计系统完成。如果已部署了AD、LDAP、RADIUS等认证服务器,运维审计系统支持与这些第三方认证服务器对接完成身份验证。除此之外,运维审计系统还支持手机令牌、双因子认证和X.509证书认证。 |
手机号码 | 用户的手机号码。 |
工作邮箱 | 用户的工作邮箱,用来接收密码、改密通知等各种信息。 |
用户组 | 用户所属的用户组。用户组是用户的一种组织形式,相同权限的用户可以划分到同一个分组。配置用户的权限时就能够以用户组为单位而不是用户,可有效减轻配置负担。 |
部门 | 用户所属的部门。 |
状态 | 用户的状态,包括活动和禁用,缺省为活动。 |
帐号有效期 | 用户帐号的有效期。帐号过期后,用户登录运维审计系统会提示帐号状态异常。 |
密码有效期 | 用户密码的有效期。密码过期后,用户必须修改密码才能重新登录。 |
用户登录控制 | 允许或者禁止用户登录的时间和IP地址范围。 |
备注 | 用户的备注信息。 |
对于用户组,支持手工创建和批量导入两种创建方式。在批量导入用户中设置好用户组,创建用户的同时也创建了用户组。
在运维审计系统的Web界面上手工设置用户属性,逐个创建用户。
超级管理员可以创建所有角色的用户,配置管理员可以创建操作员角色的用户。
参数 | 说明 |
---|---|
帐号 | 用户的帐号。字符串格式,长度范围是1~200个字符,不能包含"+"、":"、"/"、空格和中文字符。 |
姓名 | 用户的姓名。字符串格式,长度范围是1~200个字符。 |
身份验证 | 用户的身份验证方式,缺省值为本地密码。 如果要修改本地密码的最小长度、复杂程度等参数时,请参见登录认证:配置本地密码参数。 |
Web登录是否验证X.509证书 | 配置X.509证书认证后,新建/修改用户时就可以选择是否验证X.509证书。 |
参数 | 说明 |
---|---|
密码类型 | 设置本地密码的方式,包括:
本地密码的最小长度、复杂度、有效期限等配置请参见登录认证:配置本地密码参数。 |
下次登录时必须修改密码 | 如果选中,用户首次登录时需要修改密码。缺省为选中。 |
以RADIUS为例,如果上一步配置的帐号与RADIUS服务器上的用户名相同,可以不配置RADIUS用户名,运维审计系统缺省以上一步配置的帐号登录RADIUS服务器;如果帐号和RADIUS用户名不同,请在RADIUS用户名输入RADIUS服务器上的用户名,这样就建立起运维审计系统帐号和RADIUS服务器用户名之间的关联关系。用户使用运维审计系统帐号登录后自动使用关联的RADIUS用户名登录RADIUS服务器。
AD/LADP服务器的LDAP用户名情况与RADIUS相同。
参数 | 说明 |
---|---|
令牌号 | 请选择运维审计系统已添加的动态令牌。如何配置动态令牌请参见配置动态令牌。 |
PIN1/确认PIN1 | 用户自己登录运维审计系统使用PIN1码+动态密码。 PIN码的最小长度、复杂度、有效期限与本地密码相同,具体等配置请参见登录认证:配置本地密码参数。 |
PIN2/确认PIN2 | 在会话复核中,包含动态令牌身份验证的用户作为复核人,当操作用户发起会话时,复核人和操作用户都会收到通知消息。如果复核人不方便执行复核操作,可以将PIN2码+动态密码告诉操作用户。操作用户打开通知消息,输入PIN2码+动态密码即可完成复核。具体请参见执行高危操作。 |
下次登录时必须修改PIN1码 | 如果选中,用户首次登录时需要修改PIN1码。 |
创建CAS认证的用户。开启CAS认证功能后,系统默认关闭自动创建CAS用户功能,即只有已经在运维审计系统中存在的用户,才能正常登录。开启自动创建CAS用户功能后,通过CAS认证的用户会自动在运维审计系统中创建(角色为操作员),不需要手工创建。
创建SAML认证的用户。开启SAML认证功能后,系统默认关闭自动创建SAML用户功能,即只有已经在运维审计系统中存在的用户,才能正常登录。开启自动创建SAML用户功能后,通过SAML认证的用户会自动在运维审计系统中创建(角色为操作员),不需要手工创建。
运维审计系统支持从Excel文件中批量导入用户。导入运维审计系统的用户缺省角色是操作员,状态是活动。
本地密码或者包含本地密码的双因子身份验证方式:
参数 | 说明 |
---|---|
Web登录是否验证X.509证书 | 配置X.509证书认证后,导入用户时就可以选择是否验证X.509证书。 |
设置密码 |
|
密码有效期 | 密码的有效期。取值包括:不限、30天、90天、180天、360天、同系统配置。缺省值为同系统配置。 密码有效期的系统配置和过期处理方式请参见登录认证:配置本地密码参数。 |
帐号有效期 | 帐号在运维审计系统上的有效期限。取值包括:
如果选择指定日期有效,请选择生效开始和结束日期、时和分。 用户的帐号到期时,状态显示为帐号过期,在线会话会被切断,用户登录时提示帐号状态异常,无法登录。 对于已经过期的帐号,管理员可以修改帐号的有效期,修改后立即生效。 |
RADIUS和AD/LDAP等第三方服务器身份验证方式:
参数 | 说明 |
---|---|
Web登录是否验证X.509证书 | 配置X.509证书认证后,导入用户时就可以选择是否验证X.509证书。 |
帐号有效期 | 帐号在运维审计系统上的有效期限。取值包括:
如果选择指定日期有效,请选择生效开始和结束日期、时和分。 用户的帐号到期时,状态显示为帐号过期,在线会话会被切断,用户登录时提示帐号状态异常,无法登录。 对于已经过期的帐号,管理员可以修改帐号的有效期,修改后立即生效。 |
参数 | 说明 |
---|---|
Web登录是否验证X.509证书 | 配置X.509证书认证后,导入用户时就可以选择是否验证X.509证书。 |
PIN1/确认PIN1 | 用户自己登录运维审计系统使用PIN1码+动态密码。 PIN码的最小长度、复杂度、有效期限与本地密码相同,具体等配置请参见登录认证:配置本地密码参数。
Note: 批量导入时不支持导入pin2码。
|
下次登录时必须修改PIN1码 | 如果选中,用户下次登录时需要修改PIN1码。缺省为选中。 |
密码有效期 | 密码的有效期。取值包括:不限、30天、90天、180天、360天、同系统配置。缺省值为同系统配置。 密码有效期的系统配置和过期处理方式请参见登录认证:配置本地密码参数。 |
帐号有效期 | 帐号在运维审计系统上的有效期限。取值包括:
如果选择指定日期有效,请选择生效开始和结束日期、时和分。 用户的帐号到期时,状态显示为帐号过期,在线会话会被切断,用户登录时提示帐号状态异常,无法登录。 对于已经过期的帐号,管理员可以修改帐号的有效期,修改后立即生效。 |
参数 | 说明 |
---|---|
帐号 | 用户的帐号,字符串格式,长度范围是1~200个字符,不能包含"+"、":"、"/"、空格和中文字符。帐号全局唯一,如果和已有帐号相同则会导入失败。该项必填。 运维审计系统一次性导入的用户数最多是5000个,用户数大于5000时请分批导入。 |
姓名 | 用户的姓名,字符串格式,长度范围是1~200个字符。该项必填。 |
工作邮箱 | 用户的邮箱地址,最大长度是200个字符。如果用户需要接收通知邮件时,该项必填。 |
用户组 | 用户所属的分组,该项选填。 如果导入的分组不存在,运维审计系统将会创建该分组。同一用户可加入多个用户组,多个用户组之间请使用","分隔。 |
手机号码 | 用户的手机号码。如果身份验证方式中包含短信认证时,该项必填。 |
令牌号 | 如果身份验证方式是动态令牌,运维审计系统上已添加的动态令牌会显示在模板文件中。如何配置动态令牌请参见配置动态令牌。 |
自定义用户属性 | 如果已配置自定义用户属性,这些属性会显示在模板文件中。 |
运维审计系统支持导入LDAP用户。导入运维审计系统的用户的缺省角色是操作员、状态是活动。
如果希望能定期将LDAP服务器上增、删、改的用户同步到运维审计系统上,请配置LDAP用户定期同步。如果希望LDAP用户能够直接登录运维审计系统,请在配置LDAP认证时选中新用户自动加入系统。
参数 | 说明 |
---|---|
LDAP地址 | LDAP服务器的IP地址和端口,缺省端口号是389,如果使用SSL是636。 Note:
|
认证方式 |
|
baseDN | 登录运维审计系统的用户DN的范围,例如"dc=mydomain,dc=org"。 |
objectClass | 选择设置LDAP对象类。 |
memberOf | 选择设置用户所属的分组。 |
部门 | 选择用户所属的部门。 |
过滤条件 | 设置过滤条件来筛选用户,过滤条件的语法请参考RFC4515。 |
参数 | 说明 |
---|---|
CA | LDAP服务器的CA证书,单击浏览选择文件上传。 |
CERT | 运维审计系统的客户端证书CERT,单击浏览选择文件上传。 如果服务器端不要求对客户端认证,可以不提供。 |
KEY | 运维审计系统的客户端证书对应的KEY,单击浏览选择文件上传。 如果服务器端不要求对客户端认证,可以不提供。 |
允许忽略无效证书 | 如果选中,运维审计系统不对服务器证书中的CN字段进行校验,即服务器地址和证书CN不一致时,仍然可以连通;如果不选中,则服务器地址必须和证书CN字段一致。 |
参数 | 说明 |
---|---|
帐号 | 设置将LDAP服务器上的用户的什么属性作为运维审计系统的帐号,缺省值为AD中的用户名字段sAMAccountName。 Note: Open
LDAP中用户名对应的字段为uid,如果是Open
LDAP服务器且仍使用用户名字段作为帐号,此处就要修改为uid。
|
姓名 | 设置将LDAP服务器上的什么属性作为运维审计系统的姓名,缺省值为displayName。 |
工作邮箱 | 设置将LDAP服务器上的什么属性作为运维审计系统的工作邮箱,缺省值为mail。 |
从云平台同步用户信息并导入到系统中。同步的信息包括:用户名、姓名、邮箱,不同步用户密码。对于同步来的用户,需要设置本地密码。本地密码由管理员设置或者使用系统默认值“123456”,用户首次登录时需要修改密码。
使用该功能前,请先完成配置对接云平台参数,相关操作请参见定期任务:云平台同步。
只有Cloud款型的运维审计系统支持从云平台同步功能。
参数 | 说明 |
---|---|
自动更新 | 启用后,会按执行时间和执行间隔,自动同步数据。 |
执行时间 | 下一次自动执行同步操作的时间。 |
执行间隔 | 同步操作的执行间隔。 |
同步行为 | 帐号在云平台上删除后,同步到运维审计系统后的处理动作,包括禁用和删除。默认的同步行为是禁用。 |
身份验证 | 开启后,需要设置新的帐号登录密码,否则采用默认密码123456。用户首次登录后需要修改密码。 |
密码有效期 | 密码有效期,取值包括:同系统配置、不限、7天、14天、30天、90天、180天、1年。缺省值是同系统配置。 |
帐号有效期 | 长期有效或指定日期范围内有效。 |
创建用户后,管理员可以修改用户的基本属性、自定义用户属性和高级属性。当用户被锁定后,管理员还可以对单个用户进行手动解锁。
参数 | 说明 |
---|---|
状态 | 用户的状态,包括活动和禁用,缺省为活动。 Note: 用户的状态设置为禁用时,在线会话会在1分钟内被切断。
|
帐号有效期 | 帐号在运维审计系统上的有效期限。取值包括:
如果选择指定日期有效,请选择生效开始和结束日期、时和分。 用户的帐号到期时,状态显示为帐号过期,在线会话会被切断,用户登录时提示帐号状态异常,无法登录。 对于已经过期的帐号,管理员可以修改帐号的有效期,修改后立即生效。 |
密码有效期 | 如果身份验证选择的是本地密码或者包含本地密码的双因子认证,需要设置密码有效期。取值包括:不限、7天、14天、30天、90天、180天、1年、同系统配置。缺省值为同系统配置。 密码有效期的系统配置和过期处理方式请参见登录认证:配置本地密码参数。 |
用户登录控制 | 允许或禁止用户登录运维审计系统的时间、IP地址和MAC地址范围,各参数含义与全局配置相同,全局配置请参见配置全局用户登录控制。 单个用户登录控制的优先级高于全局配置。对于单个用户来说:
单个用户登录控制一旦启用,对单个用户,缺省策略为允许。因此,对于单个用户来说:
CAUTION: 万一配置错误会导致配置的这个用户无法登录运维审计系统。如果存在其他管理员时,可通过其他的管理员登录运维审计系统进行修改;如果只有admin用户且无法登录的情况下,可进入Console控制台,执行Reset
admin后并按照提示进行重启,完成后使用admin用户登录并进行修改。
|
备注 | 用户的备注信息。 |
参数 | 说明 |
---|---|
角色 | 用户的角色。 |
用户组 | 用户所属的组。 |
状态 | 用户的状态,取值包括活动和禁用。 Note: 用户的状态设置为禁用时,在线会话会被切断。
|
身份验证 | 用户的身份验证方式。如果选择本地密码,需要同时设置密码。 |
Web登录是否验证X.509证书 | 是否验证用户的X.509证书。 |
帐号有效期 | 帐号在运维审计系统上的有效期限。取值包括:
如果选择指定日期有效,请选择生效开始和结束日期、时和分。 用户的帐号到期时,状态显示为帐号过期,在线会话会被切断,用户登录时提示帐号状态异常,无法登录。 对于已经过期的帐号,管理员可以修改帐号的有效期,修改后立即生效。 |
本节介绍如何查看用户的信息和状态。
设置完搜索条件后,还可以单击保存至快捷将该搜索条件保存为快捷标签。
用户组是指将具有相同权限的用户划为一组,配置权限时基于组来配置,从而减轻管理员的配置负担。一个用户可以加入多个组。
用户组的创建方式包括:
将用户加入用户组的方式有两种。
配置完用户组后,就可以在配置权限、会话复核、命令复核等时直接引用用户组。
参数 | 说明 |
---|---|
帐号 | 用户帐号包含的关键字。 |
姓名 | 用户姓名包含的关键字。 |
工作邮箱 | 用户工作邮箱包含的关键字。 |
用户组 | 用户所属的用户组,可以选择多个。 |
状态 | 用户的状态,包括:活动、密码过期、帐号过期和禁用。 |
角色 | 用户的角色。 |
最后登录时间 | 用户的最后登录时间范围。 |
部门 | 用户所属的部门。 |
配置USB Key认证包括对USB Key进行重置和签发新USB Key。
浏览器类型 | 普通USB Key | 国密USB Key |
---|---|---|
IE | 10或11.0 | 不支持 |
Chrome | 53及以上 | 83 |
Firefox | 70及以上非ESR版本 | 88 |
密信浏览器 | 1.0.0.6 | 1.0.0.6 |
红莲花浏览器 | 不支持 | 5.0.2.7 |
签发新USB Key
参数 | 说明 |
---|---|
USBKey序列号 | 用于在运维审计系统中唯一地标识一个USB Key,仅用于内部管理,可以不使用硬件序列号。例如180101AF02464。 |
持有人 | 必须是已存在的用户,且身份验证方式为USBKey认证或包含USBKey认证的双因子认证,并且不存在已签发的USB Key,才能在此下拉选择。例如选择用户usb。 |
有效期 | 超过该有效期的USB Key将无法使用。取值范围为1-36500,默认值是1095。 |
使用Chrome浏览器时,在验证USBkey密码弹框中不会记录用户名;IE浏览器会记录。不记录用户名不会影响使用,输入USB Key密码即可通过认证。
资产是被管理设备在运维审计系统上的称谓,包含资产名称、IP、系统帐号等多种属性。运维审计系统支持多种资产配置方式。
运维审计系统缺省支持的资产类型和使用的访问协议如下表所示。
资产类型 | 说明 |
---|---|
主机 |
|
网络 |
|
数据库 |
|
应用系统 |
|
访问协议 | 说明 |
---|---|
SSH(Secure Shell) | 一种字符终端服务,但是因为使用加密通信因此更加安全。SSH目前已经广泛用于各种Unix-like类和网络设备中,其默认通信端口为TCP 22。 |
Telnet | 字符终端服务之一,主要用于网络设备、各种带外管理口和较老的Unix、Linux设备中,默认的通信端口为TCP 23,是一种明文传输方式。 |
RDP(Remote Desktop Protocol,远程桌面协议) | 一种由微软开发的专有图形会话协议,默认通信端口为TCP 3389。 |
XDMCP(X Display Manager Control Protocol) | Unix中默认的图形访问协议,使用该服务要求目标设备开启UDP 177端口。 |
VNC(Virtual Network Computing) | 一种使用RFB协议的显示屏画面分享及远程操作软件。此软件借由网络,可发送键盘与鼠标的动作及即时的显示屏画面。VNC与操作系统无关,因此可跨平台使用。默认通信端口为5900,也可以设置在5900-5999之间。 |
XFWD(X11 Forwarding) | 一种采用SSH进行端口转发,实现Unix-like设备图形访问的方法。使用该服务要求必须为目标设备配置SSH服务,并开放目标设备上sshd服务的X Forward功能。 |
SFTP(Secure File Transfer Protocol) | 是一种数据流连接,提供文件访问、传输和管理功能的网络传输协议。 |
TN5250 | 一种字符会话协议,用于运维审计系统和IBM AS/400之间的通信。 |
不同类型的资产,包含的属性也不相同,运维审计系统支持的常见属性如表4.1 常见资产属性所示。如果运维审计系统预定义的资产属性不满足需求时,请自定义资产的属性。
参数 | 说明 |
---|---|
资产名称 | 资产的名称,要求在运维审计系统中唯一。 |
资产IP和端口 | 资产的IP地址和端口。 |
部门 | 资产所属的部门。 |
资产组 | 资产所属的资产组。资产组是资产的一种组织形式,相同权限的资产可以划分到同一个分组。配置权限时就能够以资产组为单位而不是资产,可有效减轻配置负担。 |
脚本类型 | 访问资产使用的脚本类型,一般用于应用系统。 |
访问协议 | 访问资产使用的协议,一般用于主机和网络设备。 |
客户端 | 访问资产使用的客户端,一般用于数据库和应用系统。例如Firefox。 |
帐号和密码 | 访问资产使用的帐号和密码。 |
系统编码 | 资产使用的系统编码。 |
在运维审计系统上配置资产的基本属性、访问协议、帐号和密码。
\
或"
时,启动资产工单后查看配置日志详情,资产名称会转义而显示异常。资产创建后,需要继续配置资产的访问协议、系统帐号和密码。配置完成后,可以进行登录测试或者代填测试。
如果配置主机资产,请选择
。参数 | 说明 |
---|---|
资产名称 | 资产的名称,字符串格式,长度范围是1~200个字符。 |
资产IP | 资产的IP地址或域名,最大长度是200个字符。IP地址和域名都支持IPv4和IPv6。单击ping可以进行连通性测试。 Note:
|
简要说明 | 资产的简要说明。 |
部门 | 资产所属的部门,缺省为ROOT。部门的具体配置请参见配置部门。 |
资产组 | 资产所属的分组。资产组的具体配置请参见配置资产组。 |
系统编码 | 资产使用的系统编码类型,取值包括ISO-8859-1、GB18030、UTF-8等。如果系统编码选择不正确,可能会出现以下异常问题:
|
网络环境 | 当访问该资产需要通过Socks5代理时,需要关联网络环境。 |
责任人 | 资产所属的责任人,责任人必须是在运维审计系统上已存在的用户。 |
参数 | 说明 |
---|---|
资产名称 | 资产的名称,字符串格式,长度范围是1~200个字符。 |
数据库名(MySQL和DB2) | 数据库的名称。字符串格式,长度范围是1~30个字符。 |
连接方式(Oracle) | 数据库的连接方式,包括:
|
资产IP | 资产的IP地址或域名和服务端口,IP地址和域名都支持IPv4和IPv6,最大长度是200个字符。 Note: 使用域名格式的地址时,必须保证超
级管理员已为运维审计系统配置了可以解析该域名的DNS。
|
OEM URL | Oracle Enterprise Manager的URL地址。如果客户端中选择了oem,则同时必须填写OEM URL。 |
实例名(MSSQL) | 数据库的实例名,包括默认实例和自定义实例。字符串格式,长度范围是1~30个字符。 |
简要说明 | 资产的简要说明。 |
部门 | 资产所属的部门,缺省为ROOT。部门的具体配置请参见配置部门。 |
资产组 | 资产所属的分组。资产组的具体配置请参见配置资产组。 |
客户端 | 访问资产使用的客户端软件。 |
网络环境 | 当访问该资产需要通过Socks5代理时,需要关联网络环境。 |
责任人 | 资产所属的责任人,责任人必须是在运维审计系统上已存在的用户。 |
参数 | 说明 |
---|---|
资产名称 | 资产的名称,字符串格式,长度范围是1~200个字符。 |
资产IP | 资产的IP地址或域名,最大长度是200个字符。IP地址和域名都支持IPv4和IPv6。 Note: 使用域名格式的地址时,必须保证超级管理员已为运维审计系统配置了可以解析该域名的DNS。
|
URL(B/S、B/S IE和Weblogic) | 资产的Web访问地址,支持HTTP和HTTPS两种格式。 |
脚本类型(B/S、B/S IE和Weblogic) | 用户访问资产时是否由运维审计系统代填登录信息(例如用户名和密码)。
|
是否限制其他URL(B/S、B/S IE和Weblogic) | 用户通过运维审计系统访问目标资产的URL时能否在同一客户端访问其他地址。
|
白名单(B/S、B/S IE和Weblogic) | 是否限制其他URL选择了限制时,可以配置白名单。白名单表示除了URL以外允许用户访问的地址列表。配置白名单时请使用正则表达式,一个地址一行,可配置多行。 例如白名单设置为http://10.10.10.1/.*,则只能访问http://10.10.10.1或http://10.10.10.1/webui这样的地址;如设置为http://10.10.10.1.*,则也可以访问http://10.10.10.12这样的地址。
Note: 资产的URL如设置为http://10.10.10.1,则相当于已配置了白名单http://10.10.10.1/.*。
|
简要说明 | 资产的简要说明。 |
部门 | 资产所属的部门,缺省为ROOT。部门的具体配置请参见配置部门。 |
资产组 | 资产所属的分组。资产组的具体配置请参见配置资产组。 |
客户端 | 访问资产使用的客户端软件。选择客户端软件后,需要设置对应的代填参数,确保运维审计系统能代填成功。 Note: 部分客户端因为自身登录就耗时较多,所以通过运维审计系统代填登录也必然会耗时较多。例如使用DMManager客户端时,登录大约需要25秒。如果启动时间超过30秒,winmonitor会切断该会话。此时可以在应用发布服务器上修改配置文件(C:\Winlogon\winmonitor.ini)的init_timeout参数。init_timeout参数表示winmonitor会切断指定时间内未启动的会话,单位为毫秒,设置后无需重启服务,对下次会话生效。以上机制需要在配置Winlogon时,勾选“注册WinMonitor”选项才生效。
|
网络环境 | 当访问该资产需要通过Socks5代理时,需要关联网络环境。 |
责任人 | 资产所属的责任人,责任人必须是在运维审计系统上已存在的用户。 |
代填参数(C/S) |
Note: 不同客户端需要配置的以上参数不同,请以界面为准。
|
运维审计系统支持从Excel文件中批量导入资产,导入运维审计系统的资产缺省状态是活动。
如果配置主机资产,请选择
。参数 | 说明 |
---|---|
资产名称 | 资产的名称,字符串格式,长度范围是1~200个字符。 |
资产IP | 资产的IP地址或域名,最大长度是200个字符。IP地址和域名都支持IPv4和IPv6。 Note: 使用域名格式的地址时,必须保证超级管理员已为运维审计系统配置了可以解析该域名的DNS。
|
资产类型 | 资产的类型。 |
部门 | 资产所属的部门。 |
编码类型 | 资产的编码类型。对于主机来说,缺省取值包括:
|
简要说明 | 资产的简要说明。 |
责任人 | 资产所属的责任人,责任人必须是在运维审计系统上已存在的用户。 |
资产组 | 资产所属的资产组。如果导入的分组不存在,运维审计系统将会创建该分组。同一资产可加入多个资产组,多个资产组之间请使用","分隔。 |
帐号名 | 访问该资产的帐号名,最多填写一个。可以不填,表示仅导入资产不导入帐号。 Note: 如果需要导入同一个资产的多个帐号,请参考批量导入帐号和密码。
|
密码 | 仅当填写了帐号名参数时填写,用于设置该帐号名对应的密码。可以不填,表示不托管密码。 |
是否特权 |
|
自定资产属性 | 如果已配置自定义资产属性,这些属性会显示在模板文件中。 |
参数 | 说明 |
---|---|
资产名称 | 资产的名称,字符串格式,长度范围是1~200个字符。 |
连接方式(Oracle) | 数据库的连接方式,包括:
|
部门 | 资产所属的部门。 |
资产IP | 资产的IP地址或域名,最大长度是200个字符。IP地址和域名都支持IPv4和IPv6。 Note: 使用域名格式的地址时,必须保证超级管理员已为运维审计系统配置了可以解析该域名的DNS。
|
端口 | 数据库服务的端口。各种数据库类型的缺省端口如下:
|
实例名(MSSQL) | 数据库的实例名,包括默认实例和自定义实例。字符串格式,长度范围是1~30个字符。 |
数据库名(MySQL和DB2) | 数据库的名称。字符串格式,长度范围是1~30个字符。 |
客户端 | 访问资产使用的客户端软件,多个软件使用“,”分隔。 |
简要说明 | 资产的简要说明。 |
OEM URL(Oracle) | Oracle Enterprise Manager的URL地址。如果客户端中填写了oem,则同时必须填写OEM URL。 |
资产组 | 资产所属的资产组。如果导入的分组不存在,运维审计系统将会创建该分组。同一资产可加入多个资产组,多个资产组之间请使用","分隔。 |
责任人 | 资产所属的责任人,责任人必须是在运维审计系统上已存在的用户。 |
帐号名 | 访问该资产的帐号名,最多填写一个。可以不填,表示仅导入资产不导入帐号。 Note: 如果需要导入同一个资产的多个帐号,请参考批量导入帐号和密码。
|
密码 | 仅当填写了帐号名参数时填写,用于设置该帐号名对应的密码。可以不填,表示不托管密码。 |
角色(Oracle) | 用户的角色。取值包括:SYSDBA、SYSOPER和Normal。缺省值为SYSDBA。 |
是否特权 |
|
自定资产属性 | 如果已配置自定义资产属性,这些属性会显示在模板文件中。 |
参数 | 说明 |
---|---|
资产名称 | 资产在运维审计系统上的名称。字符串格式,长度范围是1~200个字符。 |
资产IP | 资产的IP地址或域名,最大长度是200个字符。IP地址和域名都支持IPv4和IPv6。 Note: 使用域名格式的地址时,必须保证超级管理员已为运维审计系统配置了可以解析该域名的DNS。
|
URL(B/S、B/S IE和Weblogic) | 资产的Web访问地址,支持HTTP和HTTPS两种格式。 |
脚本类型(B/S、B/S IE和Weblogic) | 用户访问资产时是否由运维审计系统代填登录信息(例如用户名和密码)。
|
白名单(B/S、B/S IE和Weblogic) | 白名单表示除了URL以外允许用户访问的地址列表。配置白名单时请使用正则表达式,一个地址一行,多个地址使用ALT + Enter换行。 例如白名单设置为http://10.10.10.1/.*,则只能访问http://10.10.10.1或http://10.10.10.1/webui这样的地址;如设置为http://10.10.10.1.*,则也可以访问http://10.10.10.12这样的地址。
Note: 资产的URL如设置为http://10.10.10.1,相当于已配置了白名单http://10.10.10.1/.*。
|
客户端 | 访问资产使用的客户端软件。 |
简要说明 | 资产的简要说明。 |
部门 | 资产所属的部门。 |
资产组 | 资产所属的资产组。如果导入的分组不存在,运维审计系统将会创建该分组。同一资产可加入多个资产组,多个资产组之间请使用","分隔。 |
责任人 | 资产所属的责任人,责任人必须是在运维审计系统上已存在的用户。 |
帐号名 | 访问该资产的帐号名,最多填写一个。可以不填,表示仅导入资产不导入帐号。 Note: 如果需要导入同一个资产的多个帐号,请参考批量导入帐号和密码。
|
密码 | 仅当填写了帐号名参数时填写,用于设置该帐号名对应的密码。可以不填,表示不托管密码。 |
是否特权 |
|
自定义资产属性 | 如果已配置自定义资产属性,这些属性会显示在模板文件中。 |
在云平台同步主机资产并导入到系统中。同步的信息包括:资产名称、资产类型、资产IP,不会同步资产的密码。
使用该功能前,请先完成配置对接云平台参数,相关操作请参见定期任务:云平台同步。
只有Cloud款型的运维审计系统支持从云平台同步功能。
参数 | 说明 |
---|---|
自动更新 | 启用后,会按执行时间和间隔,自动同步数据。 |
执行时间 | 下一次自动执行同步操作的时间。 |
执行间隔 | 同步操作的执行间隔。 |
同步行为 | 资产在云平台上删除后,同步到运维审计系统后的处理动作,包括禁用和删除。 |
创建主机和网络资产后,运维审计系统会根据资产类型创建缺省的访问协议,您也可以修改访问协议的参数或者添加新的访问协议。配置方式支持批量和逐条配置两种。
运维审计系统针对不同的资产类型提供了不同的访问协议,例如Windows主机支持的访问协议有RDP和VNC(缺省为RDP),Linux/Unix主机支持的访问协议有SSH、Telnet、VNC、XDMCP、XFWD(缺省为SSH和XDMCP)。超级管理员可以修改指定资产类型的访问协议和缺省值。
主机和网络设备支持配置协议,且配置方法类似,本文以主机设备为例介绍操作过程,并对差异进行说明。
对于相同类型的资产,如果访问协议相同,可以采取批量配置一次性完成。批量配置资产的访问协议时,一次只能配置一个协议。如果配置的协议已存在,则会覆盖之前的配置。
如果资产数量大,可通过以下方式查找满足条件的资产。
参数 | 说明 |
---|---|
名称 | 访问协议的名称,字符串格式,长度范围是1~30个字符,仅支持英文字符、数字、"-"和"_"。 |
说明 | 访问协议的说明。 |
状态 | 访问协议的状态。取值包括:
|
端口 | 访问协议的端口。单击连通检测,可以测试端口的连通状态。 Note:
|
Telnet/SSH | |
跳转来源 | 跳转来源是指访问当前资产时从哪个设备使用哪个帐号跳转过来。例如当前设备是A,配置跳转来源为B,则用户先访问B,再从B自动跳转到A。 支持配置跳转来源的协议有SSH和Telnet,且支持自定义协议端口。运维审计系统不支持多级跳转,即被配置为跳转来源的设备不能再配置跳转来源。 作为跳转来源的设备需满足如下条件:
如果某资产采用密钥方式认证,则不支持从其他资产跳转过去。 |
RDP | |
Console | 相当于Windows中mstsc的/console或者/admin选项,表示是否允许普通用户连接服务器的控制台会话(session id=0)。 |
VNC | |
enterprise商业版 | 运维审计系统支持Real VNC,且缺省情况下支持的是VNC Open版本,如果目标设备采用的是VNC Enterprise Edition,请选中此项。 |
VNC密码 | VNC服务器端的密码。 |
XFWD | |
xfwd_cmdline命令 | 如果用户使用SSH X forwarding协议访问目标设备,部署运维审计系统后,需要在运维审计系统上增加访问协议XFWD,并且需要满足以下条件:
xfwd_cmdline命令中可以设置服务端执行的命令来进入相应的界面,示例如下。 Note: 要求目标设备上已经安装gnome、xfce4或者xterm软件。
|
创建资产后,用户可以在运维审计系统上添加访问资产的帐号和密码,即将密码托管在运维审计系统上,这样用户访问目标设备时由运维审计系统代替用户输入帐号和密码。用户也可以只添加帐号或者帐号和密码都不添加,在访问目标设备时由用户手工输入。
运维审计系统针对不同的资产类型提供了不同的缺省系统帐号,例如Windows主机的administrator,Linux主机的root。超级管理员可以修改指定资产类型的缺省系统帐号,具体请参见配置资产类型。
创建资产时,运维审计系统会根据资产的类型配置好帐号,用户可以增加新的帐号,也可以修改已有帐号的参数,配置方式支持批量导入和手工配置两种。
所有资产配置帐号的方法类似,本文以主机设备为例介绍操作过程,并对差异进行说明。
批量导入帐号和密码用于一次性将相同类型资产的密码托管在运维审计系统上的场景,运维审计系统支持导入帐号的密码、切换自、密钥和域名信息。编辑模板文件时,确保至少有一项不能为空。
如果资产数量大,可通过以下方式查找满足条件的资产。
参数 | 说明 |
---|---|
资产名称 | 资产的名称。资产必须在运维审计系统上已存在。 |
帐号 | 资产的帐号,字符串格式,长度范围是1~200,不能包含"/"和中文字符。如果同一个资产存在多个帐号,每个帐号占用表格的一行。如果与已有帐号相同,表示修改已有帐号的属性。 系统内置了以下三个帐号:
对于托管在运维审计系统中的普通帐号,是否区分大小写,取决于目标资产是否区分大小写。设置Oracle资产帐号时,会自动将大写字母转换为小写,当前不支持设置大写的帐号。 |
是否特权 | 该帐号是否为资产上的最高权限帐号,如果是请填写是,如果否请填写否。如果什么都不填写,表示保持原来的设置。 |
密码 | 帐号对应的密码。 |
支持Telnet/SSH访问协议的主机和网络设备 Note: 对于SSH,如果要配置切换自,需要使用密码方式登录,不能使用密钥方式。
|
|
切换自 | 切换自是指访问资产时从哪个帐号切换过来。例如当前帐号是A,切换自为B,则A用户访问资产时运维审计系统会先使用B帐号登录,再切换到A帐号。用于A不能直接登录目标资产的场景。 支持配置切换自的协议包括SSH和Telnet,且支持自定义协议端口。 作为切换自的帐号和所在的资产需满足如下条件:
运维审计系统支持跳转来源和切换自结合使用,例如资产A跳转来源为资产B,对应资产A系统帐号root切换自资产B帐号admin。 |
密钥 | 对于支持SSH访问协议的Linux、HP、IBM AIX主机类资产和网络资产,使用密钥方式登录时,请填写密钥标识,密钥的配置请参见配置密钥。 |
Windows和MSSQL Note: 如果同时配置了密码和域名,优先使用域名。
|
|
域名 | 对于Windows域用户,请填写域名称,域的配置请参见配置Windows域。 |
Oracle | |
角色 | 用户的角色。取值包括:SYSDBA、SYSOPER和Normal。缺省值为SYSDBA。 |
参数 | 说明 |
---|---|
帐号名称 | 帐号的名称,字符串格式,长度范围是1~200,不能包含"/"和中文字符。 系统内置了以下三个帐号:
对于托管在运维审计系统中的普通帐号,是否区分大小写,取决于目标资产是否区分大小写。设置Oracle资产帐号时,会自动将大写字母转换为小写,当前不支持设置大写的帐号。 |
设为特权帐号 | 如果该帐号是目标资产上的特权帐号,请选中。 |
修改密码 | 单击后重设该帐号的密码。 对于主机和网络设备,可以选择直接修改或手工输入:
对于数据库和应用系统资产,不支持选择密码修改方式,默认使用手工输入的方式。 |
密码来源 |
|
支持Telnet/SSH访问协议的主机和网络设备 Note: 对于SSH,如果要配置切换自,需要使用密码方式登录,不能使用密钥方式。
|
|
切换自 | 切换自是指访问资产时从哪个帐号切换过来。例如当前帐号是A,切换自为B,则A用户访问资产时运维审计系统会先使用B帐号登录,再切换到A帐号。用于A不能直接登录目标资产的场景。 支持配置切换自的协议包括SSH和Telnet,且支持自定义协议端口。 作为切换自的帐号和所在的资产需满足如下条件:
运维审计系统支持跳转来源和切换自结合使用,例如资产A跳转来源为资产B,对应资产A系统帐号root切换自资产B帐号admin。 |
私钥(仅SSH协议) | 对于支持SSH访问协议的Linux、HP、IBM AIX主机类资产和网络资产,使用密钥方式登录时,请选择对应的密钥标识,密钥的配置请参见配置密钥。 |
Windows和MSSQL Note: 如果同时配置了密码和Domain,优先使用Domain。
|
|
Domain | 对于Windows域用户,请填写域名称,域的配置请参见配置Windows域。 |
Oracle | |
角色 | 用的角色。取值包括:SYSDBA、SYSOPER和Normal。缺省值为SYSDBA。 |
参数说明如表4.4 资产的帐号和密码参数(手工配置)所示。
运维审计系统支持将多个资产划为一组,这样在配置动态权限、高危操作等时基于组来配置,从而减轻管理员的配置负担。一个资产可以加入多个资产组。
将资产加入资产组的方式有两种。
配置资产组后,您可以在动态权限、高危命令、会话复核、改密计划等配置过程中直接引用资产组。
参数 | 说明 |
---|---|
名称 | 资产组的名称。字符串格式,长度范围是1~200个字符。 |
简要描述 | 资产组的简要描述。字符串格式,长度范围是0~60个字符。 |
部门 | 资产组所属的部门,缺省为ROOT。部门的具体配置请参见配置部门。 |
如果资产数量大,可通过以下方式查找满足条件的资产。
本节介绍如何查看资产的信息和状态。
界面上方列出资产的统计信息,单击对应的快捷标签可以查看满足该条件的资产。例如单击Linux后资产列表仅显示Linux资产。运维审计系统最多支持8个快捷标签,缺省的快捷标签为资产类型。
设置完筛选条件后,还可以单击保存至快捷将该筛选条件保存为快捷标签。例如筛选条件中将是否禁用设置为禁用,完成后单击保存至快捷,界面上方就会出现禁用的快捷标签,单击该标签可以快速查看所有被禁用的资产。
设置完搜索条件后,还可以单击保存至快捷将该搜索条件保存为快捷标签。
运维审计系统支持动态地展示资产层级结构以及各节点下的资产,并对资产进行查看、新建、编辑、删除、导出等操作。
运维审计系统根据配置视图的层级中的层级结构展示所有资产,视图会根据层级关系的变化动态调整。动态视图的各个层级可以是不同的资产属性,也可以是部门的层级(必须完成了部门层级的配置)。本节以配置为不同的资产属性为例进行介绍。
对于作为动态视图层级节点的属性,如果资产的属性值为空时,运维审计系统自动创建空节点与之对应。例如图4.1 菜单布局的动态视图中视图的层级中定义第1层节点为“责任人”,图中上面两个资产已配置责任人为admin,则这两个资产在admin节点下面,下面两个资产没有配置责任人,则在空节点下面。
动态视图有两种布局方式,一种是菜单,一种是树形。其中树形布局还能以横向或者纵向方式展示。在菜单布局下,单击切换到树形布局;树形布局下单击切换到菜单布局。
按钮 | 说明 |
---|---|
收起、展开节点。 | |
放大视图,从而更清楚地查看局部细节/缩小视图,从而查看视图的总体情况。 | |
缩小视图,从而查看视图的总体情况。 | |
切换树形布局的横向、纵向展示方式。 |
运维审计系统使用资产的属性作为视图的层级节点,并根据视图层级结构动态地生成视图来展示资产。
运维审计系统支持资产的以下属性作为视图层级节点:
缺省情况下,运维审计系统已提供了根节点和第1层节点。
参数 | 说明 |
---|---|
根节点名称 | 根节点的名称,字符串格式,长度范围是1~30个字符。缺省值为root。 |
第1层节点 | 视图的第1层节点,取值为资产的属性,缺省值为系统类型。 |
重复执行本步骤,完成视图各层级节点的配置。
按钮 | 说明 |
---|---|
收起、展开视图的节点。 | |
放大视图,从而更清楚地查看局部细节。 | |
缩小视图,从而查看视图的总体情况。 |
修改或者删除视图的层级节点后,资产的动态视图及时跟随调整。
如果用户希望通过运维审计系统以Windows域的方式登录RDP资产,需要在这里配置Windows域。
参数 | 说明 |
---|---|
域名 | 域的名称。字符串格式,长度范围是1~200个字符。 |
域服务器地址 | 域控主机的IP地址。 |
简要说明 | 域的简要说明。 |
部门 | 域所属的部门。 |
参数 | 说明 |
---|---|
CA | Windows域服务器的CA证书,单击浏览选择文件上传。 |
CERT | 运维审计系统的客户端证书CERT,单击浏览选择文件上传。 |
KEY | 运维审计系统的客户端证书对应的KEY,单击浏览选择文件上传。 |
允许忽略无效证书 | 如果选中,不对Windows域服务器的证书进行合法性检查;如果不选,将对Windows域服务器的证书进行合法性检查,对于使用非知名CA签发证书的Windows域服务器,请务必上传CA证书。 |
参数 | 说明 |
---|---|
帐号名称 | 输入域控主机上具有查询权限帐号的用户名。 |
bindDN | 输入该帐号的DN,例如CN=Administrator,CN=Users,DC=example,DC=com。 通过域控主机执行CMD命令获得:dsquery user -name username |
帐号密码/确认密码 | 输入该帐号的密码。 |
Windows域配置完成后,管理员再执行以下操作即可实现使用Windows域用户访问Windows域中的资产。
管理员可以通过密钥管理功能新建密钥,以支持SSH会话使用密钥方式登录。
运维审计系统支持两种新建密钥的方式:
参数 | 说明 |
---|---|
类型 | 密钥的类型,取值包括RSA和DSA。 |
长度 | 密钥的位数,取值包括1024、2048和4096,位数越大安全性越高。 |
标识 | 密钥的标识。在资产的系统帐号中,通过该标识引用密钥。 |
部门 | 密钥所属的部门。仅当该部门的配置管理员可以使用该密钥。 |
导入生成的密钥
以Linux资产为例,导入过程如下:
vim
/etc/ssh/sshd_config
,再删除#PubkeyAuthentication
yes
前的#,保存并退出。vim
.ssh/authorized_keys
,粘贴刚生成的新公钥,保存并退出。若不存在则需要创建该文件后粘贴刚生成的新公钥。参数 | 说明 |
---|---|
标识 | 密钥的标识。在资产的系统帐号中,通过该标识引用密钥。 |
部门 | 密钥所属的部门。 |
密码 | 如果粘贴的密钥设置了密码,在此处输入该密码。 |
粘贴 | 将已有的私钥内容粘贴进去。仅当该部门的配置管理员可以使用该密钥。 |
对等价资产中任意一个资产进行运维审计系统上的配置修改,配置会自动同步到等价资产中的其他成员。等价资产多用于HA或者集群环境。
同一个设备,出于被访问的需求,在运维审计系统中可能被配置成为多个资产。例如一个既有真实IP,又有虚拟IP的主机,在运维审计系统中基于IP地址被配置成为两个资产,这两个资产就是等价资产。
在添加等价资产之前,管理员需要确认待添加的等价资产属性是一致的,否则将无法组成等价资产;修改等价资产在运维审计系统上配置,只有关键的配置会被同步。
资产类型 | 组成条件 | 同步的配置 |
---|---|---|
主机/网络 |
|
|
数据库 |
|
|
应用系统(B/S) |
|
|
应用系统(C/S) |
|
|
参数 | 说明 |
---|---|
名称 | 等价资产的名称。字符串格式,取值范围是1~30个字符。 |
添加资产 | 单击选择资产。 |
责任人 | 等价资产的责任人。 |
简要说明 | 等价资产的简要说明。 |
对等价帐号中的任何一个帐号进行运维审计系统上的密码修改,密码都会同步到等价帐号中的其他成员。
同一个资产,会因为使用目的不同而会被配置成为两种资产类型。例如防火墙设备,既有SSH访问接口,又有Web访问接口,管理员会创建主机类型的资产以满足SSH访问,创建应用系统类型的资产以满足Web访问。由于访问这两种资产类型的帐号都是一致的,这类型帐号被称为等价帐号。
等价帐号组成条件:等价帐号可以跨资产类型,但是必须是相同帐号名,且以密码类型登录(密钥登录、切换自登录、密码来源为PAM不行)。
等价帐号同步的配置:等价帐号只能同步密码。
参数 | 说明 |
---|---|
名称 | 等价帐号的名称。字符串格式,取值范围是1~30个字符。 |
资产 | 单击选择资产。 |
帐号名 | 等价帐号的帐号名。 |
简要说明 | 等价帐号的简要说明。 |
对于有些比较特殊的登录提示符,通过内置代填提示符无法匹配成功时,需要针对这些资产进行适配。
在以下场景,运维审计系统会代填用户名和密码。
运维审计系统已内置了通用的登录提示符,涵盖了大多数字符设备,这些设备运维审计系统都能代填成功。
当通用的登录提示符满足不了需求时,运维审计系统支持用户自定义登录提示符。配置登录提示符时,可以针对单个资产配置,也可以针对资产类型配置。匹配时单个资产登录提示符的优先级最高,资产类型的次之,通用的最低。
管理员在配置资产适配提示符中,可以只配置通用提示符处理不了的过程,不需要全部过程都填写。例如,一台设备的普通用户提示符是“-”,通用提示符对于其他登录过程都支持,则管理员只需要修改普通提示符为“-”,其他登录过程会按照通用提示符进行匹配。
参数 | 说明 |
---|---|
资产分类 | 取值包括资产类型和资产。如果选择资产类型,请继续选择具体的资产类型;如果选择资产,请单击添加具体的资产。 |
部门 | 资产所属的部门。 |
服务选项 |
|
帐号 | 资产的帐号。如果留空,代表匹配所有帐号。 |
普通提示符 | 普通帐号的提示符,字符串格式,长度范围是1~100个字符,支持正则表达式。默认提示符一般为>,SUSE的默认提示符为:/>。会影响改密中的登录测试和自动化中的执行脚本。 Note: 使用SSH协议的主机登录时不是通过登录提示符来验证的,不会受到影响。
|
特权提示符 | 特权帐号的提示符,字符串格式,长度范围是1~100个字符,支持正则表达式。默认提示符一般为#,SUSE的默认提示符为:~
#。会影响改密中的登录测试和自动化中的执行脚本。 Note: 使用SSH协议的主机登录时不是通过登录提示符来验证的,不会受到影响。
|
交互超时时间 | 运维审计系统对设备进行登录或执行命令等交互操作的超时时间。单位为秒,范围为0~9999秒。缺省值为20秒。 仅影响字符会话、自动化脚本、帐号改密。 Note: 交互超时时间必须小于任务执行超时时间。
|
任务执行超时时间 | 运维审计系统执行脚本任务超时时间。单位为秒,范围为0~9999秒。缺省值为180秒。 仅影响自动化脚本、帐号改密。 |
设备网络延迟 | 用于解决SSH/Telnet会话中可能出现的卡顿现象。SSH/Telnet会话中,当运维审计系统和目标资产之间存在较高的网络延迟,会导致界面显示错误和高危命令匹配失效。 该参数单位为毫秒,范围为1~1000毫秒。仅对使用SSH/Telnet协议的资产生效。建议取值:运维审计系统和资产之间实际网络延迟+50毫秒,实际网络延迟一般可以通过ping 5次取最大值进行估算。 Note:
|
帐号切换命令 | 帐号的切换命令,字符串格式,长度范围是1~100个字符,支持正则表达式。默认切换命令为su。 当配置了使用切换自的资产,且切换命令非默认切换命令时,需要配置该值。仅影响访问、登录测试和帐号改密。 |
切换自失败匹配符 | 登录切换执行失败时返回的错误提示,字符串格式,长度范围是1~100个字符,支持正则表达式。默认为([Ii]ncorrect)|((?i)su.*(fail|incorrect))|([Dd]eny)|([Dd]enied)。 当配置了使用切换自的资产,且切换失败时显示该值,仅用于帐号改密。 |
切换密码提示 | 切换时的密码提示符,字符串格式,长度范围是1~100个字符,支持正则表达式。通用切换密码提示为Password:。 当配置了使用切换自的资产,且切换密码提示非默认切换命令时,需要配置该值。仅影响访问、登录测试和帐号改密。 |
登录名提示 | 系统的登录名提示符,字符串格式,长度范围是1~100个字符,支持正则表达式。默认登录名提示为login:。 当资产的登录名提示非默认登录名提示时,需要配置该值。仅影响Telnet协议的访问和登录测试。 |
登录密码提示 | 系统的登录密码提示符,字符串格式,长度范围是1~100个字符,支持正则表达式。通用登录密码提示为Password:。 当资产的登录密码提示符非默认登录密码提示符时,需要配置该值。仅影响访问和登录测试。 |
实际网络中,运维审计系统和资产/应用发布服务器可能处于不同的网络隔离域,运维审计系统可以通过Socks5代理访问资产/应用发布服务器。此时,需要在运维审计系统上配置网络环境(即Socks5代理),并关联到资产/应用发布服务器,通过Socks5代理实现资产访问。
参数 | 说明 |
---|---|
名称 | 网络环境的名称,不超过200个字符。 |
部门 | 指定网络环境所属的部门。
|
Socks5代理地址 | Socks5代理服务器的IP地址或域名,支持IPv6。 |
端口 | Socks5代理服务器使用的端口,默认值为1080。 |
帐号 | 登录Socks5代理服务器的帐号,不超过200个字符。 |
密码/确认密码 | 帐号的密码,不超过200个字符。 |
简要说明 | 网络环境的简要说明,不超过200个字符。 |
通过权限配置,用户可以实现对运维审计系统资产的访问。
用户通过运维审计系统可以访问在其上的资产,需要针对不同权限的用户指定其相应的访问规则。
例如:指定系统管理员只能访问主机类型资产,不能访问网络类型资产。
例如:felix用户使用administrator帐号和RDP协议访问Windows2012资产。
运维审计系统还支持配置规则模板,对权限进行精细化管理。
在运维审计系统有两种配置权限的方法:
通过变更单、动态权限配置基础权限,通过规则模板配置扩展权限。
管理员为某用户访问指定资产配置了权限后,该用户才能在访问资产界面看到这些资产,并对这些资产进行访问。
当为某用户设置了访问指定资产组的权限时,如果该资产组中的资产同时属于别的资产组,则这些资产组也将会在访问资产界面显示。但是在这些资产组节点下将只会看到实际拥有访问权限的资产。
动态权限可以让管理员快速、灵活地配置权限。
管理员通过指定动态权限的基础四要素(用户、资产、协议、帐号),可以快速地完成权限配置。
如果存在多条动态权限,各条权限之间是并集关系。即满足任一条权限,用户即可访问。
配置四要素时,既可以指定具体的取值,也可以指定筛选规则。
指定规则可以让管理员针对各种属性做出灵活地匹配。针对用户、资产或帐号,管理员可以指定多条规则,必须满足指定的所有的规则,才能够匹配该条权限。
当管理员在运维审计系统上添加用户、资产、访问帐号的时候,已经设置了相关的属性,例如针对用户的用户名、工作邮箱、角色、认证方式等;针对资产的资产名、IP、责任人等。可以通过条件匹配的方式,匹配出具有相同属性的内容。
通过指定规则匹配属性时,支持4种数据格式:字符串、日期、可选值、数字。大部分匹配方式可适用于这4种数据类型,部分匹配方式仅适用于特定类型的属性,使用方法具体见下表说明。
匹配方式 | 说明 |
---|---|
= | 被匹配的数据要和内容完全匹配。 例如用户规则为用户名=操作员,则匹配姓名为操作员的用户,而姓名为操作员01则不匹配。 |
!= | 被匹配的数据要和内容完全不匹配。 例如用户规则为用户名!=操作员01,则姓名不为操作员01的用户全都匹配。 |
> | 被匹配的数据的ASCII码要大于内容的ASCII码。首先比较第一个字符,第一个字符相同时会继续比较下一个字符,直到被匹配的字符大于规则中的字符则匹配,否则不匹配。 例如用户规则为备注>ABC,则某用户备注为ACA时可以匹配上。 |
< | 被匹配的数据的ASCII码要小于内容的ASCII码。首先比较第一个字符,第一个字符相同时会继续比较下一个字符,直到被匹配的字符小于规则中的字符则匹配,否则不匹配。 例如用户规则为备注<ABC,则某用户备注为AB时可以匹配上。 |
>= | 被匹配的数据的ASCII码要大于或等于内容的ASCII码。首先比较第一个字符,第一个字符相同时会继续比较下一个字符,直到被匹配的字符大于规则中的字符则匹配,或所有字符均相同也匹配,否则不匹配。 例如资产规则为简要说明>=ABC,则某资产简要说明为BB时可以匹配上。 |
<= | 被匹配的数据的ASCII码要小于或等于内容的ASCII码。首先比较第一个字符,第一个字符相同时会继续比较下一个字符,直到被匹配的字符小于规则中的字符则匹配,或所有字符均相同也匹配,否则不匹配。 例如资产规则为资产IP<=10.10.34,则某资产IP地址为10.10.33.1时可以匹配上。
Note: 匹配IP时,仍然为字符串逐位比较。因此如设置规则为资产IP<=10.10.255.255,则资产IP地址为10.10.33.1将无法匹配。
|
包含 | 被匹配的数据要包含内容。 例如用户规则为用户帐号包含admin,则admin和admin01、01admin帐号都可以匹配上。 |
不包含 | 被匹配的数据要不包含内容。 例如用户规则为工作邮箱不包含example.com,则邮箱为example01.com的用户可以匹配,邮箱为example.com的用户不匹配。 |
正则匹配 | 被匹配的数据要和内容的正则表达式完全匹配。 例如用户规则为用户名正则匹配^操作员[0-9]{2}$,则可以严格匹配用户的姓名以操作员开头,且携带00~99编号后缀的用户。比如用户姓名为操作员01、操作员19时可以匹配,姓名为操作员1、操作员123时不匹配。 |
正则不匹配 | 被匹配的数据要和内容的正则表达式完全不匹配。 例如资产规则为资产IP正则不匹配10\.10\.33\.([1-9]|[1-9][0-9]),则资产IP为10.10.33.1~10.10.33.99网段的资产都将不匹配。比如IP为10.10.33.20的资产不匹配,IP为10.10.33.120的资产匹配。 |
在日期范围内 | 被匹配的数据的日期要在时间范围内。 例如系统中设置了一个名称为生效日期,类型为日期的用户扩展属性,并设置权限中用户规则为用户属性[生效日期]在日期范围内[2021-06-17,2021-06-19],则某个生效日期为2021年6月18日的用户可以匹配。 |
不在日期范围内 | 被匹配的数据的日期不要在时间范围内。 例如系统中设置了一个名称为生效日期,类型为日期的用户扩展属性,并设置权限中用户规则为用户属性[生效日期]不在日期范围内[2021-06-17,2021-06-19],则某个生效日期为2021年6月20日的用户可以匹配。 |
前缀为 | 被匹配的数据的前缀要内容完全匹配。 例如用户规则为用户名前缀为操作员,则姓名为操作员01的用户可以匹配,姓名为主站操作员01的用户不匹配。 |
非前缀为 | 被匹配的数据的前缀要内容完全不匹配。 例如用户规则为用户名非前缀为操作员,则姓名为管理员01的用户可以匹配,姓名为操作员01的用户不匹配。 |
后缀为 | 被匹配的数据的后缀要内容完全匹配。 例如用户规则为工作邮箱后缀为example.com,则邮箱为example.com的用户可以匹配,邮箱为example01.com的用户不匹配。 |
非后缀为 | 被匹配的数据的后缀要内容完全不匹配。 例如用户规则为工作邮箱非后缀为example.com,则邮箱为example01.com的用户可以匹配,邮箱为example.com的用户不匹配。 |
在运维审计系统的Web界面上手工设置动态权限属性,逐个创建动态权限。
参数 | 说明 |
---|---|
名称 | 动态权限的名称。字符串格式,长度范围是1~200个字符。 |
规则模板 | 动态权限引用的规则模板,具体请参见配置规则模板。 |
部门 | 动态权限所属的部门,缺省为root(区分大小写)。部门的具体配置请参见配置部门。 |
用户 | 设置能够访问目标资产的用户。
|
资产 | 设置待访问的目标资产。
|
协议 | 访问目标资产使用的协议。
Note:
|
帐号 | 访问目标资产使用的帐号。
|
运维审计系统支持从Excel文件中批量导入动态权限,导入运维审计系统的动态权限仅包含基本权限规则,不能使用属性进行动态关联。
参数 | 说明 |
---|---|
名称 | 动态权限的名称。字符串格式,长度范围是1~200个字符。 |
规则模板 | 动态权限引用的规则模板,具体请参见配置规则模板。 |
部门 | 动态权限所属的部门,非必填项,缺省为当前导入用户所在的部门。 |
用户/用户组 | 能够访问目标资产的用户帐号/用户组名称,多个用户/用户组通过换行分隔。用户和用户组至少填写一项。 |
资产/资产组 | 待访问的目标资产名称/资产组名称,多个资产/资产组通过换行分隔。资产和资产组至少填写一项。 |
协议 | 访问目标资产使用的协议,取值包括ssh、telnet、vnc、rdp、xfwd、xdmcp和sftp,多个协议通过换行分隔,不填写时表示选择全部协议。如果填写了不在其中的协议,默认非法,此条动态权限导入失败。 Note:
|
系统帐号 | 访问目标资产使用的帐号。多个帐号通过换行分隔,不填写时表示选择全部帐号。 Note: 指定帐号时,必须保证权限规则涉及的资产上已创建了对应的系统帐号,否则权限将无法生效,查看权限时也看不到对应的数据。
|
变更单是一个Excel表格,在上面可以填写名称、申请人、到期时间、使用人、使用资产、访问帐号、协议等信息。最后将变更单上传到运维审计系统形成访问权限。
用户按照运维审计系统提供的变更单模板填写变更单内容,提交访问资产的申请,将权限加载到运维审计系统中,此配置方法还可以设置权限到期时间。
参数 | 说明 |
---|---|
申请单名称 | 变更申请单的名称。字符串格式,长度范围是1~128个字符。 |
申请人帐号 | 申请人的帐号,该帐号必须在运维审计系统上存在且状态为活动。 |
部门 | 变更单所属的部门。 |
到期时间 | 申请单中权限到期日期和时间。到期时间可以设置小时和分钟,小时和分钟都为可选设置。 |
申请原因 | 变更单申请原因。 |
权限 | 变更单申请的权限清单。一个变更单中可以有多条权限,一条权限对应一行。每条权限包含以下字段:
|
变更单导入运维审计系统后,管理员可以进行以下操作:
禁用的变更单默认不显示在页面上,如果需要重新启用,单击筛选,选中状态为禁用,筛选出禁用的变更单。如果要重新启用该变更单,请单击启用。
扩展的访问权限可以在这里配置。
参数 | 说明 |
---|---|
模板名称 | 定义该规则模板名称。字符串格式,长度范围是1~200个字符。 |
控制策略 | 选择该条策略禁止或允许访问。 |
设为全局缺省模板 | 运维审计系统中有且只能有一个缺省模板。如果存在缺省模板,配置新的缺省模板,会发生抢占。如果删除缺省模板,系统会提示“系统必须存在一个全局缺省登录模板”。 |
工单缺省模板 | 运维审计系统中有且只能有一个工单缺省模板。如果存在缺省模板,配置新的缺省模板,会发生抢占。如果删除缺省模板,系统会提示“系统必须存在一个全局缺省工单规则模板”。 |
允许客户端磁盘映射 | 针对通过Windows RDP方式的访问,是否允许磁盘映射。 |
剪贴板 | 针对图形会话的访问,能否使用剪贴板文件/字符的上传或下载。 Note:
|
剪贴板长度限制 | 仅当剪贴板勾选了上行字符或下行字符时显示该参数。当图形会话访问资产时,如复制字符大于或等于该限制,复制无效。 单位为字节,默认无限制。 |
文件传输权限 | 是否允许通过网盘和SFTP模式进行文件上传/下载。 |
上传/下载单文件限制 |
Note: 本参数对磁盘映射和rz/sz不生效。
|
事件级别 | 当使用告警事件功能时,访问资产可以产生告警事件并发送到日志服务器或邮箱。在这里定义告警事件的级别。 当定义的告警事件级别不低于系统定义的最低级别,访问资产将发送日志到日志服务器或邮箱。 告警事件,配置方法参考基本设置:配置告警事件。 |
标题 | 告警事件使用什么标题来标记这次的访问事件。标题将出现在当前访问日志的记录中,以方便管理员查看,并且该标题下记录了访问的详细参数。 |
IP范围说明
时间范围说明
按用户查看访问权限,会分别列出变更单、动态、工单方式产生的访问权限。
默认最多显示10001条数据,单用户最多支持导出50000条数据。
按资产查看访问权限,会分别列出变更单、动态、工单方式产生的访问权限。
默认最多显示10001条数据,单资产最多支持导出50000条数据。
管理员通过配置会话复核或高危命令规则,可以对操作员访问资产和执行命令进行控制,以减小操作员访问资产及执行操作可能存在的风险。
能够使用配置高危操作的角色包括:超级管理员、配置管理员、操作员及其他自定义的拥有高危操作授权的用户。但只有根部门的管理员能对高危操作规则进行查看和修改、删除操作,非根部门的管理员只拥有查看权限。
操作员仅具有进行命令复核和查看复核日志的权限,不能对高危操作规则进行设置。
管理员可以通过配置高危操作规则,对特定的操作员访问特定的资产要求在进行复核后才能访问,或对操作员执行特定的命令,要求在进行复核后才能执行或直接拒绝执行,从而达到访问控制和命令控制的目的。
操作用户的访问操作如果匹配会话复核或高危命令中的规则,复核人将收到复核提醒。收到复核提醒后,请复核人登录Web界面并进行复核。
复核高危操作又分为复核会话和复核高危命令,其中复核高危命令又分为离线复核和在线复核。本节将分别对这几种复核操作进行介绍。
会话的复核人,只能为操作用户所选取的固定的一个复核人;命令的复核人,可以是所有可用复核人中的任意一个,每个可用复核人都会收到复核申请消息,当有一个复核人完成复核之后,其他复核人将不能再进行复核。
复核会话要求复核人能够成功打开字符或图形会话,即当前
中的配置正确,且本地PC安装了对应的会话客户端。当复核人为使用动态令牌登录,或使用的双因子认证中包含动态令牌的用户时,如复核人暂时无法进行复核,经协商一致,复核人可以将自己的PIN2码及动态令牌的动态密码发给操作员,并由操作员自己进行会话复核,具体方法参见:操作员自行复核。
仅当命令模板中的规则对应的执行动作为需复核时,复核人才会收到命令复核申请,其他执行动作不会触发命令复核申请。
前提:该复核人已参照复核会话打开了会话复核窗口,并观看操作用户的所有操作。
复核人可以在Web界面中查看自己所完成的所有会话复核和命令复核的日志。
项目 | 说明 |
---|---|
会话类型 | 字符会话或图形会话。 |
操作用户 | 操作用户的用户名和姓名。 |
操作资产 | 建立会话的资产在运维审计系统上的名称。 |
帐号 | 操作用户登录资产所使用的资产帐号。 |
完成时间 | 会话结束后到现在已经过去的时间。如会话仍在进行,则该项显示为空。 |
会话时长 | 会话持续时间。如会话仍在进行,单击刷新。 |
状态 | 会话状态:
|
操作 | 单击详情可查看该会话的更多详情,包括:
|
项目 | 说明 |
---|---|
复核类型 | 固定取值为命令复核。 |
复核内容 | 操作用户执行的具体命令。 |
操作用户 | 操作用户的用户名。 |
操作资产 | 建立会话的资产在运维审计系统上的名称。 |
帐号 | 操作用户登录资产所使用的资产帐号。 |
发起时间 | 发起命令复核到现在已经过去的时间。 |
状态 | 会话状态:
|
复核结果 | 允许执行或拒绝执行,表示命令被复核人允许或阻断。 |
管理员可以通过在Web界面的会话复核菜单中定义各种规则,来控制具体的会话复核行为,即要求特定的操作用户在访问特定的资产时,必须由特定的复核人进行复核之后,才能在该资产上执行各种操作。
如配置了多条操作用户和资产有重复的会话复核规则,则受多条规则影响的操作用户在启动会话时,复核人列表将是所有匹配的会话复核规则中定义的可用复核人的并集。
该名称为一个长度1~200的字符串,全局唯一。
事件级别由低到高依次为:NONE (不发送告警事件)—>DEBUG(调试级)—>INFORMATIONAL(通知级)—>NOTICE(注意级)—>WARNING(告警级)—>ERROR(错误级)—>CRITICAL(临界级)—>ALERT(警戒级)—>EMERGENCY(致命级)。
管理员可以通过在Web界面的高危命令菜单中定义各种规则,针对特定的用户、资产、帐号启用特定的高危命令模板,从而对用户在字符会话中的操作行为进行控制。
高危命令的上下顺序代表优先级高低,单击或可以调整优先级。当配置了多个命令模板,命令模板中有多条可匹配的规则时,建立会话时的命令权限检查流程流程图如图5.1 命令权限检查流程图所示。
本节以新增一条高危命令规则为例,对配置高危命令进行指导。在已添加了高危命令规则之后,也可以通过单击对应的编辑和删除按钮,对已有的高危命令规则进行管理。
如果所有的高危命令的规则都无法匹配,则使用此全局缺省策略。全局缺省策略的缺省值为允许执行。
该名称为一个长度1~200的字符串,全局唯一。
操作用户默认勾选全部用户。如需单独设置操作用户,请去勾选全部用户,并单击,在弹出的对话框中选择用户或用户组页签,勾选待添加的用户或用户组。可以勾选临时操作用户,将所有临时用户也都添加到待复核的操作用户名单中。
管理员也可以选中排除以下用户,然后选择要排除的用户。
资产默认勾选全部资产。如需单独设置资产,请去勾选全部资产,并单击,在弹出的对话框中选择资产或资产组页签,勾选待添加的资产或资产组。如添加了多个资产和资产组,且互相之间有重复资产,则将取所有勾选的资产和资产组之间的并集。
管理员也可以选中排除以下资产,然后选择要排除的资产。
默认勾选全部帐号,即操作用户使用任何帐号访问特定资产时都会触发高危命令。如需单独设置帐号,请去勾选全部帐号,请在下方的对话框中,输入要添加的帐号,并按回车确定。单击该对话框也将列出运维审计系统上记录的这些资产所拥有的所有帐号,选中某个帐号或者按回车之后,该帐号将在下方列出,表示添加成功。
管理员也可以选中排除以下帐号,然后输入要排除的帐号,多个帐号之间用英文逗号","分隔。
配置生效时间的格式如下:
利用该功能,可以实现以下效果:
事件级别由低到高依次为:NONE (不发送告警事件)—>DEBUG(调试级)—>INFORMATIONAL(通知级)—>NOTICE(注意级)—>WARNING(告警级)—>ERROR(错误级)—>CRITICAL(临界级)—>ALERT(警戒级)—>EMERGENCY(致命级)。
命令模板定义了高危命令触发的基本规则,即哪些命令会触发高危命令事件,以及触发之后具体执行的动作,包括:允许、拒绝、需复核、通知和终止会话。
rm -rf
只能匹配到完整的rm
-rf
命令,无法匹配到rm -rf files
,需要将表达式写成rm
-rf.*
从而匹配到命令rm -rf files
。shutdown
可以匹配到shutdown
本身,也可以匹配到shutdown
参数
的情况,如shutdown -r
。当用户执行的命令中存在|、&或;时,运维审计系统会将这些符号视作分隔符,并将分隔符前后当做不同命令来处理。因此,不能使用通配符匹配命令中的这些分隔符。当被分隔符分隔的命令受不同规则控制时,通知会被执行,其他动作会按照以下优先级:断开会话>拒绝>需复核>允许,只执行优先级最高的动作。
同一模板中的多条规则按从上到下的顺序对应从高到低的优先级。假如同一条命令匹配上了不同的规则,则只会按照这些规则中最上面的一条规则,执行对应的动作。可以在进行规则管理时单击或,对规则优先级进行调整。
本节以新增一个命令模板为例,对配置命令模板进行指导。在已添加了命令模板之后,也可以通过单击对应的规则管理按钮编辑规则,或单击编辑按钮编辑模板名称和缺省策略,单击删除按钮删除模板,从而对已有的命令模板进行管理。
参数 | 说明 |
---|---|
命令模板名称 | 用于标识一个命令模板,全局唯一,长度为1~200的字符串。 |
缺省策略 | 如果资产、用户和帐号都匹配上,但规则中配置的命令没有匹配上时运维审计系统采取的缺省策略,取值包括:
|
重复本步骤可以配置多个规则。
执行动作 | 说明 |
---|---|
允许 | 匹配的命令将被允许执行。 |
拒绝 | 匹配的命令将被拒绝执行。 |
终止会话 | 用户执行一条匹配的命令时,系统将在收到提示后直接断开该会话。 |
需复核 | 用户执行一条匹配的命令时,将收到需要复核的提醒。操作员确认后,复核人将收到复核提醒。完成复核后,该命令才能执行。 |
通知 | 不影响用户执行命令,但如配置了syslog日志通知、邮件通知、短信提醒等功能,该命令将触发事件并作为日志、邮件、短信的内容通知日志服务器或通知对象。 |
rm
,拒绝rm
-rf.*
,且设置允许的优先级较高,就可以实现只允许rm
,并可以搭配其他参数,但拒绝rm
-rf.*
。本章节指导用户完成运维审计系统基本的资产访问操作。
能够访问资产的用户角色包括:操作员、超级管理员、配置管理员、自动化管理员及其他自定义的拥有资产访问授权的用户角色。资产访问可以通过Web界面访问,也可以直接通过RDP或SSH/Telnet工具先登录到运维审计系统后,再跳转访问各种资产。
访问运维审计系统中的资产,需要先根据资产管理和权限管理,配置添加好对应的资产及权限,然后查找到对应的资产并进行访问。
在Web界面中查找资产主要有以下方式:
搜索类型 | 资产名称 | IP地址 | 简要说明 |
---|---|---|---|
快速搜索 | 与 | 或 | 不支持多关键字搜索 |
高级筛选 | 与 | 不支持多关键字搜索 | 与 |
通过运维审计系统建立会话有以下3种方式。
会话(Session)是指用户通过本地终端与目标资产设备之间建立连接,并进行通信的过程。通过运维审计系统建立的会话分为字符会话、图形会话、数据库会话和文件传输会话。
为了保证安全性,运维审计系统要求用户不能直接从本地终端访问目标资产,而是先登录运维审计系统,再通过运维审计系统访问目标资产,从而使用户可以访问目标资产,即建立起本地终端和目标资产之间的会话。
通过运维审计系统的Web界面建立会话,支持运维审计系统中所允许的所有形式的访问。基于Web界面的各种资产访问方式的步骤基本一致,只在前提条件和配置步骤上有一些差异,本文仅给出通用的步骤,并对不同访问方式的差异进行说明。
当前登录帐号使用的全局会话设置,请在帐号设置菜单中修改。请参考修改会话配置完成帐号会话配置的修改。
针对不同的资产类型和通信协议,访问相应的资产需要满足的前提条件如下。如资产无法访问,请联系管理员检查以下前提条件是否满足,并参考资产管理和权限管理完善配置。
主机和网络设备
主机类型 | 协议类型 | 前提条件 |
---|---|---|
|
SSH |
|
Telnet |
|
|
VNC |
|
|
XDMCP |
|
|
XFWD |
|
|
SFTP |
|
|
Windows | RDP |
|
VNC |
|
|
IBM AS/400 | TN5250 |
|
应用系统
通过Web界面建立会话的配置步骤如下。本节以单独启动一个会话为例,如需批量启动,请参考批量启动会话。
参数 | 说明 |
---|---|
系统帐号 | 除了VNC登录之外的其他登录方式都需要配置。用于标识登录对应资产时所使用的帐号。有以下几种类型:
Note:
|
客户端 | 仅当访问的资产是数据库、应用系统时需要配置。 用于选择使用哪种客户端打开对应的资产。选项范围为由超级管理员全局添加并由配置管理员在配置资产时勾选的所有客户端。 |
屏幕大小 | 仅当帐号设置中RDP会话使用mstsc方式启动,且待访问的资产为Windows主机或应用系统时为需要配置。应用系统需要该应用的远程客户端设置中,RemoteAPP参数设置为不使用,否则将不显示该参数。 用于选择打开的远程会话的屏幕的分辨率。 |
磁盘映射 | 仅当帐号设置中RDP会话使用mstsc方式启动,并且访问的资产是Windows主机(使用RDP方式登录)、应用系统时需要配置。用于标识是否启用磁盘映射并选择磁盘映射的盘符。 启用磁盘映射,并勾选或手动设置待映射的盘符,将本地PC对应盘符的硬盘,映射到待访问的资产上,使访问者可以直接在该资产上对本地PC上的相应硬盘进行读写操作。 |
启用Console连接 | 仅当使用RDP方式登录Windows主机,且该资产的RDP访问协议设置中勾选了console时显示该参数。 仅当待访问的主机系统是Windows Server时需要启用Console连接。启用Console连接表示使用/console参数登录Windows Server 2003,从而打开一个控制台会话,或使用/admin 参数登录Windows Server
2008/2012/2016,打开一个管理员模式的会话。 |
显示方式 | 仅当会话访问方式为VNC时显示该参数。
|
功能 | 说明 |
---|---|
备注 | 如超级管理员在启动后会弹出输入的备注的对话框,请输入备注后并单击启动。备注是一个1~100长度的字符串。 | 中设置了默认备注方式为可填或必填,则单击
SSH会话 | 以SSH协议访问Linux资产时,通过any帐号建立的会话,支持目标资产使用二维认证。访问时,不支持跳转来源和切换自。 |
VNC会话 | VNC会话启动后需要继续输入在待访问资产的VNC server上设置的VNC远程连接的密码。如配置资产时已托管了VNC密码,直接勾选使用已设置密码,并单击启动。 |
XFWD会话 | XFWD会话如初始登录到xterm字符终端,请输入待启动的图形/字符工具的路径,如/usr/bin/xfce4-session或/usr/bin/xfce4-terminal,打开图形或字符会话。 |
Web方式图形会话 | 以下几种方式建立会话时,会话会在浏览器新页签中打开:
在该界面中,可以单击上方的展开/收起按钮,展开标题栏,并单击右上方的按钮,实现发送Ctrl+Alt+Del、剪贴板、全屏、断开连接等操作。该场景下在浏览器中刷新会话访问界面,会话将被断开。单击浏览器上方的展开,将显示Failed
to connect to server (code:
1000)的错误信息。
也可以使用Ctrl+C/Ctrl+V键或右键的复制粘贴功能,在会话界面和本地PC之间复制粘贴文本信息,但不支持传输文件。 |
Web方式字符会话 | 在会话访问方式为web时,Telnet/SSH会话会使用浏览器打开。 在该界面中,使用鼠标选中某段文字时,会自动将该段文字复制到剪贴板中;当单击鼠标右键或按Shift+Ctrl+V时,会将剪贴板中的文字粘贴到会话窗口中。 该访问方式存在以下访问限制:
|
中,设置
数据库/应用系统会话 |
|
高危操作 | 该会话如匹配对应的高危操作规则,将受到高危操作规则的影响,需要进行复核,请参考执行高危操作。 |
帐号名称 | 说明 |
---|---|
快捷访问帐号 | 仅在非最近访问或收藏的访问界面启动会话时显示。表示每个资产建立会话时,分别使用该资产上一次访问时的会话配置(包括访问协议和帐号)。 |
最近访问帐号 | 仅在最近访问界面启动会话时显示。表示每个资产建立会话时,分别使用该资产上一次访问时的会话配置(包括访问协议和帐号)。 |
收藏帐号 | 仅在收藏界面启动会话时显示。表示建立每个会话时,分别使用该收藏对应的会话配置(包括访问协议和帐号)。 |
其他帐号 | 所有会话都将统一使用此处选择的协议和帐号。 |
通过Mstsc(Microsoft terminal services client)客户端建立到Windows服务器的图形会话有两种方式:RDP直连和RDP穿透。
参数 | 说明 |
---|---|
帐号 | 用于标识登录对应资产时所使用的帐号。有以下几种类型:
Note:
|
console | 仅当该资产的RDP访问协议设置中勾选了console时显示该参数。 仅当待访问的主机系统是Windows Server时需要启用Console连接。启用Console连接表示使用/console参数登录Windows Server 2003,从而打开一个控制台会话,或使用/admin 参数登录Windows
Server 2008/2012/2016,打开一个管理员模式的会话。 |
参数 | 说明 |
---|---|
计算机名 | 运维审计系统的IP地址 |
用户名 | 运维审计系统的用户名/目标资产的IP地址/访问目标资产的帐号,例如:opt/10.2.234.21/administrator |
操作员可以使用Telnet/SSH客户端,如Xshell、Putty等,通过SSH登录到运维审计系统,然后选择待访问的资产,并通过Telnet/SSH进行访问。
ssh opt/10.10.33.30/root@10.10.33.1
ssh
opt/fc00::1010:32::30/root@fc00::1010:32::1
。另外,当目标资产地址为IPv6时,无法在Windows环境下Xshell的命令行中使用ssh命令直连访问。通过该方式连接后,操作员可以直接经过运维审计系统登录到待访问资产。运维审计系统会根据该资产配置的访问协议(Telnet/SSH)自动进行连接,如该资产同时配置了Telnet/SSH,则默认使用SSH进行连接。
使用场景 | 输入 | 说明 |
---|---|---|
最外层资产分组列表菜单 | q | 退出登录运维审计系统 |
l | 切换语言(从中文到英文,或从英文到中文) | |
r | 重新加载数据 | |
/设备IP、名称或说明 | 过滤设备 | |
目标资产列表菜单 | i | 按IP排序 |
a | 按设备名称排序 | |
/设备IP、名称或说明 | 过滤设备 | |
任意子菜单 | 直接按回车键 | 返回上一级菜单 |
断开到设备的会话后 | 直接按回车键 | 回到资产分组列表菜单 |
r | 重新连接到已断开的会话 | |
q | 退出登录运维审计系统 |
帐号名称之前有*
,表示该帐号的密码已在运维审计系统上托管,运维审计系统连接该资产时将直接代填密码并登录。
当选择的帐号为self时,仅支持使用本地密码或AD/LDAP/RADUIS这些认证方式,并使用对应同名帐号的密码完成在登录资产时的代填;如使用双因子认证,将仅使用第一维认证的密码。
以SSH协议访问Linux资产时,通过any帐号建立的会话,支持目标资产使用二维认证。访问时,不支持跳转来源和切换自。
该会话如匹配对应的高危操作规则,将受到高危操作规则的影响,需要进行复核,请参考执行高危操作。
用户可以通过运维审计系统将已打开的会话,共享给另一个用户,实现两人同时对同一个会话进行操作。
会话共享支持同一个用户同时共享多个字符或图形会话,并且每个会话都可以共享给多个不同的用户。会话共享后,所有加入共享的用户都将看到同一个会话界面,并且同步所有键鼠操作。
会话共享不要求加入共享的用户拥有该资产的访问权限,只需要开启共享的用户拥有访问权限。
用户加入共享后,开启共享的用户不能取消对该用户的共享。但如果开启共享的用户关掉被共享的会话窗口,所有加入共享的用户的会话窗口都将被自动关闭。
运维审计系统没有对同一个会话共享加入的人数设置限制,只有字符会话会受到系统设置中字符终端的并发登录数量的限制。但不建议一个会话同时共享给太多人,因为不同人的操作会互相影响。
会话共享有以下使用限制:
受邀人收到共享邀请后可以选择加入会话共享。
传输文件是指用户将本地PC通过运维审计系统访问目标设备,并且将本地PC作为客户端,将资产设备作为服务端,从资产设备上传/下载文件的操作。
基于运维审计系统的文件传输方式有很多种。下表列出了运维审计系统支持的所有文件传输方式及相互之间的比较,请用户根据自己的实际情况及喜好,灵活选用文件传输方式。
对于配置了跳转来源的资产或者切换自的帐号,不支持通过SFTP传输文件。
传输方式 | 目标资产系统系统要求 | 依赖软件 | 推荐程度 |
---|---|---|---|
通过网盘传输文件(网盘模式) |
|
无 |
|
通过Web界面建立SFTP会话传输文件 |
|
本地PC:
|
目标资产非Windows时推荐 |
通过SFTP工具直连目标资产传输文件 | 本地PC:SFTP工具(FileZilla、WinSCP、Xftp等) | 不推荐 | |
在字符终端中通过SFTP传输文件 | 本地PC为Windows时需要安装字符终端工具,如Xshell | 本地PC为Linux/Unix时推荐 | |
在字符会话中通过ZMODEM传输文件 |
|
小文件时推荐。不能传输超过2GB的文件 | |
在RDP图形会话中通过剪贴板传输文件 | Windows | 本地PC:Mstsc客户端 | 目标资产为Windows时且通过mstsc方式建立RDP会话时推荐使用 |
在RDP图形会话中通过磁盘映射传输文件 | Windows | 本地PC:Mstsc客户端 | 目标资产为Windows时且通过mstsc方式建立RDP会话时推荐使用 |
运维审计系统自带网盘功能,实现本地PC和Linux/Unix/Windows资产之间传输文件。本地PC与Linux/Unix主机之间的文件传输建议首选该方式。通过网盘功能,用户可以直观地将文件在本地PC、运维审计系统、目标资产设备之间上传/下载。
操作 | 说明 |
---|---|
查询 | 在对话框中,输入文件或文件夹的名称并按回车键进行查询。如未勾选查询子文件/文件夹,只会搜索当前文件夹内的内容。但勾选了查询子文件/文件夹后,不能执行批量操作。 |
新建文件夹 | 在文件列表中进入指定的目录,然后单击新建文件夹,填入文件夹的名称,在当前路径新建文件夹。 |
上传 | 在文件列表中进入指定的目录,然后单击上传,并在弹出的对话框中选中本地PC上待上传的文件,将文件上传到当前进入的目录。 Note: 上传文件是需要满足以下条件:
|
下载 | 在文件列表中找到待下载的文件或文件夹,单击下载将文件下载到本地PC。如需批量下载,请勾选所有待下载的文件,并单击下方的批量下载,下载文件夹或批量下载文件,运维审计系统将使用zip压缩包打包。 |
删除 | 在文件列表中找到待删除的文件或文件夹,单击...,在下拉菜单中选择删除,并单击确认。如需批量删除,请勾选所有待删除文件,并单击下方的批量删除。 |
重命名 | 在文件列表中找到待重命名的文件或文件夹,单击...并在下拉菜单中选择重命名,在对话框中输入新的文件名并单击确定。新的文件名必须是一个长度为1~100的字符串,不能以“.”开头且不能包含“\”或“/”。 |
移动至 | 在文件列表中找到待移动的文件,单击...并在下拉菜单中选择移动至,在弹出的对话框中选择目的路径。如需批量移动,请勾选所有待移动的文件,并单击下方的移动至。文件夹不能进行移动。 |
分享文件 | 在文件列表中找到待分享的文件,单击...并在下拉菜单中选择分享文件,在弹出的对话框中输入有效时长(天),取值范围为1~30天。单击确定后,会弹出分享链接及密码。已分享的文件可以单击...并在下拉菜单中选择查看分享链接或取消分享。 |
获取分享的文件 | 获取分享文件的用户必须具有文件传输权限。用户接收到分享链接和密码之后,请按以下操作获取文件:
|
用户可以登录运维审计系统客户端,建立本地PC和目标资产之间的SFTP会话,从而完成与目标资产间的文件传输。
通过运维审计系统 Web界面建立SFTP会话,只能使用Filezilla或WinSCP工具,在 中设置。本文以FileZilla为例进行介绍。
可以使用Shift或Ctrl选中多个文件并上传/下载。
单个文件大小如超过文件传输权限中规定的单个文件大小限制,传输会出错,请取消传输或联系配置管理员调整权限。因超出大小限制而上传失败时,已上传的文件会被自动删除;因超出大小限制而下载失败时,会在本地生成一个空的文件。
用户可以直接通过SFTP工具,建立从本地PC到运维审计系统再到目标资产之间的SFTP会话,从而完成与目标资产间的文件传输。
可以使用各种支持SFTP协议的工具,如Filezilla、WinSCP、Xftp等,建立到目标资产的会话。本文以FileZilla为例进行介绍。
通过SFTP工具无法在连接到运维审计系统之后再查看可以连接的资产并连接资产。因此必须提前准备好目标资产的IP地址,并确保连接目标资产的帐号已在运维审计系统上托管密码。
可以使用Shift或Ctrl选中多个文件并上传/下载。
单个文件大小如超过文件传输权限中规定的单个文件大小限制,传输会出错,请取消传输或联系配置管理员调整权限。因超出大小限制而上传失败时,已上传的文件会被自动删除;因超出大小限制而下载失败时,会在本地生成一个空的文件。
用户可以在字符终端中,直接通过SFTP命令,建立从本地PC到运维审计系统再到目标资产之间的SFTP会话,从而完成与目标资产间的文件传输。用户也可以在字符终端中直接打开文件传输工具,例如在Xshell中单击文件传输图标,启动Xftp进行文件传输。
sftp 运维审计系统的用户名/目标资产的IP地址/访问目标资产的帐号@运维审计系统的IP地址
sftp
opt/10.10.33.30/root@10.10.33.1
。sftp
admin/fc00:1010:32::30/root@[fc00:1010:32::1]
。get 待下载文件的源路径(远端) 待下载文件的目标路径(本地)
put 待上传文件的源路径(本地) 待上传文件的目标路径(远端)
用户可以在字符终端中连接到运维审计系统,并通过运维审计系统再连接到目标资产,然后使用rz和sz命令上传/下载文件。
yum
install
lrzsz
命令直接下载并安装。建立本地PC和目标资产直接的字符会话,可以通过Web界面来建立,也可以直接通过字符终端连接到运维审计系统再跳转到目标资产。
cd 待上传文件的目录
rz
cd 待下载文件所在的目录
sz 待下载文件的文件名
本地PC与Windows主机之间的文件传输,建议首选此方式。通过RDP登录到目标主机后使用剪贴板完成文件传输。
通过运维审计系统 Web界面建立RDP图形会话,和直接通过mstsc远程登录到运维审计系统并跳转到目标主机,都可以使用剪贴板实现文件传输。
本地PC与Windows主机之间的文件传输,可以使用此方式。通过RDP登录到目标主机后,将本地PC的硬盘映射到目标主机,完成文件传输。
当管理员配置了高危操作时,特定操作用户如访问特定的资产时,会要求会话复核;如在特定资产的字符会话上执行某些特定的命令时,会触发高危命令,执行的命令被发送通知、被要求复核、被直接拒绝,或被直接断开会话。
根据管理员在配置高危操作中的配置,操作员在进行资产访问和执行命令时都有可能触发已配置的高危操作规则,已配置的具体规则请向管理员咨询。
现象 | 说明 | 处理方法 |
---|---|---|
通过Web界面建立会话,单击启动后出现启动资产窗口,包含复核人下拉菜单。 | 操作员触发了会话复核规则,需要完成会话复核后才能进行操作。 |
|
通过SSH客户端建立会话,选择资产和帐号名称后,提示请选择会话复核用户。 | ||
执行命令,提示This command requires manager's confirmation, are you sure?[Y/n]。 | 操作员触发了命令复核规则,需要完成命令复核后命令才能被执行。 |
|
执行命令,提示You are not allowed to use this command。 | 操作员触发了拒绝用户执行的高危命令 | 请使用其他允许被执行的命令。 |
执行命令,提示Session will be killed because of this command。 | 操作员因执行高危命令,触发了断开会话的操作 | 请重新打开会话,并使用其他允许被执行的命令。 |
复核人不是使用动态令牌的用户时,操作员将收不到该复核提醒,无法自己进行复核。该方法仅适用于会话复核,不支持命令复核。
高危操作规则如配置有误,访问资产或执行命令将无法进行,具体现象和处理方法如下:
现象 | 说明 | 处理方法 |
---|---|---|
在Web界面单击启动会话时,提示操作失败。 | 可能原因:会话复核规则中设置的所有复核人均不可用。 | 联系管理员检查会话复核规则是否存在问题。 |
在SSH客户端上启动会话时,提示Not authorized to login to server 'XX' with account 'YY'。 | ||
执行命令,提示No valid user for confirmation. Please contact the administrator。 | 命令复核规则没有设置复核人或设置的所有复核人均不可用。 | 联系管理员为命令复核规则设置可用的复核人。 |
运维审计系统支持操作员触发会话复核后,只需向复核人获取并正确输入访问授权码,即可打开会话访问窗口,并执行相应的操作。
复核人的登录认证方式 | 访问授权码的组成 |
---|---|
动态令牌 | PIN2码+动态令牌码 |
本地密码+动态令牌 | |
AD/LDAP+动态令牌 | |
RADIUS+动态令牌 | |
本地密码+手机令牌 | 手机令牌码 |
AD/LDAP+手机令牌 | |
RADIUS+手机令牌 | |
本地密码+短信认证 | 短信验证码 |
AD/LDAP+短信认证 | |
RADIUS+短信认证 |
用户通过运维审计系统访问目标资产时,不同资产类型和系统版本支持的访问方式有所不同。
如果管理员为主机资产配置了远程客户端,用户可以直接通过应用发布服务器中已经发布的应用访问目标资产。
资产类型和版本 | 字符访问 (SSH、Telnet、 web方式) |
图形访问 (VNC、XFWD 、XDMCP) |
文件传输 | 自动化 |
---|---|---|---|---|
General Linux:
|
支持 | 支持 | 支持 | 支持 |
IBM AIX | 支持 | 不支持 | 部分支持 | 支持 |
HP UX | 支持 | 部分支持 | 部分支持 | 支持 |
SUSELinux:12/15 | 支持 | 部分支持 | 支持 | 支持 |
KylinLinux(银河麒麟服务器版):v4、v10 | 支持 | 部分支持 | 支持 | 支持 |
UOS(统信服务器版):v20 | 支持 | 部分支持 | 支持 | 支持 |
自定义主机资产 | 支持 | 支持 | 不支持 | 支持 |
系统版本 | 图形访问RDP(mstsc / web) | 文件传输 |
---|---|---|
Windows Server:
|
支持 | 支持 Note: 通过Web方式访问时,从R6113P01版本开始支持文件传输功能;之前的版本不支持文件传输功能。
Windows Server 2003 Enterprise SP2 x86类型的Windows资产不支持使用文件传输功能。 |
如果管理员为网络设备配置了远程客户端,用户可以直接通过应用发布服务器中已经发布的应用访问目标资产。
资产类型和版本 | 字符访问 (SSH、Telnet、 web方式) |
文件传输 | 自动化 |
---|---|---|---|
H3C Comware:
|
支持 | 不支持 | 支持 |
Cisco IOS:
|
支持 Note: Cisco IOS Device 7200类型的网络设备仅支持通过Telnet协议访问,不支持通过SSH协议访问。
|
不支持 | 支持 |
Juniper NetScreen: Juniper Junos SRX | 支持 | 不支持 | 支持 |
Huawei Quidway: HUAWEI Quidway S5700-28C-HI | 支持 | 不支持 | 支持 |
General Network | 支持 | 不支持 | 支持 |
自定义网络资产 | 支持 | 不支持 | 支持 |
访问应用系统需要借助应用发布服务器实现。
资产类型 | 应用程序 | 密码代填 | 文件传输 | 备注 |
---|---|---|---|---|
B/S | R6113P09及以上版本仅支持Chrome 113(Windows Server2016/2019)、Chrome 90(Windows Server2008/2012)、Firefox 88和Edge 109;R6113P01~P08仅支持Chrome 90和Firefox 88;R6113及之前版本仅支持Chrome 65和Firefox 55~59。 |
支持 | 不支持 | 若无特殊说明,版本为大版本号。以Chrome 90为例,表示支持所有90开头的小版本,包括32位和64位的浏览器。 |
B/S IE | IE 11 | 支持(不支持js Iframe跨域) | 不支持 | 代填URL包含IPv6地址时,审计中的URL将无法被记录。 |
Weblogic |
|
支持 | 不支持 | 若无特殊说明,版本为大版本号。以Chrome 90为例,表示支持所有90开头的小版本,包括32位和64位的浏览器。 |
C/S |
|
支持 | 不支持 |
|
WinSCP 5.21.7 | 支持 | 支持 | WinSCP是使用在Windows环境下的SFTP客户端。 |
访问数据库需要借助应用发布服务器实现。运维审计系统仅支持通过下表中列举的客户端软件访问不同类型的数据库。
数据库 | 客户端软件 | 数据库代填 | 数据库审计 | 备注 |
---|---|---|---|---|
Oracle:
|
|
支持 | 部分支持,以下情况不支持数据库审计:
|
|
PL/SQL Developer 12.0 英文版 (从R6114P02版本开始支持) | Oracle 9i不支持,其他版本支持 | 使用64位本客户端时不支持;使用32位本客户端时支持。 | ||
SQL DeveloperW 1.5.5中文版 | 不支持 | 不支持 | ||
OEM | 部分支持(Oracle 9i和Oracle 10g不支持代填;Oracle 11g、Oracle 11gR2-RAC和Oracle 12c通过B/S模式代填) | 不支持 | - | |
MSSQL:
|
Ssms 2014中文版 | 支持 | 支持 | 连接方式为TCP,且身份认证方式为SQL Server身份验证或Windows身份验证。其中Windows身份验证仅支持使用域帐号验证,不支持使用本地帐号。 |
MSSQL: SQLServer 2019 | Ssms 18.12.1中文版(从 R6113P09 版本开始支持) | 支持 | 支持 | |
MySQL:
|
|
支持 | 支持 |
|
DB2 v9.7 |
|
不支持 | 不支持 | 用户第一次通过Toad for DB2客户端登录时,由于会出现引导页面而导致无法代填,请手工填写。 |
SqlDbx for DB2 4.17英文版 | 支持 | 不支持 | - | |
DaMeng(达梦) 6/7/8 |
|
支持 | 不支持 | 从R6114P02版本开始支持 |
Kingbase ES8 | DbVisualizer 23.2.2 | 支持 | 不支持 | 从R6114P02版本开始支持 |
Gbase 8 | Navicat Premium 16.1.8中文版 | 支持 | 不支持 | 从R6114P02版本开始支持 |
Mongo 3.6/4.2/5.0 |
|
支持 | 不支持 | Robo3T不支持IPv6。从R6114P02版本开始支持 |
PgSQL
|
Navicat Premium 16.1.8中文版 | 支持 | 不支持 | 从R6114P02版本开始支持 |
PgSQL 14 | Navicat Premium 16.1.15 | 支持 | 不支持 | 从R6114P02版本开始支持 |
|
|
|
通过VNC协议、XDMCP协议和XFWD协议启动图形会话时,运维审计系统将直接通过Web方式启动,用户无需在本地PC中安装相关客户端。
|
不同资产支持的批量启动情况,如下表所示。
资产类型 | 协议 | 支持情况 |
---|---|---|
Windows | RDP | 支持 |
Windows | VNC | 默认不支持。只有资产同时配置了其他协议和VNC协议,快捷访问图标为VNC协议并且托管帐号密码时,才支持批量启动。 |
Linux/UOS/KylinLinux/SUSELinux | SSH/Telnet/XDMCP/XFWD | 支持 |
Linux/UOS/KylinLinux/SUSELinux | VNC | 默认不支持。只有资产同时配置了其他协议和VNC协议,快捷访问图标为VNC协议并且托管帐号密码时,才支持批量启动。 |
Linux/UOS/KylinLinux/SUSELinux | SFTP | 默认不支持。只有资产同时配置了SSH协议和SFTP协议,快捷访问图标为SFTP协议并且托管帐号密码时,才支持批量启动。 |
HP UX | SSH/Telnet | 支持 |
IBM AIX | SSH/Telnet | 支持 |
IBM AS/400 | TN5250 | 支持 |
资产类型 | 协议 | 支持情况 |
---|---|---|
Cisco IOS | SSH/Telnet | 支持 |
Huawei Quidway | SSH/Telnet | 支持 |
Juniper NetScreen | SSH/Telnet | 支持 |
H3C Comware | SSH/Telnet | 支持 |
General Network | SSH/Telnet | 支持 |
资产类型 | 访问客户端 | 支持情况 |
---|---|---|
B/S | Chrome/Firefox/Edge | 支持 |
B/S IE | IE | 支持 |
Weblogic | Chrome/Firefox/Edge | 支持 |
C/S | Radmin/SQL Advantage/Sybase Central/VpxClient/ASDM/VNC Viewer/Robo3T/DM管理工具(DM Manager)/WinSCP | 支持 |
资产类型 | 访问客户端 | 支持情况 |
---|---|---|
Oracle | Toad/SqlDbx/SQL Plusw/PLSQL Developer/OEM/Navicat Premium | 支持 |
MySQL | SQLyog/Navicat | 支持 |
MSSQL | Ssms/Ssms18 | 支持 |
DB2 | SqlDbx for DB2/QuestCentral/Toad for DB2 | 支持 |
DaMeng | dbvis_dm6、dbvis_dm、DMManager | 支持 |
Kingbase | dbvis_kingbase | 支持 |
Gbase | Navicat_Premium_16_Gbase | 支持 |
Mongo | MongoDB Compass、Robo3T | 支持 |
PgSQL | navicat_for_pg | 支持 |
本章节指导用户完成运维审计系统基本的审计操作。
能够使用在线审计功能的用户类型包括:审计管理员、超级管理员及其他自定义的拥有审计授权的用户类型。超级管理员和审计管理员默认拥有所有审计权限。自定义的用户角色如添加了审计权限,可以具体配置是否勾选查看键盘记录和下载会话权限,参见配置用户角色权限。这两项权限具体对应的操作如下:
|
本章后续内容中默认用户拥有查看键盘记录和下载会话权限来进行介绍,如找不到对应的功能,请对照上表检查是否具备相应权限。
在线审计操作又分为两种:操作审计和事件审计。同时运维审计系统也提供了审计数据概览、会话情况统计及问题检索等功能,方便审计管理员快速了解运维审计系统的安全状况并对具体审计记录进行快速检索。
介绍在线审计时,默认用户已使用拥有审计权限的帐户登录了Web界面。本章节面向的读者对象主要是审计管理员,因此下文中提到的用户均称为审计管理员。
在运维审计系统审计操作主界面,可以通过切换页签,查看审计数据概览与会话情况统计等相关信息,从而对系统的整体运行情况进行直观的了解。
审计管理员可以查看审计数据概览,对当前的在线会话、用户、资产等信息进行查看,并通过单击相应内容,进行更细致的查看。
项目 | 说明 | 单击跳转后的内容 |
---|---|---|
在线会话 | 显示当前所有在线的字符、图形、数据库会话的总数。 | 跳转到在线会话菜单,请参考审计在线会话进行相关操作。 |
在线字符会话 | 显示当前所有在线的字符会话的总数。 | 跳转到字符会话菜单,并在筛选条件中设置了状态为活跃。请参考审计字符会话进行相关操作。 |
在线图形会话 | 显示当前所有在线的图形会话的总数。 | 跳转到图形会话菜单,并在筛选条件中设置了状态为活跃。请参考审计图形会话进行相关操作。 |
在线数据库会话 | 显示当前所有在线的数据库会话的总数。 | 跳转到数据库会话菜单,并在筛选条件中设置了状态为活跃。请参考审计数据库会话进行相关操作。 |
Web在线用户 | 显示当前Web界面的所有在线用户的总数。 | 跳转到单独的Web在线用户查看页面。可以查看当前Web在线用户的帐号、姓名、来源IP、角色、活动会话数,并对指定用户执行强制下线。 Note:
|
在线资产 | 显示当前所有通过运维审计系统建立了在线会话的资产的总数。 | 跳转到单独的在线资产查看页面。可以查看当前已建立会话的资产的资产名称、资产IP、资产类型、简要说明和活动会话数。 可以在搜索框中输入资产名称、资产IP、简要说明进行模糊查询,筛选要查看的在线的资产范围。 |
直连用户 | 显示所有使用RDP/SSH/SFTP客户端登录运维审计系统的用户的总和。
Note: 只要登录到运维审计系统就会统计,不一定要访问资产。
|
跳转到单独的在线直连用户会话查看页面。可以查看当前直连在线用户的帐号、姓名、角色、在线会话的来源IP和连接方式。 可以在搜索框中输入帐号、姓名、来源IP进行模糊查询;也可以通过用户角色进行筛选。 |
审计管理员可以查看运维审计系统的会话情况统计,包括本周TOP用户会话数、本周TOP资产会话数、在线会话和会话文件大小。
请进入审计界面主菜单(单击审计图标,返回主菜单),并选择会话情况统计进行查看。
;如已在审计菜单中,单击左上角的会话情况统计的各块内容介绍如下:
显示一周之内(从当前时间点往前的7*24小时内)访问会话数最多的5个用户。每个用户的会话总数以柱状图的形式呈现,柱状图中的每一块内容分别代表字符、图形、数据库会话的数量,具体含义参见图表下方的图例所示。
显示一周之内(从当前时间点往前的7*24小时内)被访问次数最多的5个资产。每个资产建立的会话总数以柱状图的形式呈现,柱状图中的每一块内容分别代表字符、图形、数据库会话的数量,具体含义参见图表下方的图例所示。
显示在线会话的总数以及字符、图形、数据库会话各自的总数。和审计数据概览中显示的相同,但此处仅作为显示,不能单击数字跳转到对应的页面。
显示当前运维审计系统后台存储的会话记录文件占用的磁盘空间大小。分为字符会话和图形会话两部分。单位为GB和MB,例如会话文件大小显示为5GB 20MB,表示实际大小为5GB+20MB。
审计管理员可以按不同的检索方式对会话审计记录进行检索,从而快速找到期望的审计记录并进行问题定位。
在审计记录中检索问题,有以下4种方式:直接检索、按资产检索、按用户检索、按会话操作检索。
可以先单击筛选设置筛选查找条件,或在搜索框中输入资产名称/IP/简要说明,查找到对应的资产并进行勾选,然后单击确定。如不勾选则默认检索当前审计管理员在运维审计系统上可审计的所有资产。
也可以单击下方的Top活跃资产列表中的某个资产,直接检索该资产相关的审计记录。
可以先单击筛选设置筛选查找条件,或在搜索框中输入帐号/姓名,查找到对应的用户并进行勾选,然后单击确定。如不勾选则默认检索运维审计系统上的所有用户。
也可以单击下方的Top活跃用户列表中的某个用户,直接检索该用户相关的审计记录。
选项 | 说明 |
---|---|
字符会话 | 输入字符终端上执行的命令,例如ls 、cd 。 |
图形会话 | 输入以下内容其中的一条或多条:
|
数据库会话 | 输入SQL语句,例如select 。 |
文件传输 | 输入文件路径,例如/root 。 |
tn5250会话 | 输入Menu/Text/功能键/提交数据,例如User
tasks 。 |
显示项 | 说明 |
---|---|
会话时间 | 会话开始的时间,例如2018-08-06 19:24:19。 |
发起用户 | 通过运维审计系统建立该会话的运维审计系统用户的用户名及连接到资产的主机的IP地址,例如admin(10.10.10.10)。 |
连接资产 | 会话连接的资产名称及IP地址,例如CentOS7(192.168.1.10)。 |
操作信息 | 使用按会话操作检索时不会显示。另外,根据不同的会话类型,显示的内容会不一样:
|
匹配结果 | 仅当按会话操作检索时会显示,显示匹配上的操作的数量,例如已匹配5条。并且在该条记录的下方会显示详细的匹配情况,匹配上的内容会用颜色标出。 |
其他操作 |
Note: TN5250会话只会显示详情、回放和切断三个操作。
|
页签 | 说明 |
---|---|
会话 | 按用户设置的筛选条件检索出来的所有结果。 |
敏感会话 | 检索结果中包含敏感命令的会话。敏感命令是在高危操作中定义的高危命令,当部署的运维审计系统未启用高危操作功能时请忽略此页签。 |
大日志会话 | 检索结果中会话审计记录文件超过100MB的会话。 |
特权会话 | 检索结果中使用特权帐号登录资产的帐号。 |
所有会话 | 仅当使用直接检索或按用户检索时会显示该页签。除了会话页签显示的会话之外,还会将符合筛选条件的用户的所有的登录、登出和修改设置的操作都作为会话列出来。但仅能对该页签中的各访问资产的会话条目执行更多操作。 |
审计管理员可以查看所有在线或已完成的用户会话,查看会话的回放、按键、标题等信息,并对在线会话执行实时查看和切断等操作。
审计管理员可以查看当前所有的正在进行的会话,对会话内容进行实时监视,并随时切断会话。
项目 | 说明 |
---|---|
开始时间 | 会话开始的时间,例如2018-08-06 19:24:19。 |
来自 | 直接连接到资产的主机的IP地址。 |
用户帐号 | 用户登录运维审计系统的帐号。 |
资产名 | 会话连接的资产在运维审计系统上记录的名称。 |
系统帐号 | 会话连接使用的该资产上的帐号名称。 |
会话类型 | 图形会话或字符会话。 |
协议 | 会话使用的协议名称,例如ssh、rdp。应用系统会话该信息为空。 |
会话时长 | 会话从开始到当前时间的总计时长。单击后才会刷新该时长。 |
用户姓名 | 登录运维审计系统的用户的姓名,在帐号设置中设置。 |
资产IP | 会话连接的资产的IP地址。 |
操作 |
|
审计管理员可以查看所有在线或已关闭的字符会话,并执行查看会话详情和回放等功能。字符会话包括所有主机、网络设备中使用ssh、telnet、tn5250协议建立的会话。
项目 | 说明 |
---|---|
开始时间 | 会话开始的时间。 |
结束时间 | 会话结束的时间。 |
来自 | 直接连接到资产的主机的IP地址。 |
用户帐号 | 用户登录运维审计系统的帐号。 |
用户姓名 | 用户登录运维审计系统的帐号对应的姓名,在帐号设置中设置。 |
资产名称 | 会话连接的资产在运维审计系统上记录的名称。 |
系统帐号 | 会话连接使用的该资产上的帐号名称。 |
协议 | 会话使用的协议名称:ssh、telnet、tn5250。 |
命令数 | 用户执行的命令的数量,括号前的数字表示命令总数,括号内的数字表示敏感命令的数量。敏感命令是在高危操作中定义的高危命令,当部署的运维审计系统未启用高危操作功能时该数字始终为0。 |
会话时长 | 会话从开始到当前时间的总计时长。单击后才会刷新该时长。 |
状态 | 会话的连接状态:活跃、断开,或强制断开。强制断开表示审计管理员使用切断功能强制切断了该会话。 Note: 为了保证系统性能,在线会话断开后,该页面的状态属性不会实时更新。当有用户第一次访问审计概览或 页面时,系统会立即更新 界面显示的会话状态。状态更新后,10分钟内如有会话断开,状态将不会实时更新;10分钟后,当再有任意用户访问以上三个页面之一时, 中的会话断开状态才会进行更新。
|
资产IP | 会话连接的资产的IP地址。 |
文件(MB) | 会话记录文件的大小,当大小小于0.01MB时只显示为“<0.01 MB”。 |
操作 |
|
按键 | 说明 |
---|---|
空格 | 暂停/取消暂停回放 |
回车 | 切换到原始的交互速度或使用固定速度 |
+/→ | 将播放速度提升一倍 |
-/← | 将播放速度降低一倍 |
Pg Up | 查看上一条命令 |
Pg Dn | 查看下一条命令 |
Home | 从头开始播放 |
End | 查看最后一条命令 |
Ctrl+C | 强制退出回放 |
q | 全部播放完成后,按q退出 |
审计管理员可以查看所有在线或已关闭的图形会话,并执行查看会话详情和回放等功能。图形会话包括所有主机、网络设备中使用rdp、xdmcp、xfwd、vnc协议建立的会话、数据库会话及应用系统会话。
项目 | 说明 |
---|---|
开始时间 | 会话开始的时间,例如2018-08-06 19:24:19。 |
结束时间 | 会话结束的时间,例如2018-08-06 19:33:15。 |
来自 | 直接连接到资产的主机的IP地址。 |
用户帐号 | 用户登录运维审计系统的帐号。 |
用户姓名 | 用户登录运维审计系统的帐号对应的姓名,在帐号设置中设置。 |
资产名 | 会话连接的资产在运维审计系统上记录的名称。 |
系统帐号 | 会话连接使用的该资产上的帐号名称。 |
协议 | 会话使用的协议名称:rdp、xdmcp、xfwd、vnc。应用系统会话该信息为空。 |
文件(MB) | 会话生成的记录文件的大小。 |
会话时长 | 会话从开始到当前时间的总计时长。单击后才会刷新该时长。 |
状态 | 会话的连接状态。
Note: 为了保证系统性能,在线会话断开后,该页面的状态属性不会实时更新。当有用户第一次访问审计概览或 页面时,系统会立即更新 界面显示的会话状态。状态更新后,10分钟内如有会话断开,状态将不会实时更新;10分钟后,当再有任意用户访问以上三个页面之一时, 中的会话断开状态才会进行更新。
|
操作 |
|
资产IP | 会话连接的资产的IP地址。数据库、应用系统会话该项信息为空。 |
客户端类型 | 建立会话所使用的客户端类型,包括mstsc和novnc。 |
屏幕高 | 会话实际占用的屏幕高度。最大化时不包含任务栏的高度。 |
屏幕宽 | 会话实际占用的屏幕宽度。 |
应用地址 | 数据库、应用系统的IP地址。其他会话该项信息为空。 |
应用类型 | 数据库、应用系统的类型,包括DATABASE、B/S、C/S、B/S IE和Weblogic。其他会话该项信息为空。 |
应用客户端 | 连接数据库、应用系统所使用的应用客户端,例如Toad、chrome等。其他会话该项信息为空。 |
<CtrlAlt-Delete>
、cd
D:\boot
。可以在某一条记录后单击回放,从该操作处开始回放直到结束。参数 | 说明 |
---|---|
时间 | 完成复制或粘贴操作的时间。 |
记录 | 复制到剪贴板中的文本,如文本过长,将对部分文本进行省略,最后显示为省略号。 |
方向 |
|
操作 |
|
审计管理员可以查看所有在线或已关闭的数据库会话,结合同时记录的图形会话,完成对用户的数据库操作的审计。
数据库会话中会记录用户通过客户端登录数据库及在数据库上执行的所有语句。用户在数据库客户端上执行的所有键鼠操作,同时也都会记录在图形会话中,因此建议审计管理员将数据库会话和图形会话结合起来,完成对数据库访问过程的审计。
用户必须通过运维审计系统代填主机名及服务名并连接到数据库,才会在运维审计系统中留下审计记录。如果自己填写主机名和服务名并进行连接,相当于不通过运维审计系统建立数据库会话,审计管理员将无法看到对应的数据库会话审计记录,但可以看到图形会话审计记录。
部分数据库不支持数据库审计,只支持图形审计功能。详情请参见数据库访问兼容性列表。
项目 | 说明 |
---|---|
开始时间 | 会话开始的时间,例如2018-08-06 19:24:19。 |
结束时间 | 会话结束的时间,例如2018-08-06 19:33:15。 |
来自 | 直接连接到数据库的IP地址。 |
用户帐号 | 用户登录运维审计系统的帐号。 |
用户姓名 | 用户登录运维审计系统的帐号对应的姓名,在帐号设置中设置。 |
资产名 | 会话连接的数据库在运维审计系统上记录的名称。 |
系统帐号 | 会话连接使用的该数据库上的帐号名称。 |
会话时长 | 会话从开始到当前时间的总计时长。单击后才会刷新该时长。 |
资产IP | 会话连接的资产的IP地址。 |
状态 | 会话的连接状态:活跃、断开。 |
数据库类型 | 会话访问的数据库类型,例如Oracle、MSSQL。 |
数据库名 | 会话访问的数据库名称,例如devdb、sql2000。 |
数据库客户端 | 连接数据库所使用的数据库客户端,例如Toad、Ssms。 |
操作 |
|
项目 | 说明 |
---|---|
执行时间 | 执行该SQL语句的具体时间。 |
语句 | 被执行的SQL语句的具体内容。客户端自身执行的SQL语句也会被记录。 |
操作 |
|
审计管理员可以查看所有已完成的文件传输会话,并执行查看详情的功能。运维审计系统可以审计到的文件传输会话包含传输文件中所用到的所有文件传输方式。
项目 | 说明 |
---|---|
开始时间 | 文件传输操作开始的时间,例如2018-08-06 19:24:19,不是会话建立的时间。 |
结束时间 | 文件传输结束的时间,例如2018-08-06 19:24:21。 |
来自 | 和资产设备之间传输文件的主机的IP地址。 |
用户帐号 | 用户登录运维审计系统的帐号。 |
用户姓名 | 用户登录运维审计系统的帐号对应的姓名,在帐号设置中设置。 |
资产名 | 会话连接的资产在运维审计系统上记录的名称。 |
系统帐号 | 会话连接使用的该资产上的帐号名称。 |
操作类型 | 用户在文件传输会话中执行的具体操作,例如上传文件、下载文件、删除文件、新建文件夹、磁盘映射文件读取、磁盘映射文件写入等。 Note: 其中,磁盘映射文件读取表示从映射的磁盘中读取文件,即向目标资产中上传文件;磁盘映射文件写入表示向映射的磁盘中写入文件,即从目标资产中下载文件。
|
文件路径 | 无论上传或下载,只显示该文件在资产设备上的路径。远端资产设备为Windows设备时仅显示文件名。 |
文件大小 | 传输的文件的总大小和单位。 |
状态 | 文件传输的结果,例如:成功、失败、无权访问、失去连接。 |
会话时长 | 完成该次文件传输所花费的时间,最小单位为1秒。 |
文件权限 | 仅当远端资产设备为Linux/Unix主机时会显示,三位数字的Linux/Unix格式的权限,表示该文件在该远端资产上的权限。 |
操作 |
Note: 当审计文件不存在时,单击下载按钮后,运维审计系统将提示下载文件失败。
|
审计管理员除了对会话进行审计,也可以审计Web界面中的各种事件,包括登录日志、配置日志和审计记录。
审计管理员可以查看所有用户的登录日志,以确保运维审计系统没有异常登录的情况。
项目 | 说明 |
---|---|
时间 | 该帐号登入或登出的时间。 |
来自 | 该帐号登录请求的来源IP。如登录操作经过了跳转,显示的IP为直接连接运维审计系统的IP。 |
用户帐号 | 该登录帐号的名称。 |
用户姓名 | 该登录帐号的姓名,在帐号设置中设置。登录失败时不显示。 |
验证方式 | 该帐号登录时采用的身份验证方法,取值为系统允许的各种登录认证方式。使用双因子认证时将显示为使用的双因子认证方式模板的名称。使用密钥登录SSH交互终端时,会显示为pubkey。 |
登录方式 | 该帐号登录运维审计系统的方式,取值范围如下:
|
登录描述 | 登录情况的说明。 |
登录结果 | 该帐号登录或登出的结果,取值为“成功”或“失败”之一。 |
操作 | 单击验证,对数据进行抗抵赖校验。如果数据没有篡改,会提示“完整验证通过”;否则提示“完整验证不通过”。本功能需要先开启USB Key国密功能。 |
审计管理员可以查看所有用户的配置日志。配置日志中记录了系统或用户在运维审计系统上执行的所有配置操作。
项目 | 说明 |
---|---|
时间 | 用户执行该配置操作的时间。 |
来自 | 用户登录请求的来源IP。如登录操作经过了跳转,显示的IP为直接连接运维审计系统的IP。如果是运维审计系统系统本身,显示为localhost地址。 |
用户帐号 | 登录运维审计系统的帐号的名称,如果是运维审计系统系统本身,显示为系统。 |
用户姓名 | 登录帐号的姓名,如果是运维审计系统系统本身,显示为系统。 |
操作类型 | 用户执行的配置操作的类型,例如重启、删除用户等。 |
影响内容 | 用户执行的配置操作具体影响的范围。
|
结果 | 配置操作的结果。成功或失败。 |
操作 |
|
审计管理员也可以对自身以及其他审计管理员在Web界面上所进行的所有审计操作进行审计,了解所有审计管理员都审计了哪些内容。
项目 | 说明 |
---|---|
时间 | 用户执行该审计操作的时间。 |
来自 | 用户登录请求的来源IP。如登录操作经过了跳转,显示的IP为直接连接运维审计系统的IP。如果是运维审计系统系统本身,显示为localhost地址。 |
用户帐号 | 登录运维审计系统的审计管理员帐号的名称。 |
用户姓名 | 登录帐号的姓名。 |
操作路径 | 审计管理员执行的审计操作的名称,如实现该操作需要连续操作,显示为一系列连续操作对应的窗体及控件名称,中间用/隔开,例如文件传输/详情/基本信息。 |
操作类型 | 审计管理员执行的审计操作的类型,如详情、切断等。 |
会话类型 | 审计管理员审计的会话的对应的会话类型,例如字符会话、图形会话、文件传输。 |
资产IP | 用于标识审计管理员审计的会话连接到哪个资产,显示该资产的IP地址,例如10.10.10.10。 |
目标资产 | 用于标识审计管理员审计的会话连接到哪个资产,显示该资产在运维审计系统上记录的名称,如CentOS7。 |
会话序列号 | 审计管理员审计的会话的对应的会话ID。可以单击该序列号跳转到对应的会话审计记录中,查看该会话记录的具体信息。 |
在审计界面中单击回放或实时,可以播放会话录屏。请参考本节内容,在会话录屏的播放过程中对播放进行控制。
播放会话录屏时,如果某个时间段内用户没有任何操作,播放时将自动跳过该时间段。
操作 | 说明 |
---|---|
控制播放 |
|
查看操作列表 | 仅Windows会话支持该功能。播放窗口左侧显示了用户在终端上执行的所有操作的列表。列表中每一个操作,从上到下依次显示操作时间、操作动作和文本记录(窗体名称或键入、复制的文本)。 可以单击操作列表中的某个操作,跳转到该操作对应的时间点进行播放。
Note: 播放结束后,单击左侧的操作列表将无法定位播放。必须单击开启播放后,才能单击操作列表进行定位播放。
|
查看字幕 | 仅Windows会话支持该功能。当有键盘输入时,播放窗口下方会以字幕的方式,从右向左滚动显示所有按键信息。 |
调整播放速度 | 单击或,加快或减慢播放速度。播放速度默认为1倍速,调整时可以在0.25倍速~64倍速之间选择。 |
全屏/取消全屏 | 单击右下角的进入全屏播放或取消全屏播放。全屏播放时将无法使用操作列表功能。 |
保存截图 | 在播放过程中,右键单击播放画面可以选择将当前帧以png格式保存到本地。 |
离线审计工具(auditTool)可以读取从运维审计系统中备份出来的审计文件,查看所有会话的审计记录和事件审计记录,并使用内置的播放器对审计回放文件进行播放。
配置审计数据备份功能后,运维审计系统会定期将审计数据发送到文件服务器的指定位置(默认位置为/home/%username/sesslogbk-manual)。所有审计数据按下表所示的目录存放在sesslogbk-manual目录中,并按 进行分类。
会话类型 | 目录名称 | 说明 |
---|---|---|
数据库会话 | dbsesslog_detail_es | 数据库会话ES详细信息。 |
dbsesslog_es | 数据库会话ES日志。 Note: 数据库会话由于需要回放对应的图形会话,因此也必须有guisesslog目录。
|
|
文件传输 | filelog | 文件留痕的留痕文件。 |
filesesslog_es | 文件传输会话ES日志。 | |
图形会话 | guisesslog | 字符会话回放文件。该文件也支持通过GuiPlayer工具(下载地址: | )回放。
guisesslog_detail_es | 字符会话ES详细信息。 | |
guisesslog_es | 字符会话ES日志。 | |
guisesslog_guioperdetail_es | 图形会话操作模拟操作ES详细信息。 | |
字符会话 | sesslog_es | 字符会话ES日志。 |
sesslog_detail_es | 字符会话ES详细信息。 | |
sesslog | 字符会话回放文件。 |
参数 | 说明 |
---|---|
开始时间 | 会话开始的时间,例如2023-09-06 13:35:15。工具会根据开始时间从晚到早进行排序,不支持切换排序方式。 |
来自 | 直接连接到运维审计系统并访问资产的主机的IP地址。 |
用户账号 | 用户登录运维审计系统的账号。 |
用户姓名 | 用户账号对应的姓名。 |
资产名称 | 会话连接的资产在运维审计系统上记录的名称。 |
资产IP | 会话连接的资产的IP地址。 |
系统账号 | 会话连接资产时,使用的该资产上的账号名称。 |
文件大小 | 会话生成的记录文件的大小。其中,字符会话显示的是会话对应的整个pb.bz2包的大小,图形会话和数据库会话显示的都是图形会话的rfb或xz文件的大小。 |
操作 |
|
图形会话审计不支持导出,只支持回放。回放时采用内置的GuiPlayer窗口播放,其他操作同字符会话。
对于数据库会话,不支持查看具体的SQL语句,仅支持通过回放数据库会话对应的图形会话进行审计。数据库会话对应的图形会话,将不会在图形会话中显示。
数据库会话审计不支持导出,只支持回放。回放时采用内置的GuiPlayer窗口播放,其他操作同字符会话。
参数 | 说明 |
---|---|
开始时间 | 会话开始的时间,例如2023-09-05 10:48:48。工具会根据开始时间从晚到早进行排序,不支持切换排序方式。 |
来自 | 与资产设备之间传输文件的主机的IP地址。 |
用户账号 | 用户登录运维审计系统的账号。 |
用户姓名 | 用户账号对应的姓名。 |
资产名称 | 资产的名字。 |
系统账号 | 会话连接资产时,使用的该资产上的账号名称。 |
操作类型 | 可能取值如下:
|
文件路径 | 显示文件在资产上的路径。当资产为Windows操作系统时,仅显示文件名。 |
文件大小 | 传输的文件的总大小。 |
状态 | 文件传输的结果,当前只显示成功的记录。 |
操作 | 查看路径:查看该条审计记录对应的文件的本地路径。 该文件以特殊字符串格式重命名,无法直接打开。用户在该路径下找到对应的文件后,将其复制一份,并将文件名修改为文件路径中显示的名称,然后即可打开。 Note: 不要直接修改原始文件的名称,否则下次打开工具后将不再显示该条审计记录。
|
控件 | 快捷键 | 说明 |
---|---|---|
Space或P | 单击该按钮或按空格键切换播放/暂停回放;按“P”键只能在暂停状态下启动播放回放。 | |
S | 停止回放。 | |
C | 在当前回放时间点截图。请在弹出的窗口中指定截图保存路径和截图名称。生成的截图下方,将附带截图时间点、访问资产的用户名称和地址、资产账号、协议、被访问的资产名称和地址等会话信息。 | |
I | 显示当前回放的会话信息,包括资产账号、访问资产的用户名称和地址、被访问资产的名称和地址、会话开始时间和协议等会话信息。 | |
F | 开启/取消全屏播放。 | |
- | 选择回放画面的缩放比例,单击后有以下选项:
|
|
上/下或+/- | 选择播放回放的速度倍率。单击后有以下选项:x0.25、x0.5、x01、x02、x04、x08、x16、x32、x64。按键盘的方向键上/下或+/-,可以使播放速度加快一倍/减慢一倍。 | |
时间点,例如15:42:40 2023-10-08 | T | 选择播放时间点。单击右下角的播放时间点,在打开的窗口中,输入待跳转到的时间点,单击“OK”后从该时间点开始播放。 输入的时间点必须符合年-月-日 时:分:秒的格式,且必须在该回放的起始到结束时间范围内。 |
- | ←/→ | 按键盘的方向键←/→,跳转到当前播放时间点的5秒前或5秒后继续播放。 |
- | K | 打开/关闭按键回显(按字幕方式),显示在播放画面和下方的按钮面板之间。用户按下的其他键盘按键,将按时间顺序显示在该栏位右侧,从右向左进行滚动。 另外,该栏位的左侧,会从左到右依次显示6个按键指示符,当回放中用户按下指定的按键时,相应的指示符会短暂显示为红色。指示符从左到右依次为:
|
报表是利用表格、图表等形式动态地统计并展示运维审计系统中各项信息,如系统中的资产和用户总量的变化情况,从而满足用户对运维审计系统数据进行审查和汇报的需要。能够使用报表的角色包括各种管理员:超级管理员、配置管理员、审计管理员及其他自定义的拥有报表授权的用户,同时这些管理员必须属于ROOT部门。
运维审计系统支持的报表类型包括:用户统计报表、资产统计报表、会话统计报表和帐号类报表。运维审计系统预定义了一些对应以上各种类型的报表模板。
用户可以通过配置报表,引用报表模板,即时或周期性地生成报表。配置报表仅定义报表的生成方式,报表具体的内容在报表模板中定义。只支持引用内置的报表模板。
报表有固定的统计周期,自动生成的报表也有固定的生成周期。周期报表是指按固定的生成周期自动生成有固定统计周期的报表,即时报表是指在固定的生成周期时间点上自动生成从指定起始时间点开始的统计周期内的报表。用户也可以选择手动生成某个时间点段内的报表。
参数 | 说明 |
---|---|
报表名称 | 用于标识一个报表,全局唯一。长度为1~30的字符串。 Note: 下载的报表文件会以“报表名称+日期+随机数”命名,如果报表名称中使用了Windows操作系统不支持的特殊字符
\ 、/ 、: 、* 、? 、" 、< 、> 、| ,在下载的文件名中这些特殊字符会被替换为- 。 |
报表类型 |
|
自动生成 |
|
统计起始时间点 | 仅当报表类型为即时报表,且自动生成为是的情况下需要配置。用于指定即时报表统计的起始日期(时间点为0:00),运维审计系统在该起始时间点之后的每个生成周期时间点上生成报表时,都统计从该起始时间点到报表生成时间点之间的信息。 |
周期类别/生成周期 | 对于周期报表,既表示统计周期,也表示生成周期;对于即时报表,仅表示生成周期,而统计周期则由统计起始时间点和该生成周期的时间点决定。 所有统计周期都统计从第一天的0:00:00到最后一天的23:59:59之间的数据。 |
报表模板 | 选择系统预定义的报表模板。 |
其他 | 根据引用的报表模板的不同,会有一些其他信息需要配置,请根据界面实际情况进行设置。例如:
|
参数 | 说明 |
---|---|
统计周期 | 仅当报表类型为周期报表时需要配置。当周期类别为按日时,勾选需要对每周的哪几天进行统计并生成;其他情况下配置每个统计周期开始的时间点。 |
生成周期 | 周期类别/生成周期为按日时不需要配置,固定为每天的2:00;其他情况下配置每个生成报表的日期,时间点为该日的2:00。 |
邮件发送 | 选择生成报表后是否通过邮件通知指定收件人。需要保证系统服务中的邮件服务设置正确。 |
报表格式 | 仅当邮件发送选择是时需要配置。勾选一种或多种通过邮件发送的报表格式。 |
收件人邮箱 | 仅当邮件发送选择是时需要配置。单击选择收件人选择一个或多个登记了邮箱的用户,或者单击添加邮箱直接添加一个邮箱地址,报表在生成后将自动发送到这些邮箱地址。 |
自动生成的报表可以在历史报表中查看并保存。
每一行都是一条已生成或待生成的历史报表。每一列显示的信息分别如下:
项目 | 参数 |
---|---|
报表名称 | 中定义的报表名称。 |
模板名称 | 该报表引用的模板名称。 |
生成时间 | 已生成的报表的生成时间,及待生成的报表下一次生成的时间。 |
生成状态 | 成功、失败、待生成其中之一。 |
操作 | 单击查看,在弹出的窗口中查看生成的报表,并单击将报表导出为不同的格式。 |
运维审计系统已预置了一些报表模板。这些报表模板仅能查看基本信息,不能修改。
报表参数中,只能对报表Logo进行修改。该Logo展示在报表模板的页眉处。
超级管理员、配置管理员、自动化管理员和具有自动化授权的自定义角色可以在运维审计系统上创建自动化运维任务,例如脚本任务。
运维审计系统支持通过Telnet或者SSH协议登录到目标资产上自动执行脚本,并支持配置执行时间和执行间隔。
目标资产包括类Unix系统和网络设备,用户可以上传自定义的脚本文件,也可以选择系统预置的命令文件。
目标资产和协议 | 自定义脚本 | 系统预置命令 | |
---|---|---|---|
类Unix系统 | SSH | ✔ | |
网络设备 | Telnet/SSH | ✔ | ✔ |
类Unix系统的自定义脚本文件类型可以是该资产上允许执行的任何脚本类型,但资产上必须安装了相应的解释器,并且在脚本开头声明了该脚本使用的解释器,例如#!/bin/bash
、#!/usr/bin/python2
、#!/usr/bin/perl
等等。
chmod +x /脚本路径/脚本名称
。/脚本路径/脚本名称
。如运维审计系统执行脚本时存在问题,请检查是否可以在资产上,使用和以上同样的方式手动执行该脚本。例如Shell类型为tcsh时不支持使用以上方式执行脚本。Shell类型通常可以执行echo $SHELL命令进行查看。
网络设备的脚本文件是一个网络设备配置命令的集合,请参考编辑窗口中的提示举例进行编辑。执行时将在网络设备资产上按从上到下的顺序依次执行脚本中的各条命令。
名称 | 操作 |
---|---|
h3c_reboot | 在目标资产上执行命令reboot,适用于H3C网络设备。 |
h3c_save | 在目标资产上执行命令save(不指定文件名,使用资产缺省文件名),适用于H3C网络设备。 |
参数 | 说明 |
---|---|
任务名称 | 脚本任务的名称。字符串格式,长度范围是1~30个字符。 |
简要描述 | 脚本任务的简要描述。字符串格式,长度范围是0~128个字符。 |
部门 | 设置该脚本任务所属的部门。 Note: 脚本任务所属的部门将影响目标资产的可选范围,仅能选择本部门及子部门的目标资产。
|
目标资产 | 选中要配置脚本任务的资产。如果资产数量大,可通过以下方式查找满足条件的资产。
Note:
|
文件来源 |
Note: 对于网络设备的自定义脚本文件,用户可以单击文件上传选择上传自定义脚本文件,或直接在配置命令窗口中编辑脚本文件。
|
执行方式 |
|
通知方式 |
Note: 通知人仅对邮件通知生效。请用户自行保证已提前配置好了邮件服务器,并保证用户是具有自动化权限的角色,状态为活动,且配置了邮箱。运维审计系统将不会对这些设置做检查,如这些设置有误,通知人配置可以正常保存,但将收不到邮件设置。
|
脚本任务配置完成后,管理员可以执行以下操作:
拥有自动化权限的用户能够查看、下载脚本任务的执行结果。
执行结果为成功,不意味着脚本执行成功。只有详情中显示了脚本中命令的预期执行结果,才表明自动化任务执行成功。
错误信息 | 可能原因 |
---|---|
资产帐号 “admin”未配置密码或密钥 | 运维审计系统登录目标资产使用的帐号未托管密码或者密钥。 |
没有可用协议: telnet | 运维审计系统上该资产的访问协议未添加Telnet。 |
没有可用协议: ssh | 运维审计系统上该资产的访问协议未添加SSH。 |
Password or key error (account: admin) | SSH用户的密码或者密钥错误。 |
password is incorrect | Telnet用户的密码错误。 |
Resource connect timeout (account: root) | IP不通或者其他连接异常。 |
failed to connect to 1.1.1.1 | 端口不通或者其他连接异常。 |
timeout when matching:.*Y/N.*|.*y/n.*|.*yes/no.*|.*YES/NO.*. | 系统预置命令与目标资产不匹配。例如目标资产是Juniper的交换机,选择了h3c_reboot预置命令后,由于预置命令无法在目标资产上执行,就会出现该错误提示。 |
在运维审计系统上可以通过工单申请资产权限、资产密码。
运维审计系统支持的工单包括:
不同类型的工单对申请人、使用人和审批人的要求如下表所示。
工单类型 | 申请人 | 使用人 | 审批人 |
---|---|---|---|
资产权限 | 用户角色具有工单权限。 | 用户角色在服务授权中具有访问资产的权限。 | 可以由超级管理员在配置审批模板中指定。 缺省为自动分配,即申请人所在部门及上级部门的所有配置管理员。只能是系统内置的配置管理员角色,不包含用户自定义的角色。 |
资产密码 | 用户角色具有工单权限。 | 用户角色具有工单权限。 |
申请人提交工单后,审批人会收到通知;审批人审批工单后,申请人、使用人也会收到通知。运维审计系统支持以下通知方式。
审批人收到工单通知后,可以在待办工单中查看工单信息并审批(批准或者驳回)。
为了便于用户新建工单,运维审计系统的工单支持草稿和模板。
通过工单来申请资产的访问权限。
参数 | 说明 |
---|---|
工单标题 | 工单的标题。字符串格式,长度范围是1~30个字符。 工单标题会出现在通知消息标题和通知邮件主题中,建议使用精简的语言把任务描述清楚。不同的工单标题可以配置为相同,为了区分不同的工单,建议配置不同的标题。 |
操作类型 | 用户要申请的操作类型,取值包括日常维护和定期巡检。 |
申请理由 | 工单的申请理由。字符串格式,最大长度为300个字符。 |
开始时间/结束时间 | 权限生效的开始时间和结束时间。开始时间和结束时间的缺省值为:
开始时间和结束时间使用的是运维审计系统的系统时间,而非本地PC的时间。 |
如果资产数量大,可通过以下方式查找满足条件的资产。
此处放行的命令相当于在命令模板中配置对应的命令为允许,并将有着比高危命令配置更高的优先级。即只要用户执行的命令能匹配上此处的放行命令,则在高危命令中配置的拒绝、需复核、终止会话将不生效,命令将可以直接执行。
如果用户数量大,可通过以下方式查找满足条件的用户。
申请人提交工单后,审批人会收到通知消息和通知邮件。审批人单击批准后,运维审计系统将用户和所选资产、帐号关联。
执行结束后,运维审计系统发送通知消息和通知邮件给申请人。在工单中配置的开始时间和结束时间范围内,使用人能够使用指定的帐号和协议访问指定的资产。结束时间到了后,访问中的会话会被断开,使用人在能访问的资产列表中也找不到该资产。
完成审批后,最后一层审批人可以对该工单执行撤销操作。撤销后,工单状态显示为已完成,使用人将无法访问该资产。
通过工单来申请资产帐号的密码。
参数 | 说明 |
---|---|
工单标题 | 工单的标题。字符串格式,长度范围是1~30个字符。 工单标题会出现在通知消息标题和通知邮件主题中,建议使用精简的语言把任务描述清楚。不同的工单标题可以配置为相同,为了区分不同的工单,建议配置不同的标题。 |
开始时间/结束时间 | 使用密码的开始时间和结束时间。开始时间和结束时间的缺省值为:
开始时间和结束时间使用的是运维审计系统的系统时间,而非本地PC的时间。 |
帐号 | 单击,选择要申请密码的资产和帐号。
|
密码分段 |
|
申请人提交工单后,审批人会收到通知消息和通知邮件。审批人单击批准后,运维审计系统发送通知消息和通知邮件给申请人。
工单中填写的开始时间到期后,申请人在已办工单中执行以下操作获取密码。
申请人提交工单后,审批人会收到通知消息和通知邮件。审批人单击批准后,运维审计系统发送通知消息和通知邮件给前段、后段密码用户。
两段密码的用户分别在已办工单中执行以下操作获取分段密码,最后将两段密码拼接成完整的密码。
工单结束时间到期后,工单状态变为已完成,解压密码入口消失。如果帐号配置了改密计划,运维审计系统对该帐号改密。如该帐号对应多个改密计划,运维审计系统会使用其中ID最小的一个改密计划进行改密,该ID无法由用户自行查看。
当改密计划中包含多个帐号时,仅对该帐号执行改密操作。可以通过编辑,在帐号日志中查看具体的改密记录。
,单击该帐号对应的审批完成后,最后一层审批人可以对该工单执行撤销操作。撤销后,解压密码入口消失,工单状态显示为已完成,使用人将无法访问该资产。
待用户审批的所有工单都会显示在待办工单中,用户可以在查看工单信息后进行审批。
用户申请和审批过的所有工单都会显示在已办工单中,用户可以查看工单的申请时间、工单类型、工单状态、操作结果等信息。
工单详情中会显示工单的状态、工单内容和结果。如果结果是失败,可以单击失败了解原因。
超级管理员可以为不同的工单类型配置审批模板,包括配置审批的层级数,及每一层的审批人员。
配置了多级审批后,一级审批人完成审批后,将由二级审批人、三级审批人依次完成审批。每一级中只要有一个审批人批准了工单,工单就会进入到下一级审批中,各级审批都完成后,工单生效;只要有一个审批人驳回了工单,或所有审批人在工单结束时间之前都没有完成审批,该工单就将关闭。
修改审批模板,将不会对已创建的工单生效。
参数 | 说明 |
---|---|
模板名称 | 用于标识一个审批模板的名称。缺省为申请密码和申请资产。 |
工单 | 该审批模板对应的工单类型。仅作显示,不能修改。 |
审批级别 | 取值范围为一级、二级、三级其中之一。默认为一级。 |
审批规则 | 设置每一级审批的审批人:
|
帐号改密可实现对主机、网络等设备的系统帐号的密码修改。
在帐号资产中以帐号为中心,对帐号的基本信息进行集中查询和更新。
类型 | 说明 |
---|---|
主机帐号 | 指资产类型为主机的帐号,比如Linux、Windows、AIX。 |
网络帐号 | 指资产类型为网络的帐号,比如Cisco IOS、Huawei Quidway、H3C Comware。 |
域帐号 | 指Windows域帐号,可以先在 | 中添加或管理Windows域;然后在 中选择要管理的域,单击从域中同步帐号。
系统支持部门属性,仅展示本部门与子部门数据。
参数 | 说明 |
---|---|
帐号类型 | 帐号在目标资产上的权限类型,运维审计系统对目标资产进行改密操作时将优先使用特权帐号登录。对于需要通过ssh和telnet访问的设备,特权帐号和普通帐号的登录提示符也不同,该设置会影响运维审计系统自动登录目标设备。
|
是否可改密 | 是否允许运维审计系统自动修改该帐号的密码:
|
登录密码 | 仅修改运维审计系统上的密码,一般用于当运维审计系统上的该帐号密码设置错误时进行重设。 |
确认密码 | 必须和登录密码完全一致。 |
切换自 | Linux、Unix和网络设备中的特权帐号可能不允许直接telnet或者ssh远程登录,此时可以选择一个低权限的帐号作为切换来源,运维审计系统在登录目标资产时会先使用切换自帐号登录,然后再通过su等切换命令切换到特权帐号的身份。 |
私钥(含SSH服务的资产) | 访问目标资产的SSH密钥。可以在 | 中查看或者添加新的密钥。
属性 | 说明 |
---|---|
当前密码 | 该帐号当前密码的状态,空密码、正常或异常。
|
下次改密时间 | 运维审计系统下一次对该帐号进行自动改密的时间,如果没有设置改密计划该值为空。改密计划在 中设置。 |
改密计划 | 该帐号涉及的改密计划将被列出。可以单击查看改密计划,跳转到改密计划页面进行查看。 |
历史密码 | 该帐号使用的历史密码的数量。可以单击查看历史密码,在弹出的页面的表格中查看以下信息:
Note: 为了安全不能查看最近一次改密的成功的历史密码,如果需要查看请通过密码备份的方式进行。
|
上次备份时间 | 运维审计系统最近一次备份该帐号密码的时间,如果没有备份过记录为空。 |
在帐号资产中可以查看指定帐号在运维审计系统中的全部操作日志。
参数 | 说明 |
---|---|
帐号类型 | 帐号在目标资产上的权限类型,运维审计系统对目标资产进行改密操作时优先使用特权帐号登录,对需要通过ssh和telnet访问的设备,特权帐号和普通帐号的登录提示符也不同,该设置会影响运维审计系统自动登录目标设备。
|
密码 | 帐号在目标资产上的密码。 |
是否可改密 | 是否允许运维审计系统自动修改该帐号的密码:
|
通过批量导出可以导出选择的帐号的基本属性到Excel文件中。
通过帐号维护可以对帐号设置改密计划、设置密码备份计划。
改密计划支持按照设定的周期、时间和规则对运维审计系统中帐号资产按照资产类型和帐号类型进行定期自动改密。
运维审计系统执行改密计划的流程如图11.1 改密流程图所示。
运维审计系统支持帐号改密的资产类型和要求如表11.1 支持帐号改密的资产类型和要求所示。
资产类型 | 要求 |
---|---|
Windows | Windows系统支持RPC和Agent两种方式,推荐使用Agent方式。 如果使用Agent方式,需要在目标Windows设备上安装并配置Agent。 如果使用RPC方式,需要满足以下要求:
|
Linux / HP UX / IBM AIX和网络设备 |
|
参数 | 说明 |
---|---|
计划名称 | 改密计划的名称,最大长度为30个字符。 |
部门/包含子部门 | 设置改密计划所属的部门以及是否对子部门生效。
|
执行方式 |
|
下次执行时间 | 对于手工执行,是下一次通知用户改密的时间;对于自动执行,是下一次自动执行该改密计划的时间。 |
执行间隔 | 对于手工执行,是发送改密通知周期的间隔天数;对于自动执行,是改密计划的执行周期间隔天数。 |
登录测试 | 可以根据需要勾选。如勾选,改密计划完成后,运维审计系统将执行登录测试,并返回改密后的登录测试结果,供用户参考。 |
通知方式 | 可以根据需要勾选一个或多个通知方式。对于手工执行,将会提醒用户执行手工改密;对于自动执行,会在改密开始时和改密完成后各发送一个通知,通知中只会给出改密计划的名称,不会显示具体密码。
|
通知人 | 可以根据需要勾选一个或多个通知人。通知人必须超级管理员、配置管理员或其他拥有资产权限的自定义角色。对于邮件通知,必须是配置了邮箱的用户;对于站内通知,用户可以不配置邮箱。 只能选择本部门的通知人。 |
简要说明 | 改密计划的简要说明,字符串格式,最大长度为512个字符。 |
项目 | 说明 |
---|---|
改密计划 | 改密计划的名称。 |
执行方式 | 自动或手动。 |
下次执行时间 | 改密计划下一次执行的时间。当改密计划在执行时,显示为正在执行。 |
关联帐号 | 改密计划将要修改密码的帐号的数量。 |
上次改密结果 | 仅当该改密计划被执行后才会出现。显示最近一次改密的改密成功和改密失败的帐号数量。可以分别单击成功或失败查看具体成功或失败的帐号信息。 |
简要说明 | 改密计划的简要说明。 |
操作 |
|
目标设备的帐号和密码在运维审计系统托管后,为了保证密码的安全性,请定期备份密码。
运维审计系统支持的密码备份方式包括:
参数 | 说明 |
---|---|
计划名称 | 密码备份计划的名称。 |
是否禁用 | 密码备份计划的状态。 |
部门/包含子部门 | 设置备份计划所属的部门以及是否对子部门生效。
|
执行时间 | 密码备份的执行日期和时间。 |
自动执行 | 开启后,密码备份会周期自动执行。 |
执行间隔 | 密码备份的执行间隔。密码备份的执行间隔。整数形式,取值范围是1~365,单位是天。 |
密码分段 | 密码备份时是否分段。
|
备份方式 | 密码备份采取的方式。选择好备份方式后,请单击添加通知用户来设置接收密码备份通知的用户。只能选择本部门的通知人。
用户收到加密的密码文件后,请使用配置信息加密中配置的密码或密钥解密。 |
日志报表中可以查看历史密码。
历史密码中记录了运维审计系统中所有密码修改操作,一条记录对应一次修改操作,用户可以下载该条记录中的密码。
密码修改成功时,会将改密前的密码记录为历史密码;修改失败时,会将修改的目标密码记录为历史密码。
如果修改前和修改后的密码完全相同,在资产清单界面使用手工输入的方式修改密码时,不会记录历史密码;在其他场景下则会记录历史密码。
本章节仅展示本部门与子部门数据。
参数 | 说明 |
---|---|
帐号名 | 帐号的名称。 |
所属资产 | 帐号所在的资产。 |
资产IP | 资产的IP地址。 |
密码日期 | 修改密码的时间。 |
事件 | 修改密码的事件类型。 |
事件结果 | 上述事件的结果,取值包括成功和失败。 |
操作 | 单击下载,将密码文件保存到本地PC。用户也可以选中多个帐号单击批量下载或者直接单击下载全部,一次性下载更多密码文件。 Note:
|
如果帐号数量大,可通过以下方式查找满足条件的帐号。
帐号管理相关的系统设置。
进行帐号改密,需要先配置密码规则。
如果需要在改密时给不同资产和帐号随机生成不同的密码,可以参考以下方式配置密码规则。
参数 | 说明 |
---|---|
规则名称 | 密码规则在运维审计系统的唯一名称。允许任意字符,不超过30个字符。 |
部门 | 设置密码规则所属的部门。 管理员只能看见其部门及子部门的密码规则,密码规则的通知人只能选本部门的通知人。 |
使用缺省生成规则 | 指按照缺省规则生成新密码,密码为长度10位,字符随机。 |
自定义生成规则 | 自定义新密码生成规则,参数包括:
|
备份类型 | 设置修改密码时如何备份密码: |
如果需要在改密时给同一批资产及其帐号设置相同的密码,可以参考以下方式配置密码规则。
如果需要在改密时给同一批资产及其帐号设置指定的密码,可以参考以下方式配置密码规则。
如果需要给同一批帐号设置新密码时,仅从特定的随机密码集合中选取密码,可以参考以下方式配置密码规则。
参数 | 说明 |
---|---|
规则名称 | 密码规则在运维审计系统的唯一名称。允许任意字符,不超过30个字符。 |
部门 | 设置密码规则所属的部门。 管理员只能看见其部门及子部门的密码规则,密码规则的通知人只能选本部门的通知人。 |
使用缺省生成规则 | 指按照缺省规则生成新密码,密码为长度10位,字符随机。 |
自定义生成规则 | 自定义新密码生成规则,参数包括:
|
密码有效期(月) | 密码集的有效期,到期后将自动产生新的密码集。默认值为3个月,可选6个月或者12个月。 |
密码数量 | 密码集中包含的密码的数量。默认20个,可选50个、100个、200个。 |
备份类型 | 设置修改密码时如何备份密码: |
如果运维审计系统内置的改密方法无法满足需求时可以配置自定义改密方法。
只有root部门的管理员可以配置改密方法;其他部门的管理员只有查看权限,没有编辑/新建权限。
工具类型 | 工具说明 |
---|---|
交互式指令(Telnet) | 运维审计系统通过Telnet方式登录目标资产,执行指令,并根据目标资产的命令提示自动完成改密相关的交互。 |
交互式指令(SSH) | 运维审计系统通过SSH方式登录目标资产,执行指令,并根据目标资产的命令提示自动完成改密相关的交互。 |
{
"changesecret":{
"expectparams": [
{
"id": "1",
"cmd": "export LANG=C LC_ALL=en_US.UTF-8"
},{
"id": "2",
"cmd": "[ -x /usr/bin/pwdadm ] && /usr/bin/pwdadm -f NOCHECK <%account%>",
"pid": "1"
},{
"id" : "3",
"cmd": "passwd <%account%>",
"pid": "2"
},{
"id" : "4",
"cmd": "passwd",
"ptn": "[oO]nly",
"pid": "3"
},{
"id": "5",
"cmd": "<%oldpassword%>",
"ptn": "([cC]urrent)|([oO]ld)",
"alt": "<oldpwd>",
"pid": "4"
},{
"id": "6",
"cmd": "<%password%>",
"ptn": "[nN]ew.*assword:",
"alt": "<pwd>",
"pid": ["3", "5"]
},{
"id": "7",
"cmd": "<%password%>",
"ptn": "[rR]e.*assword:",
"alt": "<pwd>",
"pid": "6"
},{
"id": "8",
"cmd": "[ -x /usr/bin/pwdadm ] && /usr/bin/pwdadm -c <%account%>",
"pid": "7"
}
]
},
"changesecretandverify":{
"expectparams": [
{
"id": "1",
"cmd": "export LANG=C LC_ALL=en_US.UTF-8"
},{
"id": "2",
"cmd": "[ -x /usr/bin/pwdadm ] && /usr/bin/pwdadm -f NOCHECK <%account%>",
"pid": "1"
},{
"id" : "3",
"cmd": "passwd <%account%>",
"pid": "2"
},{
"id" : "4",
"cmd": "passwd",
"ptn": "[oO]nly",
"pid": "3"
},{
"id": "5",
"cmd": "<%oldpassword%>",
"ptn": "([cC]urrent)|([oO]ld)",
"alt": "<oldpwd>",
"pid": "4"
},{
"id": "6",
"cmd": "<%password%>",
"ptn": "[nN]ew.*assword:",
"alt": "<pwd>",
"pid": ["3", "5"]
},{
"id": "7",
"cmd": "<%password%>",
"ptn": "[rR]e.*assword:",
"alt": "<pwd>",
"pid": "6"
},{
"id": "8",
"cmd": "[ -x /usr/bin/pwdadm ] && /usr/bin/pwdadm -c <%account%>",
"pid": "7"
},{
"id": "9",
"cmd": "LANG=C LC_ALL=en_US.UTF-8 su - <%account%>",
"pid": "8"
},{
"id": "10",
"cmd": "LANG=C LC_ALL=en_US.UTF-8 su - <%account%>",
"pid": "9"
},{
"id": "11",
"cmd": "<%password%>",
"ptn": "assword",
"alt": "<pwd>",
"pid": ["9", "10"]
},{
"id": "12",
"cmd": "",
"pid": "11"
},{
"id": "13",
"cmd": "",
"ptn": "([Ii]ncorrect)|(Ff)ail",
"pid": "11"
},{
"id": "14",
"cmd": "echo FAILE",
"ptn": "VERIFY PASSWORD FAILED",
"pid": "13"
},{
"id": "15",
"cmd": "",
"pid": "10"
}
]
},
"verify":{
"expectparams": [
{
"id": "1",
"cmd": "echo flag"
},{
"id": "2",
"cmd": "echo verify success",
"ptn": "flag.*flag",
"pid": "1"
}
]
}
}
变量 | 说明 |
---|---|
<%account%> | 需要改密的帐号名 |
<%password%> | 新密码 |
<%oldpassword%> | 旧密码 |
参数 | 说明 |
---|---|
适用资产 | 按资产选择改密方法适用的资产。默认为空,选填。单击可在弹出页中添加和删除。 |
适用帐号 | 适用的帐号。不选择表示适用于选定资产或者资产组的全部帐号。单击修改,可以输入适用帐号的帐号名,比如root,输入后回车后可以保存。 |
工具类型 | 工具说明 |
---|---|
用户自定义交互式指令(Telnet) | 用户可以通过Web界面配置自定义交互指令,完成密码修改。运维审计系统通过Telnet方式登录目标资产,执行自定义交互指令,并根据已配置的命令提示自动完成改密相关的交互。 |
用户自定义交互式指令(SSH) | 用户可以通过Web界面配置自定义交互指令,完成密码修改。运维审计系统通过SSH方式登录目标资产,执行自定义交互指令,并根据已配置的命令提示自动完成改密相关的交互。 |
参数 | 说明 |
---|---|
Expect | 改密操作的触发标识。匹配输出后,执行Send中的命令,默认留空为匹配命令提示符。 |
Send | 改密的具体命令。匹配Expect输出后,执行配置的命令。变量说明如下:
|
Error expect | 改密失败的标识。执行Send中的命令后,匹配到Error
expect中的输出,则判定为改密失败,终止改密过程。 如果执行命令无任何错误输出,则无需进行配置。 |
Error report | 改密失败的提示与问题定位。匹配到Error expect中的输出,如果配置了此参数,则会在改密失败原因中添加相应的配置内容。 |
参数 | 说明 |
---|---|
适用资产 | 按资产选择改密方法适用的资产。默认为空,选填。单击可在弹出页中添加和删除。 |
适用帐号 | 适用的帐号。不选择表示适用于选定资产或者资产组的全部帐号。单击修改,可以输入适用帐号的帐号名,比如root,输入后回车后可以保存。 |
本节指导完成在Windows主机资产上安装Agent。
采用Agent方式改密时,则不需要在运维审计系统上托管密码。
运维审计系统的帐号管理功能包括登录测试和改密计划,仅支持主机和网络设备,且不同类型的资产支持情况有所不同。
资产类型和版本 | 登录测试 | 改密计划 | 依赖服务 |
---|---|---|---|
Linux:
|
支持 | 支持 | SSH / Telnet |
IBM AIX | 支持 | 支持 | SSH / Telnet |
HP UX | 支持 | 支持 | SSH / Telnet |
IBM AS/400 | 不支持 | 支持 | Telnet |
SUSELinux:12/15 | 支持 | 不支持 | SSH / Telnet |
KylinLinux:v4、v10 | 支持 | 支持 | SSH / Telnet |
UOS:v20 | 支持 | 不支持 | SSH / Telnet |
Windows:
|
支持 | 支持 | RPC / Agent |
自定义主机资产 | 不支持 | 不支持 | 无 |
资产类型和版本 | 登录测试 | 改密计划 | 依赖服务 |
---|---|---|---|
H3C Comware:
|
支持 | 支持 | SSH / Telnet |
Cisco IOS:
|
支持 | 支持(Cisco ASA 5525不支持) | SSH / Telnet |
Juniper NetScreen:
|
支持 | 支持 | SSH / Telnet |
Huawei Quidway:
|
支持 | 支持 | SSH / Telnet |
General Network | 不支持 | 不支持 | 无 |
自定义网络资产 | 不支持 | 不支持 | 无 |
所有用户都能够进行个人帐号相关设置。个人相关设置包括Web界面的帐号设置和访问记录中的所有查看及修改设置的操作。
基本信息包含个人帐号名称、姓名、手机号码、工作邮箱等。但帐号名称只能查看不能修改。
仅当用户使用本地密码登录,或使用双因子登录中的第一身份验证方式为本地密码时会显示该页签,并可以在此处修改本地密码。使用AD/LDAP、RADIUS认证的用户请在对应的AD/LDAP、RADIUS服务器上修改密码;使用手机令牌、短信认证、动态令牌的用户,请联系配置管理员在用户管理菜单中修改密码。
用于设置系统Web界面的语言,支持中文和英文。
仅当用户类型为操作员时会显示该页签。用于设置操作员登录到运维审计系统 Web界面之后默认展示的页面。
仅当用户类型为超级管理员和配置管理员时会显示该页签并可以配置。当运维审计系统需要将密码信息提供给用户时(例如密码备份),会按照用户设置的密码对信息进行加密,从而确保文件的安全性。
当用户同时配置了以上两种加密方式时,则会优先使用PGP加密。
请通过设置的ZIP密码,或PGP私钥对获得的加密文件进行解密,从而查看其中的信息。
从R6114P01版本开始,只要拥有“帐号改密”权限的角色就能配置ZIP文件密码;其他早期版本必须满足属于ROOT部门并且拥有“帐号改密”权限的角色才能配置ZIP密码。建议先配置ZIP密码功能,再使用“帐号改密”功能。
用户可以在此处配置PGP公钥。运维审计系统会将用户的密码信息通过该公钥加密,用户可以通过对应的私钥来解密。
PGP(Pretty Good Privacy)是一套用于消息加密、验证的应用程序。用户可以使用GPG4WIN等加密解密软件来生成密钥对,并进行加密和解密。
如需清除PGP公钥配置,请单击重置并单击确定。
仅当用户角色为操作员、超级管理员、配置管理员时会显示该页签并可以配置。用于设置用户在访问资产并进行字符、图形会话和文件传输时的相关参数。
用于设置用户访问资产时建立的字符会话的访问方式及持续时间。
参数 | 说明 |
---|---|
会话访问方式 | 用于设置本地PC为Windows时的字符会话访问方式,取值包括:
|
会话访问方式(Mac) | 用于设置本地PC为Mac时的字符会话访问方式,取值包括:
|
最大持续时间 | 用于设置字符会话的最大持续时间,取值包括:
|
直连分类方式 | 用户使用SSH直连方式访问时资产的分类方式,取值包括:
|
用于设置用户访问资产时建立的图形会话的分辨率、访问方式、最大持续时间等参数。
参数 | 说明 |
---|---|
图形会话分辨率 | 仅当图形会话访问方式设置为mstsc时该参数的设置有效。 用于在启动RDP图形会话及应用系统图形会话的分辨率选项列表中,添加用户自定义的分辨率。运维审计系统分辨率选项列表中默认提供的分辨率包括:800x600、1024x768、1280x1024、全屏、最大化,该参数设置的图形会话分辨率将添加到该列表中,供访问时选择。 分辨率的取值范围为640x480~9999x9999。多个分辨率之间用空格隔开,例如“1280x800 1920x1080”。 |
默认分辨率 | 仅当图形会话访问方式设置为mstsc时该参数的设置有效。 用于在启动RDP图形会话及应用系统的图形会话的分辨率选项中,设置分辨率的默认值。取值范围为640x480~9999x9999,或fullscreen、maximize。 该参数为空表示使用系统设置的全局默认分辨率。如设置的默认分辨率不在图形会话分辨率列表中,运维审计系统会自动将该分辨率也添加到分辨率列表中。 |
图形会话访问方式 | 用于设置RDP图形会话及应用系统的图形会话的访问方式,取值范围如下:
Note: web和mstsc的访问方式,请根据实际情况选择。这两种访问方式对不同功能的支持也有一定限制,如web方式不支持通过剪贴板和磁盘映射传输文件,mstsc方式不支持会话共享。
|
启用Console连接 | 勾选该参数仅表示在配置所有RDP图形会话的启动参数时,都默认勾选启用Console连接,跟用户最终建立会话时是否勾选启用Console连接无关。 仅当待访问的资产的RDP访问协议中勾选了console时,该资产建立RDP会话时才会显示启用Console连接,此时帐号设置中该参数的设置才有效。 Note: 仅当待访问的主机系统是Windows
Server时需要启用Console连接。启用Console连接表示使用/console参数登录Windows
Server 2003,从而打开一个控制台会话,或使用
/admin 参数登录Windows
Server 2008/2012/2016,打开一个管理员模式的会话。 |
最大持续时间 | 用于设置字符会话的最大持续时间,取值范围如下:
|
磁盘映射 | 仅当图形会话访问方式设置为mstsc时该参数的设置有效。 设置该参数仅表示在配置所有RDP图形会话及应用系统的图形会话的启动参数时,磁盘映射都默认勾选该参数设置的磁盘盘符。用户最终建立会话时是否会勾选对应磁盘的映射由用户自己决定。该参数输入格式为单个字母表示的盘符,多个盘符之间用英文逗号隔开,例如“c,d,f”。 Note: 启用磁盘映射,并勾选或手动设置待映射的盘符,将本地PC对应盘符的硬盘,映射到待访问的资产上,使访问者可以直接在该资产上对本地PC上的相应硬盘进行读写操作。
|
回放方式 | 仅当登录用户为具有审计权限的角色(如超级管理员、审计管理员)时,显示该选项。用于控制进行图形审计回放时的回放方式。 |
用于设置用户通过Web界面建立SFTP会话时,使用的SFTP工具。需要在本地PC上自行安装对应的工具。
参数 | 说明 |
---|---|
会话访问方式 | 用于设置本地PC为Windows时建立SFTP会话使用的工具,取值范围如下:
|
会话访问方式(Mac) | 用于设置本地PC为Mac时建立SFTP会话使用的工具,取值范围如下:
|
仅当用户可以登录交互终端并访问资产时该页签配置有效,比如用户类型为操作员、超级管理员、配置管理员。用于当用户通过SSH登录时,使用此处配置的密钥对应的私钥进行验证,从而不输入密码登录到运维审计系统的字符交互终端。
用户可以通过查看访问记录中的信息,查看当前帐号的登录、登出情况,以确保帐号的安全。访问记录中会包含该用户的所有访问记录,除非管理员对登录日志做了清理。
项目 | 说明 |
---|---|
时间 | 当前帐号登入或登出的时间。 |
来自 | 当前帐号登录请求的来源IP。如登录操作经过了跳转,显示的IP为直接连接运维审计系统的IP。 |
姓名 | 登录帐号的姓名,在帐号设置中设置。登录失败时不显示。 |
帐号 | 当前登录帐号的名称。 |
身份验证 | 当前帐号登录时采用的身份验证方法,取值为系统允许的各种登录认证方式。使用双因子认证时将显示为使用的双因子认证方式模板的名称。使用密钥登录SSH交互终端时,会显示为pubkey。 |
登录方式 | 当前帐号登录运维审计系统的方式,取值范围如下:
|
登录描述 | 当前帐号登录情况,取值为“登录成功”、“登录失败”、“登出成功”之一。 |
操作结果 | 当前帐号登录或登出的结果,取值为“成功”或“失败”之一。 |
本页面只有超级管理员才能配置。
超级管理员可以在该界面查看运维审计系统网口的硬件信息及IP配置,并对IP相关配置和静态路由配置进行修改。
在配置IP地址前请确保已经正确的连线。修改IP地址将造成Web界面暂时无法访问,请等待系统后台重启完成后重新访问Web界面,一般需要等待1分钟左右。
多机部署时不支持直接修改IP地址,必须先从原有系统中移除/拆除变为单机后,才可以修改IP。
参数 | 说明 |
---|---|
网口 | 网口名称。当有多个网口时可以下拉选择,下方的其他信息将对应显示该网卡的信息。 |
网口类型 | 光口或电口。 |
网口速率 | 网口传输速率。 |
已连接 | 网口状态。 |
IP | 该网口上配置的IP地址,包括IPv4和IPv6地址。当有多个IP时可以下拉选择,掩码/前缀将显示为对应的IP的掩码/前缀。 |
掩码/前缀 | IPv4地址将显示为掩码,IPv6地址将显示为前缀。 |
网关 | 该网口的默认网关地址。 |
主DNS | 主DNS服务器。 |
备DNS | 备DNS服务器。 |
参数 | 说明 |
---|---|
网口 | 选择要配置的网口。比如GE0/0、GE0/1,运维审计系统型号不同可选的网口会有所不同。 |
方式 | IP地址的配置方式:
|
IPv4 | IPv4地址,方式为静态IP是必填。 |
子网掩码 | 掩码填写方式。掩码或前缀。 |
掩码/前缀 | 子网掩码,必填。子网掩码选择掩码时填写完整的掩码,选择前缀时仅填写掩码前缀。 |
网关 | IPv4地址的默认网关,选填。 Note: 存在多个网口时,请勿给多个网口同时配置IPv4网关,否则可能导致网络不可达。如果需要配置静态路由,请参考配置静态路由。
|
主DNS | 主DNS服务器,选填。 |
备DNS | 备DNS服务器,选填。 |
IPv6 | IPv6地址,选填。支持用户使用该IPv6地址访问运维审计系统。 |
IPv6前缀 | IPv6格式对应的前缀格式的掩码,1~128。仅当配置了IPv6地址时需要填写。 |
IPv6缺省网关 | IPv6地址的默认网关,仅当配置了IPv6地址时需要填写。 Note: 存在多个网口时,请勿给多个网口同时配置IPv6网关,否则可能导致网络不可达。
|
default via 10.10.32.1 dev GE0/0 proto static metric 100可以单击按钮,刷新当前系统路由信息显示。
1.1.1.0/24 dev virbr0 proto kernel scope link src 1.1.1.1
10.10.32.0/20 dev GE0/0 proto kernel scope link src 10.10.33.32 metric 100
fc00:1010:32::/64 dev GE0/0 proto kernel metric 256 expires 2591576sec pref medium
fe80::/64 dev GE0/0 proto kernel metric 256 pref medium
default via fe80::3a22:d6ff:fe71:db1 dev GE0/0 proto ra metric 1024 expires 1376sec hoplimit 64 pref medium
ip route
show
和ip -6 route
show
两条命令的结果。请参照这两条命令的解释理解路由信息的具体含义。参数 | 说明 |
---|---|
目标地址 | 通过路由访问的目标地址,可以是具体的IP,例如10.10.17.12;也可以是网段/掩码前缀的形式,例如10.10.17.0/24。 |
网关地址 | 路由转发地址,填写网关的具体IP,例如10.10.17.1。 |
运维审计系统支持手工修改和NTP同步两种方式修改系统时间和日期,您也可以通过Web页面查看系统时间。
date -s "2021-04-26 20:11:15"
hwclock –w
命令将系统时间同步到硬件。运维审计系统支持通过邮件发送通知和告警,要正常使用这些功能,需要配置邮件服务。
参数 | 说明 |
---|---|
邮件服务器 | 邮件服务器地址,可填写IP地址或者域名,必填,默认值127.0.0.1,请修改为您的邮件服务器地址。 Note: 如果使用非缺省端口(25或SSL465),请在地址后面加上
“:端口”。
|
发件人地址 | 发件人地址,必填,格式需要符合RFC5322中定义的E-mail地址格式。默认值为name@example.com。 |
发件人名称 | 发件人的显示名称。选填,任意字符,不超过64的字符。比如您可以设置成运维审计系统。 |
服务器要求安全连接(SSL/TLS) | 运维审计系统和邮件服务器之间的通讯是否需要加密,默认值未勾选,请根据实际情况选择。 |
本地postfix转发 | 仅当邮件服务器地址不为默认值127.0.0.1时显示此选项。勾选后,表示使用运维审计系统作为邮件转发服务器,邮件先发到运维审计系统再转发到邮件服务器。默认未勾选,请根据实际情况选择。 |
服务器要求身份验证 | SMTP服务器是否要求进行身份验证,默认未勾选,请根据实际情况选择。如果选择了需要填写:
|
如果需要使用运维审计系统的审计数据定期备份或者希望将帐号密码备份到文件服务器,需要准备FTP或者SFTP服务器并在运维审计系统中配置文件服务器。
参数 | 说明 |
---|---|
协议 | 文件服务器使用的传输协议。
|
地址 | 文件服务器的IP地址。该项必填。 |
端口 | 文件服务器的端口。FTP默认为21,SFTP默认为22。该项必填。 |
用户名 | 文件服务器的用户名。该项必填。 |
密码 | 文件服务器的密码。该项必填。 |
工作目录 | 文件存放目录,要求必须使用Unix格式的目录风格。支持通配符,例如Linux的家目录可以配置为/home/%username(%username表示用户名)。该项必填。 建议采用绝对路径,例如/a/b/c。如果采用的是相对路径,例如a/b/c,对于Linux服务器会将/作为起点,对于Windows服务器会将FTP/SFTP的根目录作为起点。 Note:
|
子目录 | 文件存放的子目录。该项选填。子目录建立在工作目录下,支持日期变量:
Note: 仅在帐号改密功能中使用。
|
编码 | 文件服务器的文件名编码,缺省值UTF-8,常见的中文编码还包括GBK、GB2312、GB18030。该项必填。 Note: 运维审计系统会检测文件服务器是否支持UTF-8编码,如支持则优先使用UTF-8编码,此处的配置将不生效;如文件服务器不支持UTF-8编码,此处的配置才会生效。
|
通过配置告警事件可以实现当触发特定事件时发送Syslog或者邮件告警。
运维审计系统支持Syslog和邮件两个方式发送告警事件。
参数 | 说明 |
---|---|
syslog日志事件来源 | 配置需要通过Syslog发送的日志类型和最低发送级别(Severity)。
|
事件级别 | 在只发送级别不低于X的事件消息中选择需要发送的事件级别,只有和所选级别相同或者更高的事件才会发送。如果选择NONE表示不发送。 事件级别由低到高依次为:NONE (不发送告警事件)—>DEBUG(调试级)—>INFORMATIONAL(通知级)—>NOTICE(注意级)—>WARNING(告警级)—>ERROR(错误级)—>CRITICAL(临界级)—>ALERT(警戒级)—>EMERGENCY(致命级)。 |
syslog日志发送对象 | 配置Syslog服务器:
|
syslog外发格式 | 支持标准syslog格式和JSON字符串格式。 |
Dec 27 18:20:13 node01 node1: login(WEB)(INFORMATIONAL)(service=native,identity=admin,from=10.10.67.15,login authorize success)
Dec 27 18:24:24 node01 node1: access(INFORMATIONAL)(id=S0IAIA8C8X3QZV,service=tui login,server=CentOS(10.10.33.30),account=root,identity=admin(admin),from=10.10.67.15)
Dec 27 18:36:39 node01 node1: cmd(NOTICE)(id=S0R9ADXQE020K7,service=cmdcheck,action=confirm(pass), server=CentOS(10.10.33.30),account=root,identity=test(test),from=10.10.67.15, command=ls -a)
Dec 27 15:58:04 node01 node1: session(WARNING)(id=S2TGD1JJY69K4P,service=sessionReview, server=CentOS(10.10.33.30), account=root,identity=test(test),from=10.10.67.15,authorizer=admin,wait for reviewing)
Jun 27 14:33:42 node01 node1: TUILOG(INFORMATIONAL)(id=S0E56FWNPTLV66,service=tuilog, server=10.10.33.30(CentOS7), account=root,identity=admin(admin),from=10.10.66.190,action=allow,command=ls)
Mar 13 14:13:23 node01 Test: AUDITLOG(INFORMATIONAL)(id=AXDShqOS1YRx05v_tZnC,service=configlog,identity=admin(admin),from=10.3.200.22, operate=新建用户,object=opt01,result=成功,details=[角色ID:5, 密码有效期:同系统配置, 加入系统时间:2020-03-13 14:13:23, 修改时间:2020-03-13 14:13:23, 姓名:操作员, 登录修改密码:否, 密码类型:手工输入, 删除:未删除, 帐号:opt01, 用户ID:101, 状态:活动, 用户类型:正式用户, 用户认证类型ID:1, 部门ID:1])
Nov 14 10:25:14 node01 node1: 节点“node01”负载过高,请尽快处理。
参数 | 说明 |
---|---|
通知邮件事件来源 | 配置需要通过邮件发送的事件类型和最低发送级别。 |
事件级别 | 在只发送级别不低于X的事件消息中选择需要发送的事件级别,只有和所选级别相同或者更高的事件才会发送。如果选择NONE表示不发送。 事件级别由低到高依次为:NONE (不发送告警事件)—>DEBUG(调试级)—>INFORMATIONAL(通知级)—>NOTICE(注意级)—>WARNING(告警级)—>ERROR(错误级)—>CRITICAL(临界级)—>ALERT(警戒级)—>EMERGENCY(致命级)。 |
通知邮件收件人 | 配置收件人,支持同时三种类型的收件人:
Note: 您可以参考配置用户(手工创建),配置用户帐号的邮箱。
|
配置短信网关后,可以使用运维审计系统的短信通知和短信认证功能。
短信网关参数,请向短信服务商获取。短信参数介绍和如何配置,请参考短信服务商提供的《短信接口文档》。
参数 | 说明 |
---|---|
URL | HTTP短信网关的URL,必须为标准的HTTP或者HTTPS地址。例如http://1.1.1.1:8082。 |
API请求头 | API请求头参数,格式为key:value,例如Content-Type:application/json。多个参数之间使用英文逗号分隔,例如key1:value1,key2:value2,最多不超过500个字符。 |
API参数 |
运维审计系统发送短信内容使用的API参数,格式为arg=value,多个参数之间使用英文逗号分隔,例如mobile=<%mobile%>,content=<%content%>。 Note: 运维审计系统的value支持mobile和content,分别表示手机号码和消息内容。
|
字符编码 | 运维审计系统发送短信内容使用的字符编码,取值包括:GBK、UTF-8和ASCII,缺省值为UTF-8。请与HTTP短信网关的设置保持一致。 |
发送方式 | 运维审计系统发送短信内容使用的方式,取值包括POST和GET,缺省值为GET。 |
短信前缀 |
设置短信的前缀,一般用于标识是谁发出的短信。例如,设置为主机名称或系统名称,用于区分不同的系统发送的短信。字符串格式,最大长度为30。 设置后,短信网关发送给用户的短信中将包含此处设置的前缀信息。 |
参数 | 说明 |
---|---|
签名 | 阿里云文本短信的签名管理界面添加的签名对应的签名名称。例如****公司。****替换为实际显示的内容,下同。 |
密钥ID | 阿里云AccessKey界面创建的AccessKey对应的AccessKey ID。例如LTAIraSv********。 |
密钥 | 阿里云AccessKey界面创建的AccessKey对应的Access Key Secret。例如eAA44h****。 |
模板ID | 阿里云文本短信的模板管理界面添加的模板对应的模板CODE。例如SMS_146******。 |
模板参数 | 格式为arg=value,多个参数之间使用英文逗号分隔,例如mobile=<%mobile%>,content=<%content%>。请参考阿里云短信服务文档的模板变量规范填写变量。 运维审计系统中短信内容只定义了一个变量content,阿里云上配置模板内容时也只需要定义一个变量与content对应即可。 |
参数 | 说明 |
---|---|
签名 | 腾讯云短信内容配置的短信签名界面创建的签名对应签名内容。例如**公司。 |
AppID | 腾讯云短信的应用配置界面显示的SDK AppID。例如:140016****。 |
AppKey | 腾讯云短信的应用配置界面显示的App Key。例如:8794afd****。 |
模板ID | 腾讯云短信内容配置的短信正文界面创建的正文模板对应的模板ID。例如231***。 |
模板参数 | 格式为arg=value,多个参数之间使用英文逗号分隔,例如mobile=<%mobile%>,content=<%content%>。请参考腾讯云文档平台的短信文档填写变量。 运维审计系统中短信内容只定义了一个变量content,腾讯云上配置模板内容时也只需要定义一个变量与content对应,且将该变量配置为第一位即可。 |
参数 | 说明 |
---|---|
短信类型 | 支持发送普通短信和模板短信。 |
URL | 移动云梦短信网关的URL,必须为标准的HTTP或者HTTPS地址。 |
API参数 | 运维审计系统发送短信任务请求数据使用的API参数,格式为arg=value,多个参数之间使用英文逗号分隔,例如mobile=<%mobile%>,content=<%content%>。 模板短信的API样例ecName=s**w,
apId=admin, secretKey=zwy**, sign=b***Q,
templateId=d6***a, addSerial=。参数如下:
普通短信的API样例apId=admin,ecName=s**w,secretKey=8****R,mobiles=<%mobile%>,content=<%审核通过%>,sign=b***Q,addSerial=。参数如下:
|
字符编码 | 运维审计系统发送短信内容使用的字符编码,取值包括:GBK、UTF-8和ASCII,缺省值为UTF-8。 对接移动云梦短信网关平台时,任选一个即可。 |
发送方式 | 运维审计系统发送短信内容使用的方式,取值包括POST和GET,缺省值为GET。 对接移动云梦短信网关平台时,任选一个即可。 |
短信内容 | 发送普通短信时可自定义短信内容(长度为1~300的字符串)。短信内容中支持以下参数替换:
例如设置如下短信内容:{userName}您好,本次验证码{code},在{validity}分钟内使用有效。 |
参数 | 说明 |
---|---|
会话复核 |
配置会话复核后,当操作用户访问资产时,复核人会收到短信通知。短信的主要内容为:哪个操作员使用哪个帐号启动哪个资产的会话,需要您进行复核。 |
命令复核 |
配置高危命令后,当操作在资产上执行定义的高危命令时,复核人会收到短信通知。短信的主要内容为:哪个操作员使用哪个帐号在哪个资上执行哪个命令,需要您进行复核。 |
系统告警 |
选中系统告警,单击选择通知人,选择接收通知短信的用户(如果用户数量大,请输入帐号、姓名等属性进行筛选),完成后单击确定。 系统异常或者服务状态异常时(例如磁盘占用率超过80%或者某个服务已停止),运维审计系统会在Web界面最上方显示告警信息(红底)。启用发送通知短信功能后,通知人就能收到系统告警通知短信。 |
配置备份可以对运维审计系统的配置进行导出和导入。导出系统配置支持手动备份和定期备份。
系统备份仅备份本节点的配置;当非单机部署时,需要在每个节点上分别执行。
导入配置一般要求备份文件与待导入的运维审计系统版本一致;如不一致,则必须保证两者之间的数据库未发生变更,从而确保备份文件可以导入成功;否则导入操作将会失败,运维审计系统出现数据库changelog版本不一致,禁止导入的提示信息。
设置运维审计系统的Web登录界面的Logo、Web页面左上角的Logo、浏览器标题ico和产品名称。
参数 | 说明 |
---|---|
登录页logo | Web登录页面显示的Logo。建议图片大小不超过74×125,图片格式支持jpg、jpeg、png或gif。 |
导航页logo | Web页面左上角显示的Logo。建议图片大小不超过115×32,图片格式支持jpg、jpeg、png或gif。 |
浏览器标题ico | Web页面的浏览器标签上显示的Logo。建议图片大小不超过45×45,图片格式支持ico。 上传的ico文件的格式,可以是以下格式之一:
Note: 不能将bmp等其他格式的图片,修改后缀为ico后上传,否则会导致上传失败。其他格式的文件必须通过工具进行转换后,再上传到系统。
|
产品名称 | 默认为运维审计系统,支持自定义,最多不超过50个字符。 |
修改运维审计系统对外开放的服务的端口号。
参数 | 说明 |
---|---|
字符服务 | 运维审计系统的字符服务(SSH服务)端口号,缺省值为22。修改后通过SSH登录运维审计系统时请使用自定义的端口。 |
图形服务(RDP) | 运维审计系统的图形服务(RDP服务,通过Mstsc客户端连接)端口号,缺省值为3389。修改后通过RDP登录运维审计系统时请使用自定义的端口。 |
图形服务(Web方式) |
运维审计系统的图形服务(Web服务,通过客户端连接)端口号,缺省值为5899。修改后使用Web方式建立图形会话或者查看图形会话回放时将使用自定义的端口。 |
Web服务 | 运维审计系统的Web服务(HTTPS服务)端口号,缺省值为443。修改后登录Web时请使用自定义的端口。 Note:
|
其他系统参数包含管理员联系方式、操作员默认首页等全局配置参数。
参数 | 说明 |
---|---|
系统管理员 | 系统管理员姓名或者称呼,允许任意字符,不超过30位。 |
联系方式 | 系统管理员的联系方式,可以是电话、邮箱、IM等,允许任意字符,不超过64位。 |
运维审计系统支持通过SNMPv1、和SNMPv2c和SNMPv3被网管管理。系统仅支持的MIB节点如下表所示。
模块 | OID | 描述 |
---|---|---|
system | 1.3.6.1.2.1.1.1 | sysDescr:系统基本信息 |
1.3.6.1.2.1.1.2 | sysObjectID:系统的唯一标识符 | |
1.3.6.1.2.1.1.3 | sysUpTime:监控时间 | |
1.3.6.1.2.1.1.4 | sysContact:系统联系人 | |
1.3.6.1.2.1.1.5 | sysName:系统机器名 | |
1.3.6.1.2.1.1.6 | sysLocation:系统位置 | |
1.3.6.1.2.1.1.7 | sysServices:提供的服务 | |
1.3.6.1.2.1.10 | transmission | |
interface | 1.3.6.1.2.1.2.1 | ifNumber:网络接口数量 |
1.3.6.1.2.1.2.2 | ifTable:接口信息表 | |
1.3.6.1.2.1.2.2.1 | ifEntry:接口条目 | |
1.3.6.1.2.1.2.2.1.1 | ifIndex:网络接口索引 | |
1.3.6.1.2.1.2.2.1.2 | ifDescr:网络接口描述信息 | |
1.3.6.1.2.1.2.2.1.3 | ifType:网络接口类型 | |
1.3.6.1.2.1.2.2.1.5 | ifSpeed:网络接口带宽 | |
1.3.6.1.2.1.2.2.1.6 | ifPhysAddress:网络接口物理地址 | |
1.3.6.1.2.1.2.2.1.8 | ifOperStatus:网络接口当前操作状态 | |
1.3.6.1.2.1.2.2.1.10 | ifInOctets:网络接口接收总字节数 | |
1.3.6.1.2.1.2.2.1.11 | ifInUcastPkts:接口收到的单播数据包个数 | |
1.3.6.1.2.1.2.2.1.12 | ifInNUcastPkts:接口收到的非单播数据包个数 | |
1.3.6.1.2.1.2.2.1.13 | ifInDiscards:接口接收丢包数 | |
1.3.6.1.2.1.2.2.1.14 | ifInErrors:接口收到错误数据包个数 | |
1.3.6.1.2.1.2.2.1.15 | ifInUnknownProtos:接口收到未知协议数据包个数 | |
1.3.6.1.2.1.2.2.1.16 | ifOutOctets:接口发送字节数 | |
1.3.6.1.2.1.2.2.1.17 | ifOutUcastPkts:接口发送的单播数据包个数 | |
1.3.6.1.2.1.2.2.1.18 | ifOutNUcastPkts:接口发送的非单播数据包个数 | |
1.3.6.1.2.1.2.2.1.19 | ifOutDiscards:接口发送丢包数 | |
CPU及负载 | 1.3.6.1.4.1.2021.11.9.0 | ssCpuUser:用户CPU百分比 |
1.3.6.1.4.1.2021.11.10.0 | ssCpuSystem:系统CPU百分比 | |
1.3.6.1.4.1.2021.11.11.0 | ssCpuIdle:空闲CPU百分比 | |
1.3.6.1.4.1.2021.11.50.0 | ssCpuRawUser:原始用户CPU使用时间 | |
1.3.6.1.4.1.2021.11.51.0 | ssCpuRawNice:原始nice占用时间 | |
1.3.6.1.4.1.2021.11.52.0 | ssCpuRawSystem:原始系统CPU使用时间 | |
1.3.6.1.4.1.2021.11.53.0 | ssCpuRawIdle:原始CPU空闲时间 | |
1.3.6.1.2.1.25.3.3.1.2 | hrProcessorLoad:CPU的当前负载,N个核就有N个负载 | |
1.3.6.1.4.1.2021.11.3.0 | ssSwapIn | |
1.3.6.1.4.1.2021.11.4.0 | ssSwapOut | |
1.3.6.1.4.1.2021.11.5.0 | ssIOSent | |
1.3.6.1.4.1.2021.11.6.0 | ssIOReceive | |
1.3.6.1.4.1.2021.11.7.0 | ssSysInterrupts | |
1.3.6.1.4.1.2021.11.8.0 | ssSysContext | |
1.3.6.1.4.1.2021.11.54.0 | ssCpuRawWait | |
1.3.6.1.4.1.2021.11.56.0 | ssCpuRawInterrupt | |
1.3.6.1.4.1.2021.11.57.0 | ssIORawSent | |
1.3.6.1.4.1.2021.11.58.0 | ssIORawReceived | |
1.3.6.1.4.1.2021.11.59.0 | ssRawInterrupts | |
1.3.6.1.4.1.2021.11.60.0 | ssRawContexts | |
1.3.6.1.4.1.2021.11.61.0 | ssCpuRawSoftIRQ | |
1.3.6.1.4.1.2021.11.62.0 | ssRawSwapIn | |
1.3.6.1.4.1.2021.11.63.0 | ssRawSwapOut | |
1.3.6.1.4.1.2021.10.1.3.1 | laLoad.1:最近1分钟的平均负载 | |
1.3.6.1.4.1.2021.10.1.3.2 | laLoad.2:最近5分钟的平均负载 | |
1.3.6.1.4.1.2021.10.1.3.3 | laLoad.3:最近15分钟的平均负载 | |
内存 | 1.3.6.1.4.1.2021.4.3.0 | memTotalSwap:虚拟内存大小 |
1.3.6.1.4.1.2021.4.4.0 | memAvailSwap:可用虚拟内存大小 | |
1.3.6.1.4.1.2021.4.5.0 | memTotalReal:设备RAM | |
1.3.6.1.4.1.2021.4.6.0 | memAvailReal:剩余的RAM | |
1.3.6.1.4.1.2021.4.13.0 | memShared(Total RAM Shared):RAM Shared大小 | |
1.3.6.1.4.1.2021.4.14.0 | memBuffer(Total RAM Buffered):RAM Buffered大小 | |
1.3.6.1.4.1.2021.4.15.0 | memCached(Total Cached Memory):Cached Memory大小 | |
1.3.6.1.4.1.25506.2.6.1.1.1.1.8 | 内存使用率(每分钟刷新一次) |
SNMP和SNMP Trap通过不同的开关配置,用户可以选择仅开启其中的一项。
配置SNMP
开启SNMP后,运维审计系统会打开UDP 161端口,如果网管和运维审计系统之间部署了防火墙,请添加防火墙策略允许网管访问运维审计系统的UDP 161端口。
参数 | 说明 |
---|---|
白名单IP | 允许管理运维审计系统的网管IP地址(支持IPv6),可以配置多个(一次输入一个,输入多次)。该项必须配置,如果不配置,则任何网管都不能管理运维审计系统。 |
参数 | 说明 |
---|---|
SNMP读团体字 | 运维审计系统与网管之间使用团体字认证,缺省值为public。网管侧的读团体字必须与运维审计系统的读团体字保持一致,如果不一致网管侧访问运维审计系统将会失败。 Note:
|
运维审计系统与网管之间使用用户名、认证算法和认证密码进行认证。网管侧的用户名、密码必须与运维审计系统的用户名、密码保持一致,如果不一致网管侧访问运维审计系统将会失败。目前仅支持认证不加密,即authNoPriv。
参数 | 说明 |
---|---|
用户名 | 自定义,长度为1-32的字符串,仅支持字母和数字。 |
认证算法 | 仅支持SHA算法。 |
认证密码 | 自定义,仅支持字母、数字和@#%^&*()_+,最小长度为8。 |
配置SNMP Trap
参数 | 说明 |
---|---|
SNMP Trap读团体字 | 运维审计系统与Trap服务器之间使用团体字认证。Trap服务器的读团体字必须与运维审计系统的读团体字保持一致,否则Trap服务器将无法正常接收运维审计系统发送的Trap通知消息。 Note: 保存设置后,将隐藏该团体字,并显示已托管Trap读团体字。可以单击修改Trap读团体字重设读团体字。
|
SNMP Trap服务器IP | SNMP Trap服务器的IP地址。服务器必须已启动了SNMP Trap服务。 |
SNMP Trap服务器端口 | SNMP Trap服务器监听的端口。一般默认为162/udp。运维审计系统到SNMP Trap服务器之间如部署了防火墙,需要放通该端口。 |
2020-08-03 11:15:23 <UNKNOWN> [UDP: [10.10.33.61]:54779->[10.10.33.30]:1622]:
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (186008) 0:31:00.08 SNMPv2-MIB::snmpTrapOID.0 = OID: IF-MIB::linkDown IF-MIB::ifIndex.5 = INTEGER: 5 IF-MIB::ifAdminStatus.5 = INTEGER: down(2) IF-MIB::ifOperStatus.5 = INTEGER: down(2) SNMPv2-MIB::snmpTrapEnterprise.0 = OID: NET-SNMP-MIB::netSnmpAgentOIDs.10
2020-08-03 11:29:23 <UNKNOWN> [UDP: [10.10.33.161]:54779->[10.10.33.30]:1622]:
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (270009) 0:45:00.09 SNMPv2-MIB::snmpTrapOID.0 = OID: IF-MIB::linkUp IF-MIB::ifIndex.5 = INTEGER: 5 IF-MIB::ifAdminStatus.5 = INTEGER: up(1) IF-MIB::ifOperStatus.5 = INTEGER: up(1) SNMPv2-MIB::snmpTrapEnterprise.0 = OID: NET-SNMP-MIB::netSnmpAgentOIDs.10
运维审计系统一般需要将业务网口的IP添加到白名单中;如果是HA部署,且需要使用虚IP和各节点的实IP访问Web界面,则将这些IP都添加到白名单中;如果是集群部署,且需要使用外部虚IP和各节点的实IP访问Web界面,则将这些IP都添加到白名单中。如果做了域名的映射,需要将所有域名都添加到白名单中。
运维审计系统对接H3C零信任平台后,支持单点登录功能和URL封装访问,从而实现在零信任平台直接访问资产。
对接参数值请向零信任平台管理员获取。
参数 | 说明 |
---|---|
平台地址 | 零信任平台token验证的地址。 |
session环境 | token值,当前_idp_session即为用户token。 |
appld | 应用ID,需要和零信任平台保持一致。 |
在双因子认证中,在第一维认证通过后的超时时间内输入第二维认证密码,则不会对第一维认证做重复校验。
配置国密后,支持对接签名验签服务器和国密USB Key,支持以下国密功能。
功能 | 关键数据 |
---|---|
国密签名验签 | 登录日志、动态权限、配置日志。其中配置日志涉及以下操作:
|
抗抵赖性功能 | 进行以下操作需要PIN码二次确认:
|
运维审计系统支持用户设置不同的部门属性,并根据设置的部门实现部门分权。
部门分权的详细指导请参考《运维审计系统部门分权典型配置指导》,本节仅介绍部门管理界面的配置。
最大资产数:用于限制本部门(包括其子部门)中的资产总数,取值范围是1~999999,如果不配置表示不进行限制。仅在二级部门(即其父部门是ROOT)中支持配置。
运维审计系统支持主备模式的HA。
类型 | 具体要求 |
---|---|
软硬件 |
|
网络 |
|
授权 | 主备节点已完成单机授权,且主备节点的授权数量一致。主备节点需要使用相同的授权方式,例如都通过授权服务器2.5授权,可以是2台不同的授权服务器。 |
数据 | 备节点上,没有多余的重要数据。部署时将仅保留主节点中的数据,并覆盖到备节点。例如本来有一台运维审计系统设备,使用另一台新的运维审计系统设备组成HA,则需要将原来的设备作为部署节点,执行HA部署,从而保留原有数据。 Attention: 如果原来的设备上存在较多的审计数据,部署HA后需要一些时间完成同步。在完成数据同步(可以在 页面中,检查主备机的磁盘使用情况大概相同来判断)之前,请不要执行主从切换。否则会导致数据丢失。
|
其他 |
|
服务 | 端口 |
---|---|
HTTP | 80 |
HTTPS | 443 |
PostgreSQL | 5432 |
SSH | 8022 |
ElasticSearch | 9200和9300 |
RabbitMQ | 25672和4369 |
Redis | 6379 |
文件同步 | 21199和21198 |
NTP | UDP/123 |
为了提高可靠性,可以部署两台运维审计系统组成双机热备。HA组网如下图所示,其中心跳口为可选配置。心跳口用于检测对端连通性,从而减少脑裂的发生。正常情况下,业务流量只经过主节点(例如节点1),主节点将数据及时备份至备节点(例如节点2)。当主节点发生故障时,进行主从切换,备节点变为主节点并处理业务流量,从而确保业务的连续性。
请根据实际情况规划HA的数据,本文以下表为例配置HA。
参数 | 节点1 | 节点2 | 说明 |
---|---|---|---|
主机名 | node01 | node02 | 为能快速区分不同节点,建议将节点的主机名修改为不一样。 |
业务IP地址 | GE0/0: 10.2.236.17/24 | GE0/0: 10.2.236.18/24 | 业务口的IP地址(支持IPv6地址),必须在同一个网段,支持bond。建议两个节点的业务口连接同一个交换机。 |
虚IP | 10.2.236.100 | 虚IP需要与业务IP地址在同一个网段。 | |
ping检测地址 | 10.2.1.1 | N/A | 检测网络连通性使用的目的IP地址,建议配置为业务口IP地址的网关。格式必须与业务网口地址格式一致。 |
用户名/密码 | N/A | admin/admin | 配置过程中主机访问备机Web界面时使用的用户名和密码,必须为超级管理员。该数据仅在配置过程中需要,HA配置成功后不再需要。 |
IP地址(心跳口) | GE0/1: 10.1.20.1/24 | GE0/1: 10.1.20.2/24 | 可选。主备节点的心跳IP必须在同一个网段,且与业务口IP地址不在同一个网段。建议两个节点的心跳口直接相连,支持bond。 |
参数 | 说明 |
---|---|
IP地址 | 备节点的业务口IP地址。 |
用户名 | 配置过程中主节点访问备节点Web界面时使用的用户名,固定为admin。 Note: 备节点中admin帐号必须满足以下要求,否则系统会报错:
|
密码 | 备节点中admin帐号的登录密码。 |
心跳地址 | 备节点心跳口的IP地址。如主节点未配置心跳地址,备节点的心跳地址将不能配置,不使用心跳。 |
第一步:为主备节点生成证书 [2024-05-28 09:59:42]
节点生成证书成功 [2024-05-28 09:59:43]
第二步:在主节点上执行部署脚本 [2024-05-28 09:59:46]
...
执行部署脚本成功 [2024-05-28 10:00:21]
第五步:启动备节点服务 [2024-05-28 10:00:21]
备节点服务启动命令执行完成 [2024-05-28 10:00:21]
第六步:启动主节点服务 [2024-05-28 10:00:24]
集群部署完成,将自动重启各节点服务,请稍后通过 https://虚IP:端口 访问本系统。 [2024-05-28 10:00:24]
使用虚IP登录Web界面,进入主从切换,进行主从切换测试。等待Web界面可以重新登录后,重新进入集群管理页面,查看集群状态,可以看到mode02变成了主。
页面,单击主节点对应的运维审计系统支持多活集群模式部署,以负载均衡的模式提供服务。
类型 | 具体要求 |
---|---|
软硬件 |
Warning:
|
网络 |
|
授权 | 集群中所有节点都已完成单机授权,且授权数量完全一致。 Note: 各节点组成集群后将共用这些授权,即每一个节点授权的最大资产数都为100时,3个节点的集群允许的最大资产数实际为300。
|
数据 |
|
其他 |
|
服务 | 端口 |
---|---|
HTTP | 80 |
HTTPS | 443 |
PostgreSQL | 5432 |
SSH | 8022 |
ElasticSearch | 9200和9300 |
RabbitMQ | 25672和4369 |
Redis | 6379 |
文件同步 | 21199和21198 |
NTP | UDP/123 |
运维审计系统支持3个及以上节的机器组成集群。用户发起的到集群的访问可以以负载均衡的方式分配到各个节点,使用集群方式部署可以增加运维审计系统的横向扩展能力。单台机器的故障不会导致数据的丢失,只会短暂影响业务。
集群节点数量说明
集群的节点数量建议为2n+1(n>=1)个,也就是奇数个节点。当宕机的节点数>=总节点数一半时,集群就不可用。3节点集群,最多只能同时宕机1个节点;5节点集群,最多只能同时宕机2个节点;6节点集群,最多也只能同时宕机2个节点。但集群使用的Ceph文件系统的备份只存在于两个节点上,如果这两个节点都产生故障,无论集群总共有多少个节点,都有可能不可用。
外部虚IP
运维审计系统集群对外提供访问虚IP,用户访问所请求的IP地址都是这个虚IP。外部虚IP需要和节点IP在同一网段。
内部虚IP
运维审计系统集群内部服务访问的虚IP。内部虚IP需要和节点IP在同一网段。
第一步:修改节点主机名 [2024-05-28 09:36:51]
修改节点“10.2.236.18”的主机名成功 [2024-05-28 09:36:51]
修改节点“10.2.236.19”的主机名成功 [2024-05-28 09:36:51
...
执行“pacemaker/cluster_deploy.yml”文件成功 [2024-05-28 09:37:53]
集群部署完成,将自动重启集群各节点,请稍后通过 https://外部虚IP:端口 访问本系统。 [2024-05-28 09:37:53]
部署过程会在页面显示,当出现集群节点部署完成,稍后将自动重启新部署的节点,代表节点添加成功。
...
TASK [start base services] *****************************************************
changed: [new-node] => (item=corosync)
changed: [new-node] => (item=pacemaker)
TASK [start cluster] ***********************************************************
changed: [new-node]
PLAY RECAP *********************************************************************
new-node : ok=40 changed=32 unreachable=0 failed=0 skipped=0 rescued=0 ignored=0
node01 : ok=14 changed=11 unreachable=0 failed=0 skipped=0 rescued=0 ignored=0
node02 : ok=13 changed=10 unreachable=0 failed=0 skipped=0 rescued=0 ignored=0
node03 : ok=18 changed=13 unreachable=0 failed=0 skipped=1 rescued=0 ignored=0
_EXIT_CODE:0
执行“pacemaker/cluster_add.yml”文件成功 [2023-07-27 15:18:56]
执行“pacemaker/cluster_add_restart.yml”文件成功 [2023-07-27 15:18:56]
集群节点部署完成,稍后将自动重启新部署的节点。 [2023-07-27 15:18:56]
...
第五步:配置防火墙 [2023-07-27 15:31:01]
配置节点“10.2.236.17”的防火墙成功 [2023-07-27 15:31:02]
配置节点“10.2.236.18”的防火墙成功 [2023-07-27 15:31:03]
配置节点“10.2.236.19”的防火墙成功 [2023-07-27 15:31:04]
集群节点删除完成,从集群中删除的节点,需要恢复出厂设置后才能使用。 [2023-07-27 15:31:04]
指导用户完成运维审计系统的License授权。
LS版本 | 运维审计系统版本 | 授权方式 |
---|---|---|
LS1.0 |
|
|
LS2.0/2.3 | E6112P10~R6113P03 | *云平台调用LS的API接口进行授权 |
LS2.4-1 | R6113P04~R6113P08 |
|
LS2.5 | R6113P09~R6114及以上版本 | 在LS2.4-1的基础上,新支持以下授权方式:
|
非单机部署时,需要对所有节点分别进行授权。每个节点申请的资产数量、会话数量必须完全一致。部署完成后,对于HA,授权数量即为每个节点的授权数量。对于集群,授权数量是所有节点的授权数量之和,所有节点共享这些授权。
项目 | 说明 | |
---|---|---|
最终客户单位名称 | 使用设备的最终用户的单位名称 | 必选 |
申请单位名称 | 您所在的工作单位名称 | 必选 |
申请联系人姓名 | 您的姓名 | 必选 |
申请联系人电话 | 您的联系电话 | 必选 |
申请联系人E-mail | 您的E-mail邮箱 除了“操作成功”对话框附带激活申请下来的License文件链接之外,网站还会将License文件也发送一份到您的E-mail邮箱 |
必选 |
申请联系人邮编 | 您所在地区的邮政编码 | 可选 |
申请联系人地址 | 您的联系地址 | 可选 |
项目名称 | 应用设备的项目名称 | 可选 |
验证码 | 网站显示的验证码,按照右边显示的数字,照样输入即可 | 必选 |
授权类型 | 最大资产数(基础包) | 最大资产数(扩容包) | 最大并发图形会话数 | 最大并发字符会话数 |
---|---|---|---|---|
V100 | 10 | 60 | 50 | 100 |
V200 | 50 | 200 | 150 | 300 |
V300 | 50 | 500 | 350 | 600 |
信息 | 说明 |
---|---|
IP地址 | 待授权的运维审计系统的IP地址。如为HA部署,需要发送各节点实IP地址,分别进行授权。 |
授权类型 | 选择其中一种授权类型。 |
可管理资产数 | 运维审计系统支持管理的最大资产数量。 |
信息 | 说明 |
---|---|
授权方式 | 选择授权服务器。 |
授权服务器IP | 授权服务器的IP地址,由授权服务器管理员提供。
|
可管理资产数 | 推荐按实际授权码对应的资产数填写。 |
信息 | 说明 |
---|---|
授权方式 | 选择授权服务器。 |
授权服务器IP | 授权服务器的IP地址,由授权服务器管理员提供。
|
可管理资产数 | 推荐按实际授权码对应的资产数填写。 |
运维审计系统支持通过Web界面安装系统升级包,实现软件更新。
升级包安装完成后是否需要重启,请参考该版本的版本说明书中的升级指导。
升级操作执行完成后,Web界面上会显示已安装的升级包。
从E6112P07版本开始,补丁管理页面支持显示上一次升级包的安装结果。E6112P06及以前版本安装的升级包,结果显示为空。
当上一次的安装结果为失败时,需要重新安装该升级包,直至成功,否则管理员无法安装新的升级包。
通过系统状态可以查看当前的基本状态,并进行一些系统管理操作。
维护模式是指停止ping和服务状态检查,维持当前主从关系不变。设置维护模式只能在HA和集群的主节点上执行。
正常情况下各节点都会同步主节点的时间,各节点时间会保持一致。但如时间同步服务故障,则可能造成时间不一致的情况。这种情况下关闭/重启集群,会导致Ceph服务一直无法停止,关机/重启失败。如果各节点时间不一致,或已造成Ceph服务无法停止,请联系技术支持进行解决。
要消除访问运维审计系统的Web界面时出现的证书错误提示,管理员需要配置运维审计系统的安全证书。安全证书是运维审计系统和客户端进行通信时所使用的服务器证书。
参数 | 说明 |
---|---|
C | 标准国家代号,如CN,表示中国,必填,仅支持字母、数字。 |
ST | 省份,如ZheJiang,表示浙江省,必填,仅支持字母、数字。 |
L | 城市,如Hangzhou,表示杭州,必填,仅支持字母、数字和空格。 |
O | 组织名称,如您的公司英文名,必填,以字母或数字开头,仅支持字母、数字、空格和.-_。 |
OU | 组织单位,如您部门的英文名,必填,以字母或数字开头,仅支持字母、数字、空格和.-_。 |
CN | 运维审计系统的IP地址或者域名,比如192.168.1.1,请务必和实际地址和域名保持一致。HA部署的填写HA虚地址或者对应的域名;集群部署的填写集群对外虚IP或者对应的域名。 以字母或数字开头,仅支持字母、数字和.-:。 |
如CN不匹配或subjectAltName未包含用户实际访问的地址,则即使用户在本地安装了该证书和CA证书,证书也将无法匹配成功,导致仍存在安全提示。
上传或更新用户自己的安全证书后,需要重启运维审计系统,否则将会导致Out of Memory错误。重启后,当前所有在线的SSH和RDP会话将会被中断,且用户再次通过SSH或RDP协议访问目标资产时,将出现主机密钥不一致的提示信息,需要重新信任或更新主机密钥。请谨慎配置并确保配置后当前时段允许重启整个系统。
参数 | 说明 |
---|---|
口令 | 上传的证书私钥对应的密码(PassPhrase)。如无密码则留空。 |
上传证书 | 单击浏览,上传运维审计系统的服务器证书(扩展名为crt)。 |
上传私钥 | 单击浏览,上传运维审计系统的服务器证书对应的私钥(扩展名为key)。 私钥格式必须符合RFC 8017协议和RFC
5958协议,以
BEGIN RSA PRIVATE
KEY 或BEGIN PRIVATE
KEY 开头,严格匹配。否则将导致证书上传失败。Note: 建议使用
openssl
rsa 和openssl
genpkey 两种命令生成密钥。 |
如无法重新信任,则需要更新本地保存的主机密钥。
例如对于Mac系统,需要修改用户家目录/.ssh/known_hosts中保存的旧的运维审计系统密钥,或删除旧的密钥,使再次连接时能重新获取并信任新的主机密钥。
用户自建CA生成证书时,CN字段请填写运维审计系统的IP地址,subjectAltName字段中的IP和DNS参数请填写运维审计系统的所有待访问的IP地址和域名,运维审计系统为各种部署场景时具体要求如下:
如CN不匹配或subjectAltName未包含用户实际访问的地址,则即使用户在本地安装了该证书和CA证书,证书也将无法匹配成功,导致仍存在安全提示。
参数 | 说明 |
---|---|
签名证书私钥口令/加密证书私钥口令 | 上传证书私钥对应的密码。如无密码则留空。 |
签名证书 | 上传运维审计系统的国密HTTPS签名证书(扩展名为crt)。 |
签名证书私钥 | 上传运维审计系统的国密HTTPS签名证书对应的私钥(扩展名为key)。 私钥格式必须符合RFC
8017协议和RFC 5958协议,以 |
加密证书 | 上传运维审计系统的国密HTTPS加密证书(扩展名为crt)。 |
加密证书私钥 | 上传运维审计系统的国密HTTPS加密证书对应的私钥(扩展名为key)。 私钥格式必须符合RFC
8017协议和RFC 5958协议,以 |
当运维审计系统启用了AD/LDAP身份验证后,可以配置LDAP同步,自动从LDAP中定期导入用户帐号。
如果您只需要同步一次,可以参考配置用户(LDAP导入)。如果您需要周期性同步,请按以下方法配置:
参数 | 说明 |
---|---|
baseDN | 需要同步到运维审计系统的用户DN的范围,例如"dc=mydomain,dc=org"。 |
objectClass | 选择设置LDAP对象类。 |
memberOf | 选择设置用户所属的分组。 |
过滤条件 | 设置过滤条件来筛选用户,过滤条件的语法请参考RFC4515。 |
ldap用户属性关系 | 单击设置属性关系,设置LDAP属性和运维审计系统中用户帐号属性的对应关系。
|
参数 | 说明 |
---|---|
执行时间 | 任务的首次执行日期和每次执行时间。 |
执行间隔 | 任务的执行周期,支持按天或者按月。超过31天,只支持按月。 |
入组配置 | 选择新用户的默认用户组。选填。 Note: 关于用户组,可以参考配置用户组。
|
同步行为 | 当AD或者LDAP上禁用或者删除用户后,运维审计系统上帐号的处理方式:
|
如果AD/LDAP上禁用了某个用户,运维审计系统也会进行禁用;当该账号在AD/LDAP上再次启用,同步用户后,运维审计系统也会启用该用户。
运维审计系统支持对审计数据进行手动和定期备份,手动或定期自动将运维审计系统中的审计数据备份到文件服务器上。
审计日志备份之后,图形会话回放文件支持通过GUI Player或离线审计工具离线审计工具回放,其他文件(字符会话和数据库会话)仅可通过离线审计工具回放。另外对已备份出去的审计文件,不支持导回到运维审计系统。
会话类型 | 目录名称 | 说明 |
---|---|---|
数据库会话 | dbsesslog_detail_es | 数据库会话ES详细信息。 |
dbsesslog_es | 数据库会话ES日志。 Note: 数据库会话由于需要回放对应的图形会话,因此也必须有guisesslog目录。
|
|
文件传输 | filelog | 文件留痕的留痕文件。 |
filesesslog_es | 文件传输会话ES日志。 | |
图形会话 | guisesslog | 字符会话回放文件。该文件也支持通过GuiPlayer工具(下载地址: | )回放。
guisesslog_detail_es | 字符会话ES详细信息。 | |
guisesslog_es | 字符会话ES日志。 | |
guisesslog_guioperdetail_es | 图形会话操作模拟操作ES详细信息。 | |
字符会话 | sesslog_es | 字符会话ES日志。 |
sesslog_detail_es | 字符会话ES详细信息。 | |
sesslog | 字符会话回放文件。 |
参数 | 说明 |
---|---|
定期备份 | 设置每天的备份时间。备份数据的时间范围是上次备份截止时间到当天凌晨0点。 |
文件服务器一、文件服务器二 | 选择备份到哪一台文件服务,可以同时选择,将会同时备份到两台文件服务器。 |
运维审计系统将按照设定的时间向文件服务器备份审计数据,审计数据将被备份到文件服务器的工作目录下面,名称中包含sesslog的多个文件夹中。
审计日志备份定期任务执行后,上次执行时间将显示上次执行清理任务的时间和执行结果(包括失败原因)。
审计数据定期备份如果失败,所有超级管理员都将在右上角收到备份失败提醒。
参数 | 说明 |
---|---|
手动备份 | 设置备份起始时间。将该起始时间至今的审计数据备份到文件服务器。 |
文件服务器一、文件服务器二 | 选择备份到哪一台文件服务,可以同时选择,将会同时备份到两台文件服务器。 |
运维审计系统将立即向文件服务器备份审计数据,备份用户指定的时间范围内的审计数据。
执行手动备份后,确定按钮上方将显示上次执行备份任务的时间和执行结果(包括失败原因)。
运维审计系统支持每天在指定时间清理N天前的审计日志。
清理的审计日志包括:
配置完成后,运维审计系统每天在指定的时间清理N天之前的审计数据。审计日志清理定期任务执行后,上次执行时间将显示上次执行清理任务的时间和执行结果(包括失败原因)。审计管理员也可以在 中查看到一条日志。
审计数据清理如果失败,所有超级管理员都将在右上角收到清理失败提醒。
运维审计系统支持每天在指定时间压缩N天前的图形审计文件。
对接H3C安全云平台后,支持从云平台同步用户和资产信息,提高运维管理效率。
当前只支持同步用户和主机资产,并且只有Cloud款机型运维审计系统支持本功能。
云平台IP、认证账号和密码,请向云平台管理员获取。
通过网络问题诊断功能,管理员可以进行ping测试、TCP/UDP端口测试、抓包等操作。
PAM是齐治公司特权账号管理产品的简称。通过对接PAM产品,使用PAM代替运维审计系统实现更为丰富的帐号管理功能。
功能 | 配置点 | 备注 |
---|---|---|
资产同步 |
|
- |
帐号同步 |
|
- |
PAM跳转 |
|
PAM提供改密计划迁移工具,支持将运维审计系统中的改密计划一次性全部迁移到PAM中。 |
向PAM获取密码 |
|
必须先配置获取密码,然后配置帐号同步。 |
参数 | 说明 |
---|---|
应用ID | PAM中创建的应用身份的应用ID,请向PAM管理员获取。 |
AKM地址 | 安装AppMgr的机器地址,若AppMgr被部署为HA,则填写虚IP。 |
证书认证 | 如果PAM开启证书认证,则需要开启并上传证书。证书请在PAM的 上传证书时,请满足以下要求:
|
页签中下载。
心跳检测时间 | 定期检测运维审计系统与AKM的连通性。如果不通则会进行页面告警。取值范围是1~59,单位是分钟。 |
参数 | 说明 |
---|---|
PAM IP | PAM的IP。
|
用户名 | PAM上至少拥有系统设置权限的用户帐号。 |
对接口令 | PAM后台设置的api_token,请向PAM管理员获取。 |
调用者标识 | PAM上新建的第三方插件的名称,请向PAM管理员获取。支持最多不超过30个字符。 |
同步删除 | PAM上来源于运维审计系统的资产帐号被删除后,运维审计系统从PAM同步时,是否同步删除该帐号。 |
自动同步 | 自动周期性执行同步操作。开启后,需要设置执行时间和执行间隔。 |
本章节介绍知名端口和运维审计系统可能使用到的端口。
端口 | 对应协议 |
---|---|
22 | tcp |
23 | tcp |
25 | tcp |
80 | tcp |
111 | tcp/udp |
123 | udp |
162 | udp |
323 | udp |
443 | tcp |
1433 | tcp |
1521 | tcp |
2181 | tcp |
2888 | tcp |
3301 | tcp |
3303 | tcp |
3306 | tcp |
3389 | tcp |
3694 | udp |
3888 | tcp |
4369 | tcp |
5405 | udp |
5432 | tcp |
5672 | tcp |
5899 | tcp |
6379 | tcp |
6789 | - |
6800 | - |
6801-6899 | - |
7001 | - |
8005 | tcp |
8022 | tcp |
8080 | tcp |
8180 | tcp |
8380 | tcp |
8280 | tcp |
9000 | tcp |
9001 | tcp |
9002 | tcp |
9003 | tcp |
9020 | tcp |
9024 | tcp |
9024 | tcp |
9200 | tcp |
9300 | tcp |
9999 | tcp |
21198 | tcp |
21199 | tcp |
25672 | tcp |
本地用户的密码要求包括长度、复杂度、有效期等,配置本地用户的密码时需要满足这些要求。
参数 | 说明 |
---|---|
最小长度 | 密码的最小长度,整数形式,取值范围是6~30,缺省值为6。 |
复杂程度 | 密码的复杂程度要求。
Note: 任何情况下,密码中均不能含有帐号名。因为帐号名不区分大小写,所以对密码进行帐号名校验时,同样不区分大小写。
|
有效期限 | 密码的有效期,取值包括:不限、7天、14天、30天、90天、180天、1年,缺省值是不限。 |
过期处理 | 密码配置了有效期限,密码过期后的处理方式。
|
密码相同检查 | 新密码不能与前面多少个历史密码相同。仅对用户修改自己的密码生效,管理员在用户界面修改其他用户的密码时不受此限制。整数形式,取值范围是1~100,缺省值是5。 |
过期前提醒 | 密码过期前提醒的天数,取值范围是0~365,同时不能超过“有效期限”。默认值是0,表示不进行过期前提醒。当有效期限设置为不限时,本参数不可配置。 |
运维审计系统支持和AD服务器对接,使用AD服务器来集中完成用户身份认证。运维审计系统支持配置多个AD服务器。
运维审计系统缺省提供一个名称为AD/LDAP的认证方式(名称支持修改),状态为禁用。用户可以使用缺省的认证方式,也可以创建新的AD认证服务器。本节以新建AD认证服务器为例进行介绍。
参数 | 说明 |
---|---|
名称 | 认证服务器的名称。 |
服务器类型 | 选择微软AD。 |
状态 | 选择启用。 |
状态 | 选择启用。 |
名称 | 认证服务器的名称。 |
服务器类型 | 选择微软AD。 |
服务器地址 | AD服务器的IP地址和端口,缺省端口号是389,如果使用SSL是636。 Note:
|
域名 | AD服务器的域名。 |
新用户自动加入系统 | 如果希望AD用户能够自动登录运维审计系统,请选中新用户自动加入系统。 Note: 当配置了多个服务器时,运维审计系统会依次在各个选中了新用户自动加入系统的服务器上查找新用户是否存在。运维审计系统首先在缺省的AD/LDAP上查找用户,然后再在剩余的服务器(根据HASH计算检查顺序)上查找,一旦找到就不再继续查找。
|
新用户的角色 | 开启新用户自动加入系统后需要设置新用户的角色。配置后,用户可以直接使用AD用户名和密码登录运维审计系统,首次登录时运维审计系统会自动创建指定角色的同名帐号。 |
如果服务器要求安全连接,请选中服务器要求安全连接(SSL),设置以下各参数。 | |
CA | 服务器的CA证书,单击浏览选择文件上传。 |
CERT | 服务器签发给运维审计系统的客户端CERT证书,单击浏览选择文件上传。 |
KEY | 服务器签发给运维审计系统的客户端证书对应的KEY,单击浏览选择文件上传。 |
允许忽略无效证书 | 如果选中,运维审计系统不对服务器的证书进行合法性检查;如果不选,运维审计系统将对服务器的证书进行合法性检查,对于使用非知名CA签发证书的服务器,请务必上传CA证书。 |
运维审计系统支持和LDAP服务器对接,使用LDAP服务器来集中完成用户身份认证。运维审计系统支持配置多个LDAP服务器。
运维审计系统缺省提供一个名称为AD/LDAP的认证方式(名称支持修改),状态为禁用。用户可以使用缺省的认证方式,也可以创建新的LDAP认证服务器。本节以新建LDAP认证服务器为例进行介绍。
参数 | 说明 |
---|---|
状态 | 选择启用。 |
名称 | 认证服务器的名称。 |
服务器类型 | 选择通用LDAP服务器。 |
服务器地址 | LDAP服务器的IP地址和端口,缺省端口号是389,如果使用SSL是636。 Note:
|
域名 | LDAP服务器的域名。 |
匿名访问 |
|
BaseDN | 登录运维审计系统的用户DN的范围,例如"dc=mydomain,dc=org"。 |
用户名属性 | 用户名的属性名称,如uid、cn等。 |
新用户自动加入系统 | 如果希望LDAP用户能够自动登录运维审计系统,请选中新用户自动加入系统。 Note: 当配置了多个服务器时,运维审计系统会依次在各个选中了新用户自动加入系统的服务器上查找新用户是否存在。运维审计系统首先在缺省的AD/LDAP上查找用户,然后再在剩余的服务器(根据HASH计算检查顺序)上查找,一旦找到就不再继续查找。
|
新用户的角色 | 开启新用户自动加入系统后需要设置新用户的角色。配置后,用户可以直接使用LDAP用户名和密码登录运维审计系统,首次登录时运维审计系统会自动创建指定角色的同名帐号。 |
如果服务器要求安全连接,请选中服务器要求安全连接(SSL),设置以下各参数。 | |
CA | 服务器的CA证书,单击浏览选择文件上传。 |
CERT | 服务器签发给运维审计系统的客户端CERT证书,单击浏览选择文件上传。 |
KEY | 服务器签发给运维审计系统的客户端证书对应的KEY,单击浏览选择文件上传。 |
允许忽略无效证书 | 如果选中,运维审计系统不对服务器证书中的CN字段进行校验,即服务器地址和证书CN不一致时,仍然可以连通;如果不选择,则服务器地址必须和证书CN字段一致。 |
运维审计系统支持和RADIUS服务器对接,使用RADIUS服务器来集中完成用户身份认证。
参数 | 说明 |
---|---|
认证方式 | RADIUS服务器要求使用的认证方式,包括PAP和CHAP。
|
服务器地址 | RADIUS服务器的IP地址和端口,缺省端口号是1812。 Note:
|
有共享密钥 | RADIUS服务器和运维审计系统之间通信的共享密钥。 Note: 共享密钥可以显示也可以隐藏,请单击对应的显示密码、隐藏密码按钮。
|
运维审计系统支持基于时间的动态令牌认证。动态令牌可以独立作为一种认证方式,也可以和其他认证方式结合使用形成双因子认证方式。
TOTP(基于时间的一次性口令)使用加密散列函数将密钥与当前时间戳结合,来生成一次性口令。TOTP定期产生一个新口令,要求客户端和服务器能够十分精确的保持正确的时钟,客户端和服务端基于时间计算的动态口令才能一致。使用TOTP令牌不需要令牌和运维审计系统之间保持网络通信,也不需要其他额外的认证服务器。
其中令牌本身使用散列函数计算一次性口令,运维审计系统采用BCrypt保存PIN码。
手工新建令牌
参数 | 说明 |
---|---|
SN | 动态令牌的SN,由若干位数字组成,请在动态令牌实体上查看。 |
KEY | 动态令牌的KEY,由若干位数字和字符组成,请在发货附件中查看。KEY和SN一一对应。 |
批量导入令牌
运维审计系统支持手机令牌认证,且手机令牌认证必须和其他认证方式结合使用形成双因子认证方式。
动态口令的基本认证原理是认证双方使用同一个共享密钥对时间进行密码算法计算,之后比较计算值是否一致从而进行认证。TOTP(基于时间的一次性口令)使用加密散列函数(HMAC-SHA1)将密钥与当前时间戳结合,来生成一次性口令。TOTP缺省每60秒产生一个新口令,要求客户端和服务器能够十分精确的保持正确的时钟,客户端和服务端基于时间计算的动态口令才能一致。
手机令牌是TOTP在手机客户端上的实现。运维审计系统的手机令牌适用于双因子认证场景,即手机令牌和其他认证方式(例如本地密码、AD/LDAP和RADIUS认证)结合使用。
运维审计系统支持短信认证,短信认证必须和其他认证方式结合使用形成双因子认证方式。
参数 | 说明 |
---|---|
认证类型 | 运维审计系统已配置的认证类型,取值为HTTP。如果没有配置或者要修改配置,请单击配置认证信息。 |
消息过期时间 | 认证消息过期时间。整数形式,单位是分钟,取值范围是1~5,缺省值是2。 |
运维审计系统支持将两种认证方式结合使用形成双因子认证方式。
参数 | 说明 |
---|---|
名称 | 双因子认证的名称,字符串形式,长度范围是1~100个字符。 |
认证方式1 | 请选择第一认证方式,包括:本地密码、AD/LDAP、RADIUS。 |
认证方式2 | 请选择第二认证方式,包括:AD/LDAP、RADIUS、动态令牌、手机令牌、短信认证、USB
Key认证。 Note: 手机令牌、短信认证只能作为双因子认证的认证方式2,不能作为单独的认证方式。
|
运维审计系统支持通过X.509证书对用户进行身份认证。X.509证书认证是独立于其他认证方式的一种认证,可将该认证方式与其他认证方式组合,形成双因子认证、三因子认证。仅支持在Web界面登录时进行X.509认证,使用RDP或SSH客户端登录时会忽略X.509认证。
参数 | 说明 |
---|---|
用户信息匹配规则 | 匹配用户证书Subject内容的规则,使用正则表达式表示。 配置匹配规则时,支持使用运维审计系统上定义的以下变量:
假设用户的个人证书的Subject内容如下:
运维审计系统读取Subject内容并处理,处理后内容如下(各主题之间用“,”分隔):
匹配规则示例:
|
受信任根证书 | 单击浏览,上传签发用户证书的根证书(扩展名可以为pem、crt、cert)。 |
验证深度 | 证书的验证深度。整数形式,取值范围是0~100,缺省值为1。 当存在以下证书链l3_crt(含上级)签发的证书能验证通过,而l4_crt(含)开始签发的证书会验证失败。 ,如果设置验证深度为1时,则使用 |
USB Key认证,可以作为单独的认证方式,也可以作为双因子认证的第二重认证方式。
USB Key认证,可以作为单独的认证方式,也可以作为双因子认证的第二重认证方式。同时,运维审计系统支持跨站点签发USB Key,如果部署了多站点,在某一站点签发了USB Key,该USB Key也可以在其他站点使用。
运维审计系统支持国密USB Key。配置国密USB Key前,需要先开启国密配置;如果之后又关闭国密配置功能,系统会自动切换到使用普通USB Key认证。
启用USB Key认证
运维审计系统支持对接CAS服务器,通过CAS服务器完成对用户的身份认证,实现单点登录(即在多个应用系统中,只需登录一次,即可在多个应用系统之间共享登录)。
确保运维审计系统和CAS服务器之间网络可达,端口通信正常。
企业内部通常会使用多个应用系统,如果每个应用系统都进行独立的认证,增加了实现的难度,同时众多的密码也增加了用户记忆的难度。针对这些问题,SSO(Single Sign ON,单点登录)应运而生。单点登录指在多个应用系统中,只需登录一次,即可在多个应用系统之间共享登录。而CAS(Central Authentication Service,中央认证服务)认证是SSO的开源实现,由CAS服务器和CAS客户端组成。
R6113P07版本,开启CAS认证后,所有的用户均使用CAS认证,不支持使用其他的认证方式。R6113P08(含)之后版本,开启CAS认证后,也支持本地认证,即同时支持通过本地认证或CAS认证登录运维审计系统。
Enter selection: CASAUTH
CasAuth Management:
1. CasAuth status: enable
D. Disable CasAuth
G. Enable auto create CAS users
R. Restart tomcat
0. Return
Enter selection: G
Do you want to enable automatic CAS users creation if the CAS user does not exist? (y/n)y
enable auto create CAS users successfully!
You need restart tomcat to take effect the cas configuration!
...
CasAuth Management:
1. CasAuth status: enable
D. Disable CasAuth
F. Disable auto create CAS users
R. Restart tomcat
0. Return
Enter selection: R
Warning: Are you sure to restart tomcat service (y/n) y
restart tomcat successfully!
运维审计系统支持通过无感地址,直接登录Web页面:https://cas服务器IP:端口/cas/login?service=https://运维审计系统IP:端口/webui/cas。
当CAS用户从运维审计系统退出登录,正常情况下会返回到运维审计系统Web登录页。如果没有返回Web登录页而出现CAS服务器登出页面(如下图),此时需要在CAS服务器上修改配置文件。
cas.logout.followServiceRedirects=true
,添加后如下图所示。# ./shutdown.sh
# ./startup.sh
SAML(Security Assertion Markup Language,安全断言标记语言),是一种基于XML的开源标准数据格式,用于在不同的身份验证和授权系统之间进行安全的单点登录。
参数 | 说明 |
---|---|
禁用/启用 | 开启/关闭SAML功能。 当存在SAML认证用户时,不支持禁用SAML功能。需要将用户的认证方式修改为非“SAML认证”后才能禁用。 |
运维审计系统地址 | 填写运维审计系统的Web登录地址,不用填写HTTP/HTTPS。HA时填写虚IP;集群时填写外部虚IP。最大长度为100个字符。 Note: 运维审计系统地址不支持配置IPv6和域名。
|
IDP metadata URL | IDP服务器上的metadata信息的URL地址,配置值请向IDP管理员获取。 |
运维审计系统的metadata ID | IDP中配置的运维审计系统的metadata ID,配置值请向IDP管理员获取。 |
IDP中用户属性名 | IDP中用于运维审计系统用户登录的帐号,配置值请向IDP管理员获取。 |
自动创建SAML用户 | SAML认证通过后,如果该用户在运维审计系统中不存在,是否自动创建同名的操作员帐号。如果设置“禁用”并且运维审计系统中不存在同名用户(认证方式没有要求),那么该用户将无法登录运维审计系统。 如果允许自动创建SAML用户,当SAML帐号超过200个字符,则会自动截取前200个字符作为帐号。 |
配置/修改SAML认证参数后,需要重启Web服务后才生效。多机部署场景时,需要在每个节点上执行重启。
为提高密码安全性,请设置密码输错多少次会导致运维审计系统锁定IP和帐号以及锁定时长。
参数 | 说明 |
---|---|
密码错误锁定(次) | 使用相同或不同IP,同一帐号登录运维审计系统,密码输错多少次时锁定该用户。整数形式,取值范围是1~99,缺省值是3。 例如设置为3时,表示通过相同或不同IP访问,并使用同一帐号登录时,密码输错3次后锁定该帐号。锁定时长内不能再使用该帐号登录。 |
客户端锁定(次) | 使用相同或不同帐号,同一IP登录,密码输错多少次时锁定该IP地址。整数形式,取值范围是1~99,缺省值是10。 例如设置为10时,表示使用同一IP,相同或不同帐号登录时,密码输错10次后锁定该登录IP地址。锁定时长内不能通过该IP进行登录。 |
锁定时长(秒) | 用户和IP地址的锁定时长,取值范围是1~600,缺省值是60。 |
运维审计系统缺省提供了多个用户角色并支持自定义用户角色,本节介绍如何查看各角色的授权情况、修改操作员的授权权限以及创建用户角色并授权。
参数 | 说明 |
---|---|
角色名称 | 用户角色的名称,字符串格式,长度范围是1~30。 |
角色描述 | 用户角色的描述,字符串格式,长度范围是1~128。 |
管理授权 | 用户角色拥有的对运维审计系统的管理和配置权限,包括:用户、资产、权限、工单和系统设置,选中对应的复选框即可。 |
服务授权 | 用户角色拥有的访问运维审计系统服务的权限,包括:访问资产、审计、高危操作、文件传输、报表、自动化。 Note:
|
配置用户时,如果运维审计系统提供的预定义用户属性不满足需求时,请自定义用户属性。
参数 | 说明 |
---|---|
名称 | 用户属性的名称,字符串格式,长度范围是1~30。 |
类型 | 用户属性的类型。
|
为提高安全性,请设置允许或禁止用户登录运维审计系统的时间、IP地址和MAC地址范围。
登录控制策略对通过Web登录运维审计系统,或是SSH/RDP/SFTP客户端登录运维审计系统都生效。
管理员可以配置多条登录控制策略,当有用户登录时,运维审计系统会从上到下匹配,一旦匹配到某条策略就执行对应的动作,不再继续向下匹配。管理员可以通过单击和来调整策略的优先级。
匹配单条策略是指符合设置的登录条件,登录条件包括时间、IP地址、MAC地址和条件,与动作无关。比如设置:IP地址10.1.2.3,条件不满足,动作不允许登录,此处非10.1.2.3的IP才是匹配该条策略的。如果想要设置条件为不满足的登录策略,建议多个登录条件设置在单条策略中,否则容易造成无法登录运维审计系统的情况。比如想要设置除10.1.2.3、10.1.2.5这两个IP,其他IP都不能登录运维审计系统,需设置单条登录策略为:IP地址为10.1.2.3,10.1.2.5,条件为不满足,动作为不允许登录。
参数 | 说明 |
---|---|
时间 | 登录控制的时间范围,格式如下:
请根据实际需要组合多个范围使用,多个范围之间是交集的关系,即设置的几个范围要同时满足。多个范围请用空格分隔。取值为空时表示不限制。 例如,每周一到周五的8:00至18:00写作w[1-5] T[08:00-18:00] Note:
|
IP地址 | 登录控制的IP地址范围,格式如下:
请根据实际需要组合多个范围使用,多个范围请用英文逗号“,”分隔,最大长度为1024个字符。 取值为空时表示不限制IP地址。 |
MAC地址 | 登录控制的MAC地址范围,要求如下:
Note: 一旦设置了MAC地址,不管取值如何,首先所有和运维审计系统的IP地址不在同一网段的客户端,都将无法登录运维审计系统。接下来才会根据具体规则对同网段客户端进行登录控制。
|
条件 | 包括满足、不满足和不启用。其中不启用表示该登录控制策略不生效。 |
动作 | 登录控制的动作,包括允许和禁止。 |
运维审计系统中内置了常见的资产类型。如果用户设备不在这些资产类型范围内,管理员可以在此增加新的资产类型。
通过运维审计系统访问的资产主要有两种类型。
运维审计系统作为客户端能够通过相关远程协议直接访问目标资产,用户可以通过运维审计系统直接发起到资产的访问。访问路径为:用户PC > 运维审计系统 > 目标资产。
例如:支持SSH、Telnet、RDP、VNC、Xdmcp、Xfwd、TN5250协议的资产。
有些资产属于Windows下的应用程序,用户通过运维审计系统无法直接访问。如果要访问这类型的资产,需要通过应用发布服务器来访问。访问的路径为:用户PC->运维审计系统 > 应用发布服务器 > 目标资产。
例如:Chrome浏览器、Firefox浏览器、Plsqldev客户端等。
通过运维审计系统直接访问的资产类型存在于运维审计系统主机、网络两个类别中。
参数 | 说明 |
---|---|
名称 | 输入此资产类型的名称。 |
分类 | 选择此资产类型所属的分类,如果没有所属的分类,可以选择编辑新增一个分类。 |
字符终端 | 勾选该资产所拥有的协议。当新建该类型的资产后,可以在资产的访问协议中,选择添加这些协议。访问协议配置方法参考配置资产的访问协议。 在下拉框中选择相关协议,以作为该资产创建时的默认添加的字符协议。如果无法选择默认添加协议,请确认其后的相关协议是否勾选。 SSH和Telnet协议的高级属性中,可以修改默认端口。 TN5250协议的高级属性中,可以修改默认端口、用户名框、密码框的坐标位置。 |
图形终端 | 勾选该资产所拥有的协议。当新建该类型的资产后,可以在资产的访问协议中,选择添加这些协议。访问协议配置方法参考配置资产的访问协议。 在下拉框中选择相关协议,以作为该资产创建时的默认添加的图形协议。如果无法选择默认添加协议,请确认其后的相关协议是否勾选。 RDP协议的高级属性中,可以修改默认端口,指定是否默认使用Console模式(Console模式相当于mstsc的/admin或/console选项,表示是否允许普通用户连接终端服务器的控制台会话(session id=0),用于防止终端服务器授权的会话数超过后,用户无法登录目标资产的情况)。 VNC协议的高级属性中,可以修改默认端口,指定是否默认使用商业版方式。当目标资产是商业版VNC时,需要勾选该项目。 Xdmcp协议的高级属性中,可以查看默认端口,该端口为UDP端口。 Xfwd协议的高级属性中,可以修改Xfwd方式启动所调用的程序。 |
特权帐号 | 输入该资产类型的特权帐号。指定特权帐号的目的是为了通过运维审计系统执行一些针对目标资产的高权限操作,例如帐号改密等操作。 |
改密方式 | 选择该资产类型的改密方式。不同的改密方式代表着不同的改密脚本,改密方式主要用于帐号改密功能。帐号改密,配置方法参考配置改密计划。 |
编码类型 | 选择资产类型的编码。该编码主要影响 | 中详情页命令和输出的编码。
通过应用发布服务器访问的资产类型存在于运维审计系统数据库、应用系统两个类别中。
参数 | 说明 |
---|---|
特权帐号 | 指定该资产类型的特权帐号。指定特权帐号的目的是为了通过运维审计系统执行一些针对目标资产的高权限操作。 |
默认客户端 | 指定该资产类型的默认客户端。该类型资产被创建时的默认添加这个客户端。 |
新增资产的属性。
当资产被创建后,可以拥有资产名称、资产IP、简要说明、资产类型等系统默认属性,当资产需要拥有新的属性时,管理员可以通过配置资产属性方式来完成。
参数 | 说明 |
---|---|
名称 | 输入资产属性的名称。 |
类型 | 选择资产属性的数据类型。有字符串、数字、日期、可选值四个选项。类型参考表13.8 资产属性类型说明 |
长度/范围/可选项 | 根据类型参数的不同,此项目会有不同的样式。可以指定该数据所能设置的范围。 |
类型 | 说明 |
---|---|
字符串 | 字符可以是任意可显示字符,包括特殊字符,例如:~!@#$%^&*()_+{}|:"<>?~!@#¥%^。 |
数字 | 只能是整数数字。 |
日期 | 只能是日期格式的数据。 |
可选值 | 必须得预定义可选值,可预定义多个可选值。 |
运维审计系统中包含多种的会话访问方式,包括Web页面访问,字符会话访问、图形会话访问、文件传输访问。每种会话访问在启动时,都带有默认参数,例如字符会话的最大持续时间、图形会话启动默认调用的客户端等。管理员可以通过当前菜单,修改会话访问中的默认参数。
修改访问运维审计系统字符会话的默认参数。
ShellMenu
用户使用本地计算机的SSH客户端访问运维审计系统时,运维审计系统会以列表方式列出所有可访问的字符资产,该列表方式被称为ShellMenu。
这两种方式启动的字符会话的默认参数,都可以在此处进行修改。
参数 | 说明 |
---|---|
终端字符编码 | 通过SSH客户端直连运维审计系统时,ShellMenu的编码。 当ShellMenu出现乱码时,修改此项。 |
初始终端标题 | 通过运维审计系统访问字符资产时,调用的SSH客户端的标题栏内容。 标题格式中可以包含变量,变量包含在{}中,默认变量:{user}代表登录用户,{account}代表帐号,{hostname}代表资产名,{hostaddr}代表资产IP。格式中不支持英文双引号。 运维审计系统调用不同种类的SSH客户端时,因为兼容性问题,效果会存在差异,请以实际效果为准。 |
并发登录限制(个) | 运维审计系统所允许的全局最大字符会话数量和单用户所允许的最大字符会话数量。 该参数只对字符会话生效,图形会话、登录测试会话、回放会话、复核会话、会话共享会话都不占用这个限制。当超出最大显示,连接运维审计系统的字符会话,运维审计系统会显示当前登录连接数超出。默认值为0表示不限制。 |
终端登录提示 | 通过运维审计系统访问字符会话时,会出现该登录提示。 如果该内容显示乱码,请修改终端字符编码。 |
字符会话输入超时 | 字符会话无输入时间开始算起,超时将退出。 单位:时:分。0:00分表示无超时设置。使用rz、sz方式传输文件过程中不会退出。 |
最大持续时间 | 字符会话初始访问时间开始算起,超时将退出。 最长时间阈值为5天23:59分。不可以设置0天0:00。 |
会话访问方式 | 在Windows环境下,通过Web页面访问字符会话所使用的启动方式。 如需修改个人帐号会话访问方式,请参考修改会话配置。 |
会话访问方式(Mac) | 在Mac环境下,通过WEB页面访问字符会话使用的启动方式。 如需修改个人帐号会话访问方式,请参考修改会话配置。 |
直连分类方式 | 用户使用SSH直连方式访问时资产的分类方式,取值包括:
|
参数 | 说明 |
---|---|
禁用算法配置 | 指定运维审计系统作为服务端时使用的算法。勾选表示禁用该算法,请根据需要设置启用或禁用。 Note: 在运维审计系统上禁用客户端支持的算法,可能导致该客户端不可用。
|
参数 | 说明 |
---|---|
终端菜单超时退出(秒) | 通过SSH客户端直连运维审计系统时,ShellMenu无操作退出的超时时间。 内容为0,表示不自动退出。 |
切断过夜会话 | 在该时间点切断字符会话。 对于连接未超过5分钟的字符会话不受影响。 Note: 单击左下角的重置可以清空切换过夜会话的设置。
|
命令输出限制 | 审计中,对记录到ElasticSearch中的命令输出的长度和大小进行限制。字符会话命令输出超出范围时,不进行记录。(只影响 填写输出行数和输出文件大小以进行限制,当输出内容满足以上任何一个条件,就停止记录。 |
中的输出,不影响字符会话实时、回放、下载方式时的输出。)
命令记录限制 | 审计中,对记录到会话日志文件中的命令输出进行限制。字符会话两次键盘输入之间的输出超出范围时,不进行记录。只影响字符会话实时、回放、下载方式时的输出,不影响 | 中的输出。
修改访问运维审计系统图形会话的默认参数。
这两种方式启动的图形会话的默认参数,都可以在此处进行修改。
参数 | 说明 |
---|---|
初始终端标题 | 通过运维审计系统访问图形资产时,标题栏的内容。 标题格式中可以包含变量,变量包含在{}中,默认变量:{user}代表登录用户,{account}代表帐号,{hostname}代表服务器名,{hostaddr}代表服务器IP。格式中不支持英文双引号。 通过WEB页面方式启动图形会话时,标题显示在标签页名称中。通过RemoteAPP方式启动的Rdpapp会话不显示标题。 |
键盘记录开关 | 审计是否记录图形会话的键盘事件和字符剪切板的记录。 默认选项为记录,如果不记录, 、 将不产生数据, 也将不显示键盘记录。 |
RDP启动方式 | 通过WEB页面启用的RDP会话,使用的启动方式。
如需修改个人帐号RDP启动方式,请参考修改会话配置。 |
图形会话输入超时 | 图形会话无操作时间开始算起,超时将退出。 单位为分钟,设置为0表示无超时设置。 |
最大持续时间 | 图形会话初始访问时间开始算起,超时将退出。 最长时间阈值为7天23:59分。不可以设置0天0:00。 |
默认分辨率 | 通过web页面以Mstsc启用的RDP会话的分辨率。
如需修改个人帐号的默认分辨率,请参考修改会话配置。 |
反连地址限制 | 使用XDMCP服务时,运维审计系统会打开TCP6000-6009端口,以监听XDMCP的反向连接。本参数用于设置是否针对所有IP开放XDMCP协议使用的TCP6000-6009端口。
|
会话切片大小(MB) | 审计记录图形会话,会话文件在达到切片大小时,生成下一个切片。 中可以看到切片文件。 Note: 配置会话切片大小后,下载生成的切片与配置值之间存在差异,请以实际下载大小为准。
|
按标题切片 | 审计记录RDP会话,如果RDP会话的当前活跃窗口的标题发生变化,生成一个切片。 开启该选项后,按标题切片的页签。 中将出现Note: 目前标题审计只支持RDP会话,且RDP启动方式必须为mstsc。支持以下环境,使用其他操作系统或主题,将无法正常产生按标题的切片:
|
是否开启tls | 运维审计系统监听的3389端口是否只允许TLS方式的连接。该选项变更会重启RDP服务,当前在线的使用mstsc方式的RDP会话会被全部断开。
E6112P13及以后的版本,开启该选项后不支持TLS
1.0和1.1,因此当本地PC只支持TLS 1.0/1.1时也将访问失败。如需使该选项也支持TLS
1.0/1.1(不推荐),请进行以下操作:
Note:
|
回放方式 | 用于控制进行图形审计回放时的回放方式。 |
mstsc远程桌面背景 | RDP远程登录到目标资产后,显示的背景桌面:
Note:
|
修改访问运维审计系统文件传输的默认参数。
参数 | 说明 |
---|---|
是否留痕 | 通过运维审计系统进行文件传输的文件是否在运维审计系统上保留一份副本。 留痕文件可以在 中下载。 |
文件留痕阈值(单位M) | 只有小于该阈值的文件会进行文件留痕操作。 此参数留空代表不设限制,所有文件都进行留痕操作。 |
个人配额限制(单位M) | 通过Web页面文件传输模块,进行网盘模式文件传输的个人空间的配额。 此参数留空代表不限制配额。 |
例外配置(单位M) | 对指定的用户设置配额例外参数。对于存在例外配置的用户,文件传输的配额以例外配置为准。
|
禁用Zmodem传输 | 是否允许rz/sz命令,进行字符会话下的文件传输。 Note: 禁用Zmodem传输后,系统会对rz/sz进行特殊处理:rz/sz不会自动添加到高危命令中,在字符会话的审计详情中不会高亮显示也不会在高危操作报表中体现;但是会统计在Top敏感操作中。
|
会话访问方式 | 在Windows环境下,通过Web页面访问文件传输所调用的客户端。 如需修改个人帐号会话访问方式,请参考修改文件传输配置。 |
会话访问方式(Mac) | 在Mac环境下,通过Web页面访问文件传输所调用的客户端。 如需修改个人帐号会话访问方式,请参考修改文件传输配置。 |
初始终端标题 | 通过运维审计系统访问文件传输时,调用客户端的标题栏内容。 标题格式中可以包含变量,变量包含在{}中,默认变量:{user}代表登录用户,{account}代表帐号,{hostname}代表服务器名,{hostaddr}代表服务器IP。 运维审计系统调用不同种类的客户端时,因为兼容性问题,效果会存在差异,请以实际效果为准。Filezilla的支持最为完善。 |
修改运维审计系统访问的通用参数。
用户可以使用多种方式登录运维审计系统访问目标资产,例如WEB页面,SSH客户端直连等。关于访问通用的默认参数,可以在此处进行修改。
参数 | 说明 |
---|---|
默认备注方式 | 通过运维审计系统访问目标资产时,用户是否需要填写备注信息。 通过Mstsc客户端和SFTP客户端直连运维审计系统的会话不受此参数影响。 |
WEB超时时间(分) | 运维审计系统的Web会话无操作时间开始算起,超时将退出。 Note:
|
会话切断策略 | WEB会话退出(包括主动退出和超时自动退出)时,是否切断从WEB页面启动的会话。 Note:
|
同一用户帐号同时只允许从一个IP地址访问 | 只要用户帐号通过当前IP地址登录运维审计系统的会话存在,运维审计系统就不允许该用户帐号从其他IP地址上登录。 所登录的会话类型不光包括WEB会话,还包括TUI和GUI会话。 关于WEB会话的退出,用户需要在页面右上角,单击用户帐号,单击退出。如果直接关闭浏览器,并不能直接退出WEB会话。 Note: 多机部署时,请将本参数设置为否(默认为否);否则可能导致部署失败。
|
冲突处理方式 | 只有当同一用户帐号同时只允许从一个IP地址访问勾选是时显示。
Note: 默认的取值是禁止新IP访问。
|
最大直连会话数 | 同一时段内,系统中所有直连会话数量之和所允许的最大值。直连会话即使用RDP/SSH/SFTP客户端登录运维审计系统的会话。当会话数量之和超过此处设置的数值后,运维审计系统将不允许建立新的直连会话。取值范围为0~100000,其中0代表无限制。 Note: 使用Xshell客户端建立的会话中,如打开Xftp会话,将额外统计一次直连会话数。
|
单用户最大直连会话数 | 同一时段内,单个用户直连会话数量之和所允许的最大值。直连会话即使用RDP/SSH/SFTP客户端登录运维审计系统的会话。当该用户打开的会话数量之和超过此处设置的数值后,运维审计系统将不允许该用户建立新的直连会话。取值范围为0~100000,其中0代表无限制。 Note:
|
双人授权模式 | 设置操作员触发会话复核后,是否支持双人授权。
|
用户通过运维审计系统,使用SSH、Telnet、RDP、VNC、Xdmcp、Xfwd等远程连接协议,可以直接访问这类型的资产。但是当用户需要基于Windows图形化客户端的工具,访问远程资产(例如:通过Firefox浏览器访问防火墙的网页,通过SQLyog工具访问MySQL数据库。)时,是无法通过运维审计系统直接完成的。这时需要一台Windows机器,用户通过运维审计系统登录这台Windows机器,通过其上的客户端,访问目标资产。这台Windows机器被称作应用发布服务器。
被运维审计系统发布出来的应用发布服务器上的客户端,被称为远程客户端。用户可以通过运维审计系统访问这些客户端资产。远程客户端的种类是丰富多彩的,甚至Chrome浏览器也可以被称为一个客户端。远程客户端在应用发布服务器上一定要是可执行的文件。
为了访问应用系统和数据库资产,运维审计系统需要建立与应用发布服务器的连接。
参数 | 说明 |
---|---|
地址/端口 | 应用发布服务器的IP地址和端口(默认值为3389),支持IPv6。 |
管理员帐户 | 应用发布服务器上的管理员帐号。 |
管理员密码/确认密码 | 管理员帐号对应的密码。 |
网络环境 | 配置应用发布服务器关联的网络环境。
|
此处设置管理账户和密码仅用于通过运维审计系统登录应用发布服务器。密码设置正确与否,不影响应用发布服务器WinSync状态和Gsessiond服务的状态。
运维审计系统上的不同用户在访问应用发布服务器时,需要有自己一套独立的环境。运维审计系统默认会在用户在首次使用应用发布服务器时,将该用户的帐号、密码同步到应用发布服务器上,帐号使用用户同名帐号,密码使用运维审计系统随机生成的密码。当用户在访问远程客户端,打开应用发布服务器时,使用同步的帐号进行登录。
自动同步选项包括同步和不同步,缺省为同步。当选择不同步时,运维审计系统在用户在首次使用应用发布服务器时,不会将该用户的帐号同步到应用发布服务器上。当有远程客户端需要运维审计系统同名帐号登录,访问会提示帐号登录失败。
添加远程客户端、修改远程客户端的启动参数。
参数 | 说明 |
---|---|
名称 | 输入远程客户端的名称。 |
执行帐号 | 使用什么帐号登录应用发布服务器。
Note: 操作员首次通过应用发布服务器访问资产时,会在应用发布服务器的Administrator和Remote
Desktop
Users用户组中同步该账号。如需修改同步的用户组,请配置同步账号用户组。
|
RemoteAPP | 远程客户端是否使用RemoteAPP方式,如果不使用,则通过普通方式打开。 |
代填脚本 | 如果存在多个CS代填脚本时,请选择其中一个:
|
键盘记录开关 | 审计时是否记录鼠标和键盘事件信息,默认选项为记录。 如果选择不记录, 中将不产生键盘记录数据。只有当配置图形会话参数和此处的键盘记录开关全都设置为记录时,才会记录相应会话的按键信息。 |
管理员如果希望运维审计系统在登录CS远程客户端时,自动代填登录框内容,可以配置CS代填脚本。不同的CS远程客户端对应着不同的CS代填脚本。
Console控制台用于管理员完成少量运维审计系统的Web界面上不能完成的配置操作。
Console的登录请参考登录运维审计系统的Console。为保障运维审计系统的安全性,管理员登录运维审计系统的Console后只能看到固定的控制台菜单界面并进行相关操作。
Console控制台支持通过多种方式登录。登录到控制台之后,管理员可以进行重置admin帐号、使用系统工具、修改主机名等功能。
|
系统支持通过显示器/虚拟机控制台,直连登录Console。
系统管理员可以使用Console菜单提供的日期和时间工具修改系统时间和时区。
配置系统日期和时间的方式有手动设置和NTP同步两种,请选择其中的一种方式进行配置。配置NTP服务器后请勿再手动修改日期和时间。集群部署时,只能通过NTP服务器同步系统时间,不能手动设置。
date -s "2023-04-26 20:11:15"
hwclock –w
命令将系统时间同步到硬件。Date and Time
1. Date : 2022-07-01
2. Time : 16:00:05
3. Network Time Protocol
4. Time Zone
0. Return
Enter selection:
Date and Time
1. Date : 2022-07-01 ==> 2022-07-02
2. Time : 16:15:35 ==> 15:15:15
3. Network Time Protocol
4. Time Zone
S. Submit
0. Return
Enter selection:
Network Time Protocol:
1. Ntp server:
0. Return
Enter selection: 1
Please input ntp server: 192.168.8.8
Time Zone:
1. Time Zone: Asia/Shanghai //显示当前时区
C. Change TimeZone //修改时区
0. Return
Enter selection: C
Please identify a location so that time zone rules can be set correctly.
Please select a continent, or ocean.
1) Africa
2) Americas
3) Antarctica
4) Arctic Ocean
5) Asia
6) Atlantic Ocean
7) Australia
8) Europe
9) Indian Ocean
10) Pacific Ocean
#? 5
Please select a country whose clocks agree with yours.
1) Afghanistan 6) Bhutan 11) East Timor … //...部分省略,下同
2) Armenia 7) Brunei 12) Georgia ...
3) Azerbaijan 8) Cambodia 13) Hong Kong ...
4) Bahrain 9) China 14) India ...
5) Bangladesh 10) Cyprus 15) Indonesia ...
#? 13
The following information has been given:
Hong Kong
Therefore TZ='Asia/Hong_Kong' will be used.
Selected time is now: Wed Nov 2 09:28:09 HKT 2022.
Universal Time is now: Wed Nov 2 01:28:09 UTC 2022.
Is the above information OK?
1) Yes
2) No
#? 1
Local time: Wed 2022-11-02 09:28:13 HKT
Universal time: Wed 2022-11-02 01:28:13 UTC
RTC time: Wed 2022-11-02 01:28:05
Time zone: Asia/Hong_Kong (HKT, +0800)
NTP enabled: yes
NTP synchronized: yes
RTC in local TZ: no
DST active: n/a
Timezone update successfully, reboot now?[y/n]y //输入y后会自动重启系统;也可以输入n,后续手动重启
Connection closing...Socket close. //系统开始重启
Connection closed by foreign host.
仅当运维审计系统为HA部署时,Console控制台才会显示HA的配置菜单。
系统管理员可以通过该操作,开启或关闭HA的维护模式。
维护模式是指停止ping和服务状态检查,维持当前主从关系不变。一般用于HA的升级和打补丁等维护操作。
设置维护模式可以在HA的任一节点上执行,开启/关闭后将影响所有节点。
Console菜单中无法直接查看当前是否开启维护模式,但在执行设置维护模式时会进行确认提示,请根据提示中的enable或disable确认当前的维护模式状态。
系统管理员可以通过该操作,将HA拆成单独的两台运维审计系统。仅当部署了HA的情况下,登录Console控制台时显示该菜单。
需要在主节点和备节点上分别执行拆除HA,建议先拆除备节点,再拆除主节点,以防止拆除过程中自动进行主从切换。
系统管理员可以通过该操作,修改HA的DNS配置。
HA Management:
1. Enable/Disable Maintenance Mode
2. DNS Configure
3. Push audit data to standby
4. Undeploy
0. Return
Enter selection: 3
Make sure to push audit data to standby? [y/n] y
The push will start after 300 seconds
push audit data to standby success.
推送成功后,页面告警消失。
当HA的Postgres数据库备份失败时,Web页面出现告警“HA备机向主机数据同步异常”,请通过Console界面中的Restore configuration data from master菜单,手动从主节点同步数据。
系统管理员可以通过该操作,对运维审计系统的各种网络配置进行调整,实现配置网口、路由、网口绑定、默认网关、主机名域名等功能。
配置网络参数中的大部分功能都可以在Web界面中直接操作,请参考基本设置:配置网络参数。建议仅当Web界面无法登录时才通过Console控制台菜单进行修改。
多机部署时不支持直接修改IP地址,必须先从原有系统中移除/拆除变为单机后,才可以修改IP。
1. GE0/0
2. GE0/1
...
Network Configuration:
1. IP Address : 10.2.239.12
2. Netmask : 255.255.0.0
3. IPV6 Address :
4. DNS1 :
5. DNS2 :
6. DISPLAY : 10.2.239.12 fc00:1002::250:56ff:fe9b:83c fe80::250:56ff:fe9b:83c
C. Clean all
0. Return
DISPLAY显示了当前的静态IP地址或使用DHCP自动获取的IP地址,以及通过IPv6路由通告获取的IP地址。
1. 10.10.34.0/24,10.10.32.1
2. 10.10.35.0/24,10.10.32.1
...
ip
route
命令的回显,例如:
default via 10.10.32.1 dev GE0/0 proto static metric 102
1.1.1.0/24 dev virbr0 proto kernel scope link src 1.1.1.1
10.10.32.1 dev GE0/0 proto static scope link metric 102
10.10.33.0/24 dev GE0/0 proto kernel scope link src 10.10.33.18 metric 102
10.10.34.0/24 via 10.10.32.1 dev GE0/0
10.10.35.0/24 via 10.10.32.1 dev GE0/0
Status UP:bond-net01
GE0/0
GE0/1
GE0/2
Bonding(绑定)是一种Linux系统下的网口绑定技术,可以把服务器上多个物理网口在系统内部抽象成一个逻辑上的网口,从而达到提升网络吞吐量、实现网络冗余、负载等功能的目的。
在运维审计系统控制台中可以使用Device Bonding菜单中的功能,绑定或解绑网口。
配置了网口绑定后,如涉及插入或移除板卡操作,则必须先解除网口绑定并关机后,再进行板卡的插入或移除,否则配置网口时将失败并引起网络服务故障。出现故障后,请解除网口绑定并重启运维审计系统,再重新配置网口绑定;如板卡已移除,请先插回板卡再进行以上操作。
非单机部署时,请先在各单机上配置好网口绑定,再进行搭建。
Please input bond name: net01
序号 | 模式编号 | 模式名称 | 说明 |
---|---|---|---|
1 | bond0 |
balance-rr |
平衡轮循策略。平衡负载模式,每块网卡轮询发包,有自动备援,但需要配置交换机。 |
2 | bond1 |
active-backup |
主-备份策略。自动备援模式,其中一条线若断线,其他线路将会自动备援。 |
3 | bond2 |
balance-xor |
平衡策略。基于指定的传输Hash策略传输数据包。 |
4 | bond3 |
broadcast |
广播策略。在每个slave接口上传输每个数据包,提供容错能力。 |
5 | bond4 |
802.3ad |
IEEE 802.3ad 动态链接聚合策略。创建一个聚合组,它们共享同样的速率和双工设定。根据802.3ad规范将多个slave工作在同一个激活的聚合体下。 |
6 | bond5 |
balance-tlb |
适配器传输负载均衡策略。在每个slave上根据当前的负载(根据速度计算)分配外出流量。 |
7 | bond6 |
balance-alb |
适配器适应性负载均衡策略。平衡负载模式,有自动备援,不是必须要配置交换机,通过ARP协商实现接收负载均衡。 |
1. GE0/0
2. GE0/1
Please input bond device (example 1,2): 1,2
Device Bonding:
1. bond-net01
A. Add Bonding
0. Return
Enter selection: 1
Are you sure to delete bond name: net01?[y/n] y
delete bond bond1, please wait ...
After delete bond, ipv4 gatewaydev will be reset to GE0/0 GATEWAYDEV ?[y/n] n
Current IPV4 Gateway: 10.10.32.1
Current IPV4 Gateway Device: net1
1: GE0/0
2: GE0/1
Please input gateway dev: 2
Please input new gateway: 10.10.32.1
Make new gateway effective?[y/n] y
SIOCADDRT: Network is unreachable
ERROR: update ipv4 default gateway failure, force update config ?[y/n] y
Config gateway, please wait
拆除绑定的过程中不会重启网络,因此重设网关之后会报错。重启网络之后将恢复正常,因此请忽略该报错。选择强制更新配置就会重启网络。
一台运维审计系统上默认网关只能设置一个,对一个网口设置默认网关,将清空其他网口上设置默认网关。一般只需要对业务网口设置默认网关。
Default IPV4 Gateway:
1. IPV4 Gateway: 10.10.32.1 Dev: GE0/0
0. Return
1: bond-net01
2: GE0/0
Please input gateway dev: 2
Current Gateway: 10.10.32.1
Current Gateway Device: GE0/0
1: bond-net01
2: GE0/0
Please input gateway dev: 2
Please input new gateway: 10.10.33.1
Config gateway, please wait
Restart network to make new gateway effective?[y/n] y
仅当为网口配置了IPv6地址时需要配置IPv6默认网关。
一台运维审计系统上默认网关只能设置一个,对一个网口设置默认网关,将清空其他网口上设置默认网关。一般只需要对业务网口设置默认网关。
Default IPV6 Gateway:
1. IPV6 Gateway: fe80::3a22:d6ff:fe71:db1 Dev: GE0/0
0. Return
1: bond-net01
2: GE0/0
Please input gateway dev: 2
Current Gateway: fe80::3a22:d6ff:fe71:db1
Current Gateway Device: GE0/0
1: bond-net01
2: GE0/0
Please input ipv6 gateway dev: 2
Please input new ipv6 gateway: fe80::3a22:d6ff:fe71:db2
Config gateway, please wait
Restart network to make new gateway effective?[y/n] y
运维审计系统默认开启IPv6路由通告,在支持路由通告的路由器网络中将自动获取到一个IPv6动态地址。用户可以参考本节的操作关闭/开启该功能。
系统管理员可以通过该操作,查看并修改主机名和域名。
Host Info:
1. Hostname : mynode //主机名
2. Domain name : example.com //域名
C. Clean domain name //删除域名,只有在已配置域名时可见
0. Return
管理员可以在Console控制台中执行清空网卡设置。
清空网卡设置之后,所有网络配置信息都将被删除。在未配置新的IP地址前,通过Web或SSH客户端均无法登录,只能通过显示器直连(需要硬件机型支持VGA接口)/串口登录/虚拟机控制台,重新配置网络信息。
清除网卡设置时将删除所有网口配置信息(除了lo网口),在重启系统后重新生成配置信息,并按GE0/0格式命名。因此如果网口名称不对时,也可以执行该操作来修改网口名称。仅单机部署下的运维审计系统显示该参数项。
该操作不会清空默认网关的配置。如重启后发现无法看到默认网关,属于正常现象,为网口配置IP后将可以再次看到默认网关的配置。
系统管理员可以使用控制台提供的Patch Tools完成安装补丁包等操作。
运维审计系统支持通过控制台界面安装任何格式的系统升级包和补丁包,实现软件更新。
升级包是指从一个版本升级到另一个版本的软件包;补丁包是指一个版本内解决问题的软件包。
本节介绍如何在运维审计系统上安装zip格式的特殊补丁包。
本节介绍如何修复RPM Database。
只有当RPM Database存在问题时,Console控制台中才会有修复RPM Database的选项。
仅当运维审计系统为集群部署时,Console控制台才会显示集群的配置菜单。
本节指导用户在控制台进行集群相关操作,包括查看集群状态、修改节点状态、设置维护模式,以及使用命令行。
当集群的某个节点出现问题时,运维审计系统允许将其禁用,使其不承载新的业务,从而定位解决该节点的问题。当该节点恢复为可用时,再将其激活,使其可以承载业务。
节点被禁用后仅影响业务承载,仍可以正常通过实IP访问,并且在查看集群状态时该节点所有状态将为正常。节点被禁用仅修改了会话调度时的Weight权值,使该节点的该权值始终为0,并未停止该节点的任何服务。
集群如禁用所有节点,将无法通过浏览器、RDP、SSH客户端访问运维审计系统,也无法建立新的会话,但在线会话将不被断开并且仍将被审计。
本功能与配置集群中的设置集群模式功能都会对节点是否承载业务产生影响,节点实际是否承载业务,需要共同检查这两个功能的设置。
Cluster
1. Status
2. Enable/Disable Node
0. Return
Enter selection: 2
1. node01 [active]
2. node02 [active]
3. node03 [active]
4. node04 [inactive]
Please select node:
输入待禁用/激活的节点对应的序号,使其由激活变为禁用或由禁用变为激活。例如输入2,禁用node02。并输入y进行确认。
Please select node: 2
Make sure to disable node node02? [y/n] y
维护模式是指停止ping和服务状态检查,维持当前主节点不变。一般用于集群的升级和打补丁等维护操作。
Console菜单中无法直接查看当前是否开启维护模式,但在执行设置维护模式时会进行确认提示,请根据提示中的enable或disable确认当前的维护模式状态。
Cluster:
1. Status
2. Enable/Disable Node
3. Enable/Disable Maintenance Mode
0. Return
Enter selection: 3
Make sure to enable maintenance mode ? [y/n] y
当超级管理员admin丢失密码无法登录时,可以通过该功能重置admin帐号的密码、角色、身份验证方式、手机号、状态。
如admin帐号被其他超级管理员修改为了其他角色,重置后会重新变为超级管理员。但必须登录Web界面,完成修改密码并重新登录,admin的用户角色才能正常显示为超级管理员。
系统管理员可以使用控制台提供的SSHD Management完成配置SSHD端口状态和配置远程登录密钥等操作。
当管理员需要允许或禁止用户使用SSH登录运维审计系统的Console控制台时,可以在控制台菜单中进行配置。
启用和禁用SSHD端口,表示允许或禁止用户使用SSH通过8022端口连接到运维审计系统并操作Console控制台。
该操作可以在Console控制台中操作,也可以在Web界面的sshd外部访问参数中设置,两处配置同源。
的通过SSH登录运维审计系统的Console控制台需要登录私钥,系统管理员可以在控制台菜单中生成新的登录密钥,并提供私钥的下载。由于需要下载私钥,SSH客户端需支持ZMODEM协议,能使用rz、sz命令传输文件。
passphrase
值并按回车,如果不设置密码,直接按回车。
SSHD Management:
1. SSHD port status: enable
2. Generate root key
D. Disable sshd port
0. Return
Enter selection: 2
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Generate root key successfully, please download.
SSHD Management:
1. SSHD port status: enable
2. Download root key
3. Delete root key
D. Disable sshd port
0. Return
Enter selection: 2
Download root key h3c-20211124 successfully.
SSHD Management:
1. SSHD port status: enable
2. Download root key
3. Delete root key
D. Disable sshd port
0. Return
Enter selection: 3
SSHD Management:
1. SSHD port status: enable
2. Generate root key
D. Disable sshd port
0. Return
Enter selection:
为了保证运维审计系统不存在HTTP Host头攻击风险,管理员可以启用HTTP Host 头攻击防护,并设置HTTP Host头白名单。配置后,当用户访问运维审计系统的Web界面时,将会检查用户访问请求中的Host头是否匹配白名单中的域名或IP,只有匹配成功时才能够访问Web界面。
运维审计系统一般需要将业务网口的IP添加到白名单中;如果是HA部署,且需要使用虚IP和各节点的实IP访问Web界面,则将这些IP都添加到白名单中;如果是集群部署,且需要使用外部虚IP和各节点的实IP访问Web界面,则将这些IP都添加到白名单中。如果做了域名的映射,需要将所有域名都添加到白名单中。
HA或集群部署时,可以在任意节点的Console菜单中修改Host头防护配置,修改的都是主节点的配置文件。
Nginx Management:
1. Host header defend status: enable
D. Disable host header defend
U. Update Server Name
0. Return
Enter selection: U
Current Server Name: 10.10.33.35 10.10.33.36
Please input new server name: 10.10.33.* ~.*.fc00.1010.32.0.* *.example.com
Update nginx server name successfully.
通过配置ACL访问控制,可以对远程访问Console控制台的主机地址进行限制。
ACL访问控制是一个白名单,限定了哪些IP地址可以通过SSH远程访问运维审计系统的Console控制台。若该白名单为空,则所有IP地址都可以通过SSH远程访问Console控制台。一旦该白名单中添加了控制规则,则只有白名单中的地址可以SSH访问Console控制台。
ACL Management:
A. Add
R. Remove
0. Return
Enter selection: a
Please input acl (target[/netmask or masklen]): 10.10.67.0/24
Are you sure (10.10.67.0/24) ? (y/n)y
ACL Management:
1. 10.10.67.0/24
2. 10.10.66.15
A. Add
R. Remove
S. Submit
0. Return
Enter selection: 2
Update acl (orig: 10.10.66.15): 10.10.66.0/24
Are you sure (10.10.66.0/24) ? (y/n)Y
ACL Management:
1. 10.10.67.0/24
2. 10.10.66.0/24
A. Add
R. Remove
S. Submit
0. Return
Enter selection: r
Please input id: 2
Remove (10.10.66.0/24) now, sure? (y/N)y
ACL Management:
1. 10.10.67.0/24
A. Add
R. Remove
S. Submit
0. Return
Enter selection: S
系统管理员可以使用Console菜单提供的系统工具进行网络调试操作。
发送ICMP包给指定IP地址,检查运维审计系统和目标地址之间的连通情况,相当于在Linux下执行ping命令。该操作要求目的IP地址的防火墙入站规则中允许ICMP回显。操作回显过程中可以使用Ctrl+C中断操作。本工具不支持网络环境。
跟踪从运维审计系统到目标地址之间的路由,会显示出经过的各层路由,相当于在Linux下执行traceroute命令。操作回显过程中可以使用Ctrl+C中断操作。本工具不支持网络环境。
如果Challenge码应答输入正确,一小时内如需重新挑战,则将生成同一挑战码,可以使用之前的同一应答码完成验证。
RDP:
1. Port Listening List : ['3389']
2. Add Port
3. Remove Port
4. Restart Service
0. Return
Enter selection: 2
Please input port: 3456
success
success
success
success
Restart xrdp.service to take effect now? [y/n] y
It will disconnect the online session. Make sure to restart? [y/n] y
RDP:
1. Port Listening List : ['3389', '3456']
2. Add Port
3. Remove Port
4. Restart Service
0. Return
Enter selection:
RDP:
1. Port Listening List : ['3389', '3456']
2. Add Port
3. Remove Port
4. Restart Service
0. Return
Enter selection: 3
Please input port: 3456
success
success
success
success
Restart xrdp.service to take effect now? [y/n] y
It will disconnect the online session. Make sure to restart? [y/n] y
用户添加硬盘后,将该硬盘添加到/var目录所在的逻辑卷中,以扩充数据存储区域的容量。
Main Menu:
1. Date and Time
2. Network Configuration
3. Patch Tools
R. Reset admin
S. SSHD Management
N. Nginx Management
A. ACL Management
U. User Connection
T. System Tools
Enter selection: EXTEND LVM VAR
Enter selection: EXTEND LVM VAR
1. /dev/sdb
0. Return
Enter selection: 1
Enter selection: EXTEND LVM VAR
1. /dev/sdb
0. Return
Enter selection: 1
Are you sure to add dev /dev/sdb to logical volume lv_var?(y/n)y
2022-11-27 14:48:49 Starting lvm_auto_extend (pid=13709)...
2022-11-27 14:48:49 Create backup directory /etc/lvmextend/backup/config/lvm
2022-11-27 14:48:49 backuping /etc/lvm/backup/vg01 to /etc/lvmextend/backup/config/lvm/2022-11-27-14-48-49-vg01
2022-11-27 14:48:49 Handle device /dev/sdb
2022-11-27 14:48:49 Device /dev/sdb not found in /etc/lvm/backup/vg01, init and extend
2022-11-27 14:48:49 Exec: mkfs -t xfs -f /dev/sdb
meta-data=/dev/sdb isize=512 agcount=4, agsize=1310720 blks
= sectsz=512 attr=2, projid32bit=1
= crc=1 finobt=0, sparse=0
data = bsize=4096 blocks=5242880, imaxpct=25
= sunit=0 swidth=0 blks
naming =version 2 bsize=4096 ascii-ci=0 ftype=1
log =internal log bsize=4096 blocks=2560, version=2
= sectsz=512 sunit=0 blks, lazy-count=1
realtime =none extsz=4096 blocks=0, rtextents=0
2022-11-27 14:48:50 Exec: pvcreate /dev/sdb
File descriptor 3 (/var/log/console.log) leaked on pvcreate invocation. Parent PID 13709: /bin/bash
File descriptor 10 (/dev/urandom) leaked on pvcreate invocation. Parent PID 13709: /bin/bash
Wiping xfs signature on /dev/sdb.
Physical volume "/dev/sdb" successfully created.
2022-11-27 14:48:50 Exec: vgextend vg01 /dev/sdb
File descriptor 3 (/var/log/console.log) leaked on vgextend invocation. Parent PID 13709: /bin/bash
File descriptor 10 (/dev/urandom) leaked on vgextend invocation. Parent PID 13709: /bin/bash
Volume group "vg01" successfully extended
2022-11-27 14:48:50 Exec: lvextend /dev/vg01/lv_var
File descriptor 3 (/var/log/console.log) leaked on lvextend invocation. Parent PID 13709: /bin/bash
File descriptor 10 (/dev/urandom) leaked on lvextend invocation. Parent PID 13709: /bin/bash
Size of logical volume vg01/lv_var changed from <40.63 GiB (10401 extents) to 60.62 GiB (15520 extents).
Logical volume vg01/lv_var successfully resized.
2022-11-27 14:48:50 Exec: xfs_growfs /dev/vg01/lv_var
meta-data=/dev/mapper/vg01-lv_var isize=512 agcount=17, agsize=655360 blks
= sectsz=512 attr=2, projid32bit=1
= crc=1 finobt=0 spinodes=0
data = bsize=4096 blocks=10650624, imaxpct=25
= sunit=0 swidth=0 blks
naming =version 2 bsize=4096 ascii-ci=0 ftype=1
log =internal bsize=4096 blocks=2560, version=2
= sectsz=512 sunit=0 blks, lazy-count=1
realtime =none extsz=4096 blocks=0, rtextents=0
data blocks changed from 10650624 to 15892480
Successfully add dev /dev/sdb to logical volume lv_var
All Devices have already been using. Return.
如执行失败,请联系技术支持查看/var/log/lvm_auto_extend.log日志。
Main Menu:
1. Date and Time
2. Network Configuration
3. Patch Tools
R. Reset admin
S. SSHD Management
N. Nginx Management
A. ACL Management
U. User Connection
T. System Tools
Enter selection: EXTEND LVM VAR
Enter selection: EXTEND LVM VAR
1. /dev/sdb
0. Return
Enter selection: 1
Enter selection: EXTEND LVM VAR
1. /dev/sdb
0. Return
Enter selection: 1
Are you sure to add dev /dev/sdb to logical volume lv_var?(y/n)y
2022-11-27 14:48:49 Starting lvm_auto_extend (pid=13709)...
2022-11-27 14:48:49 Create backup directory /etc/lvmextend/backup/config/lvm
2022-11-27 14:48:49 backuping /etc/lvm/backup/vg01 to /etc/lvmextend/backup/config/lvm/2022-11-27-14-48-49-vg01
2022-11-27 14:48:49 Handle device /dev/sdb
2022-11-27 14:48:49 Device /dev/sdb not found in /etc/lvm/backup/vg01, init and extend
2022-11-27 14:48:49 Exec: mkfs -t xfs -f /dev/sdb
meta-data=/dev/sdb isize=512 agcount=4, agsize=1310720 blks
= sectsz=512 attr=2, projid32bit=1
= crc=1 finobt=0, sparse=0
data = bsize=4096 blocks=5242880, imaxpct=25
= sunit=0 swidth=0 blks
naming =version 2 bsize=4096 ascii-ci=0 ftype=1
log =internal log bsize=4096 blocks=2560, version=2
= sectsz=512 sunit=0 blks, lazy-count=1
realtime =none extsz=4096 blocks=0, rtextents=0
2022-11-27 14:48:50 Exec: pvcreate /dev/sdb
File descriptor 3 (/var/log/console.log) leaked on pvcreate invocation. Parent PID 13709: /bin/bash
File descriptor 10 (/dev/urandom) leaked on pvcreate invocation. Parent PID 13709: /bin/bash
Wiping xfs signature on /dev/sdb.
Physical volume "/dev/sdb" successfully created.
2022-11-27 14:48:50 Exec: vgextend vg01 /dev/sdb
File descriptor 3 (/var/log/console.log) leaked on vgextend invocation. Parent PID 13709: /bin/bash
File descriptor 10 (/dev/urandom) leaked on vgextend invocation. Parent PID 13709: /bin/bash
Volume group "vg01" successfully extended
2022-11-27 14:48:50 Exec: lvextend /dev/vg01/lv_var
File descriptor 3 (/var/log/console.log) leaked on lvextend invocation. Parent PID 13709: /bin/bash
File descriptor 10 (/dev/urandom) leaked on lvextend invocation. Parent PID 13709: /bin/bash
Size of logical volume vg01/lv_var changed from <40.63 GiB (10401 extents) to 60.62 GiB (15520 extents).
Logical volume vg01/lv_var successfully resized.
2022-11-27 14:48:50 Exec: xfs_growfs /dev/vg01/lv_var
meta-data=/dev/mapper/vg01-lv_var isize=512 agcount=17, agsize=655360 blks
= sectsz=512 attr=2, projid32bit=1
= crc=1 finobt=0 spinodes=0
data = bsize=4096 blocks=10650624, imaxpct=25
= sunit=0 swidth=0 blks
naming =version 2 bsize=4096 ascii-ci=0 ftype=1
log =internal bsize=4096 blocks=2560, version=2
= sectsz=512 sunit=0 blks, lazy-count=1
realtime =none extsz=4096 blocks=0, rtextents=0
data blocks changed from 10650624 to 15892480
Successfully add dev /dev/sdb to logical volume lv_var
All Devices have already been using. Return.
如执行失败,请联系技术支持查看/var/log/lvm_auto_extend.log日志。
Console控制台除了提供标准功能菜单外,还支持通过执行命令方式配置相关功能。
Main Menu:
1. Date and Time
2. Network Configuration
3. Patch Tools
R. Reset admin
S. SSHD Management
N. Nginx Management
A. ACL Management
U. User Connection
T. System Tools
Enter selection: ****** //输入命令后按回车
项目 | 描述 |
---|---|
命令 | CASAUTH |
功能介绍 | 进入CAS配置界面,配置CAS功能。
|
注意事项 |
|
开启自动创建CAS用户功能,重启Tomcat使配置生效。
Enter selection: CASAUTH
CasAuth Management:
1. CasAuth status: enable
D. Disable CasAuth
G. Enable auto create CAS users
R. Restart tomcat
0. Return
Enter selection: G
Do you want to enable automatic CAS users creation if the CAS user does not exist? (y/n)y
enable auto create CAS users successfully!
You need restart tomcat to take effect the cas configuration!
...
CasAuth Management:
1. CasAuth status: enable
D. Disable CasAuth
F. Disable auto create CAS users
R. Restart tomcat
0. Return
Enter selection: R
Warning: Are you sure to restart tomcat service (y/n) y
restart tomcat successfully!
关闭CAS功能后,重启Tomcat使配置生效。
Enter selection: CASAUTH
CasAuth Management:
1. CasAuth status: enable
D. Disable CasAuth
F. Disable auto create CAS users
R. Restart tomcat
0. Return
Enter selection: D
disable CasAuth successfully!
You need restart tomcat to take effect the cas configuration!
CasAuth Management:
1. CasAuth status: disable
E. Enable CasAuth
F. Disable auto create CAS users
R. Restart tomcat
0. Return
Enter selection: R
Warning: Are you sure to restart tomcat service (y/n) y
restart tomcat successfully!
项目 | 描述 |
---|---|
命令 | CONFIGCONF |
功能介绍 | 需要进入ConfigConf界面,配置系统参数。
|
注意事项 |
Warning: 本命令仅供原厂工程师或在技术服务人员指导下执行。如果设置错误参数,可能导致系统故障。
|
配置项 | 描述 |
---|---|
audit.host=ip | 当访问NAT后的运维审计系统或者运维审计系统使用双网卡(只有1个网卡和资产的网络连通),导致不能正常访问资产时,需要添加audit.host=ip配置项。
|
operate.delete.cascade=true或false | 设置为true表示开启以下功能(默认关闭):
|
authorize.menu.hidden=true或false | 设置为true表示开启以下功能(默认关闭):屏蔽授权管理菜单和授权相关的告警(仅屏蔽Web页面上的告警,通过邮件和Syslog日志的告警仍然生效)。 Note: 开启后如果要更新授权,只能通过授权服务器进行;如果需要手动授权则需要关闭开关。
|
authorize.number.hidden=true或false | 设置为true表示开启以下功能(默认关闭):添加资产时不显示授权资产的总数。
|
dynamic.enable.dept=true或false | 设置为true表示开启以下功能(默认关闭):只显示本部门及其子部门的动态权限,不显示其他部门的数据。 Note: 在按用户/按资产查看权限时,仍然显示所有部门数据,单击来源可跳转到本部门及其子部门的动态权限,不会跳转到父部门或其他部门的动态权限。
|
执行CONFIGCONF命令,添加audit.host=10.1.1.2配置项。
Enter selection: CONFIGCONF
ConfigConf Management:
1. list all conf
2. add conf
3. del conf
0. Return
Enter selection: 2
Please input conf(kev=value): audit.host=10.1.1.2
set conf success
You need restart tomcat to take effect the configuration
项目 | 描述 |
---|---|
命令 | CHECKENV |
功能介绍 | 检测系统的RPM包和服务是否正常。检测发现的问题会在界面进行提示。 |
注意事项 | 本命令只对本机有效。 |
检测系统的RPM包和服务是否正常。
Enter selection: CHECKENV
2022-11-16 15:04:29: check rpm packages
2022-11-16 15:05:40: package tzdata-java-2019b-1.el7.noarch is not installed
2022-11-16 15:05:45: check rpm packages failed
2022-11-16 15:05:45: check service status
2022-11-16 15:05:45: check service status passed
ERROR: check environment status failure, please check
项目 | 描述 |
---|---|
命令 | DISPLAY VERSION |
功能介绍 | 查看版本信息。 |
注意事项 | 无 |
项目 | 描述 |
---|---|
命令 | ENOPEN |
功能介绍 | 设置Web中的语言设置页面是否可见。
|
注意事项 |
|
执行命令ENOPEN,设置语言设置页面可见。
Enter selection: enopen
Open/Close En entry:
1. English entry status: closed
O. Open entry
0. Return
Enter selection: o //英文字母o
Restart tomcat service to take effect now [y/n] y
登录Web页面,在
中设置中英文语言。项目 | 描述 |
---|---|
命令 | GMCONFIG |
功能介绍 | 开启/关闭国密配置功能,并设置使用加密卡或签名验签服务器。
Note: 使用渔翁加密卡,需要保证已经在运维审计系统上安装渔翁加密卡。
|
注意事项 |
|
执行命令GMCONFIG,选择ENABLE THE GM CONFIG开启国密功能并使用签名验签服务器。
Enter selection: GMCONFIG
GM CONFIG Management:
E. ENABLE THE GM CONFIG
G. ENABLE THE ENCRYPTION CARD CONFIG
0. Return
Enter selection: e
Confirm to enable the gm config? [y/n] y
Open the gmconfig.
项目 | 描述 |
---|---|
命令 | GMTLS |
功能介绍 | 开启/关闭国密HTTPS隧道功能。开启国密HTTPS隧道功能后,只能通过国密浏览器访问运维审计系统的Web界面。 Note: 国密HTTPS使用ECC-SM3-SM4加密套件,此处ECC指基于SM2的密钥交换协议。认证时涉及使用SM2、SM3算法,底层存储不涉及SM算法。
|
注意事项 |
|
执行命令GMTLS,进入HTTPS配置界面。执行Enable GM TLS HTTPS开启或Disable GM TLS HTTPS关闭本功能。
Enter selection: GMTLS
GM TLS Management:
1. GM TLS HTTPS status: disable
E. Enable GM TLS HTTPS //如果当前已经开启,显示Disable GM TLS HTTPS,用于关闭本功能。
0. Return
Enter selection: E
Please input pin code: 12345678 //输入PIN码
1. Cont1 //列出USB Key中的容器名。如果是单容器设备,则只有1组数据。
Please choose one container:1 //输入容器编号
GM Https test start...
...
GM Https test pass
项目 | 描述 |
---|---|
命令 | INSTALLCASTOOLS |
功能介绍 | 用于在使用linux-cas或linux-cas-ap命令安装的运维审计系统中安装CAS Tools工具。 |
注意事项 | 本命令仅支持单机部署的运维审计系统。 |
执行命令INSTALLCASTOOLS,安装CAS Tools工具。
Enter selection: INSTALLCASTOOLS
Are you sure to install CAStools? [y/n] y
Challenge is 74*******74, enter password to continue: 79*******yq //联系技术服务获取应答码后继续
Challenge code correct. Start install CAStools
项目 | 描述 |
---|---|
命令 | ISO AUTO CFG |
功能介绍 | 添加当前运维审计系统的网络配置(包括IP、路由、DNS等)到母盘文件。基于运维审计系统制作的母盘时支持写入网络配置参数,网络配置会写入母盘镜像iso文件。在云平台中通过挂载母盘镜像iso文件方式安装运维审计系统时,以上配置信息会在新的运维审计系统中生效。 |
注意事项 | 网络配置重启后生效,并且只会下发一次。如果再次重启系统,网络配置不会重复下发。 |
执行命令ISO AUTO CFG,添加网络参数到母盘。
Enter selection: ISO AUTO CFG
ADD rc.local success //成功添加网络参数
项目 | 描述 |
---|---|
命令 | Making a master disk |
功能介绍 | 制作母盘功能,用于磁盘、虚拟机拷贝方式生成系统。 |
注意事项 |
|
执行命令制作母盘。
Enter selection: Making a master disk
Please confirm whether to make the current system as a master? [y/N] y
项目 | 描述 |
---|---|
命令 | REBUILDRAID |
功能介绍 | 提供软RAID硬盘维护功能。
|
注意事项 |
|
在软RAID中删除故障硬盘。
Enter selection: REBUILDRAID
Challenge is bi******74, enter password to continue: 2e******3n //联系技术服务获取应答码后继续
Challenge code correct. Show RAID Menu.
RAID Status:
Personalities : [raid1]
md3 : active raid1 sdc1[0]
104790016 blocks super 1.2 [2/1] [U_]
bitmap: 1/1 pages [4KB], 65536KB chunk
md1 : active raid1 sda2[0]
510976 blocks super 1.2 [2/1] [U_]
bitmap: 1/1 pages [4KB], 65536KB chunk
md2 : active raid1 sda3[0]
104276992 blocks super 1.2 [2/1] [U_]
bitmap: 1/1 pages [4KB], 65536KB chunk
RAID Menu:
1. Remove scsi device from RAID
2. Add scsi device to RAID
3. Refresh raid status
0. Return
Enter selection: 1 //执行删除硬盘操作
...系统自动执行硬盘检测,发现硬盘已经被拔出或存在故障。
Removable devices:
1. sdc //只会显示已经故障或拔出的硬盘
Q. Return
Please choose one device to remove: 1
mdadm --manage /dev/md3 --fail /dev/sdc1
mdadm: set /dev/sdc1 faulty in /dev/md3
mdadm --manage /dev/md3 --remove /dev/sdc1
mdadm: hot removed /dev/sdc1 from /dev/md3
echo "scsi remove-single-device 0 0 3 0" > /proc/scsi/scsi
Success to remove device sdc from RAID, please unplug it when server is in power-off mode.
Confirm to power off system? [y/n] y //关机后请拔出故障硬盘。如果要添加硬盘,请安装新硬盘后开机
Connection closing...Socket close.
Enter selection: REBUILDRAID
Challenge is bi******74, enter password to continue: 2e******3n //联系技术服务获取应答码后继续
Challenge code correct. Show RAID Menu.
RAID Menu:
1. Remove scsl device from RAID
2. Add scsi device to RAID
3. Refresh rald status
0. Return
Enter selection:2
mdadm: /dev/ does not appear to be an md device
Addable devices:
l. sda //只会显示新添加的硬盘
Q,Return
...
If you created or changed a Dos partition, /dev/foo7, say, then use dd(1) to zero the
first 512 bytes: dd if=/dev/zero of=/dev/foo7 bs=512 count=l see fdisk(8).)
...
Success to add device sdc to RAID //添加成功