Bastionhost支援配置控制策略。您可以通過設定命令控制、命令審批、協議控制、存取控制策略等,對營運行為進行管控,有效防止使用者進行高危命令操作或誤操作,以保障營運安全。
步驟一:建立控制策略
登入Bastionhost系統。具體操作,請參見登入系統。
在左側導覽列,單擊控制策略。
在控制策略頁面,單擊建立控制策略。
在建立控制策略頁面,配置控制策略的名稱、優先順序、命令控制、命令審批、協議控制、存取控制以及營運審批,單擊建立控制策略。
配置項
說明
名稱
自訂控制策略名稱稱。規則如下:
長度為1~128個字元。
不能以特殊字元開頭。
僅可包含特殊字元中的半形句號(.)、底線(_)、短劃線(-)、反斜線(\)以及空格。
優先順序
配置控制策略優先順序。
優先順序可設定範圍:1~100。預設值為1,即最高優先順序。
不同控制策略可以設定相同的優先順序。多個控制策略的優先順序相同時,最新建立的策略優先順序最高,在一條策略中,若命令控制和命令審批裡設定有相同的命令,則優先順序從高到低是:拒絕 > 允許 >審批。
命令控制
說明僅適用於Linux主機。
配置在當前策略生效使用者和主機中,允許或禁止執行的命令。
命令控制類型:
(黑名單)不允許執行以下命令:選擇黑名單後,命令控制列表可以為空白。在當前策略生效使用者和主機中,不允許執行黑名單命令列表中的命令。
(白名單)只允許執行以下命令:選擇白名單後,命令列表為必填項。在當前策略生效使用者和主機中,只允許執行白名單命令列表中的命令。
命令列表:有關命令策略的推薦模板,請參見命令策略推薦模板。
命令審批
說明僅適用於Linux主機。
配置執行需要審批的命令。
如果使用者執行了已配置在命令審批命令列表中的命令,您可以在Bastionhost控制台對該命令是否執行進行審批。審批允許後該命令會被執行,審批拒絕後該命令不生效。關於命令審批的更多資訊,請參見命令審批。
命令審批對命令控制(白名單或黑名單)以外的命令生效。命令控制策略生效的優先順序高於命令審批。
協議控制
配置控制策略的RDP選項、SSH選項以及SFTP選項。
選中協議控制項表示允許該操作,未選中表示不允許進行相應操作。例如,選中檔案上傳,表示允許執行上傳檔案操作。
重要SSH通道和SFTP通道必須至少開啟一項。取消勾選SSH通道後,將無法通過SSH許可權登入資產賬戶,請謹慎配置。
如果您為主機賬戶開啟僅開啟SFTP許可權,請勿在控制策略裡為該賬戶關閉SSH通道及SFTP通道,否則將無法通過Bastionhost使用該主機賬戶訪問目標伺服器。
存取控制
配置來源IP是否可以訪問當前策略生效的主機。
(白名單)只允許以下IP:如果選擇白名單,IP列表為必填項。只允許白名單中的來源IP訪問當前策略生效的主機。
(黑名單)不允許以下IP:如果選擇黑名單,IP列表可以為空白。不允許黑名單中的來源IP訪問當前策略生效的主機。
營運審批
開啟後,營運人員登入資產時,需由管理員審批通過,才能進行營運。關於營運審批的更多資訊,請參見營運審批。
步驟二:關聯資產及使用者
在關聯資產/使用者頁面,您需要同時為該策略關聯資產及使用者,使該策略在相應資產及使用者上生效。
為該策略關聯資產。支援選擇策略針對所有資產生效或策略針對已選擇的資產生效。
選擇策略針對所有資產生效,預設對所有資產賬戶生效。
選擇策略針對已選擇的資產生效,在關聯資產後,可選擇關聯所有賬戶或者關聯指定賬戶。
說明如果需要通過控制策略批量關聯資產或者資產賬戶,可以先將資產大量新增到資產組,再進行批量關聯。
為該策略關聯使用者。支援選擇策略針對所有使用者生效或策略針對已選擇的使用者生效。
命令策略推薦模板
下表介紹命令策略推薦配置的命令、描述以及推薦原則範本。您可以參照該表,配置命令控制和命令審批。
命令 | 描述 | 推薦策略 |
reboot | 重啟 | 命令審批 |
restart | 重啟 | 命令審批 |
shutdown | 關閉系統 | 命令審批 |
halt | 關閉系統 | 命令審批 |
poweroff | 關閉系統 | 命令審批 |
init 0 | 停機 | 命令審批 |
pkill | 批量殺死進程 | 命令審批 |
kill | 殺死單個進程 | 命令審批 |
rm -rf | 遞迴強制移除,忽視提示 | 命令審批 |
mount | 掛載檔案系統,有病毒拷貝危險 | 命令審批 |
umount | 卸載檔案系統 | 命令審批 |
parted | 檔案系統分區 | 命令審批 |
format | 格式化 | 黑名單命令 |
dd if=/dev/zero of=/dev/had | 硬碟清零 | 黑名單命令 |
:(){:|:&};: | fork炸彈 | 黑名單命令 |
(mv)(|.*)(/dev/null) | 移動目錄至黑洞 | 黑名單命令 |
(wget)(|.*)(-O- \| sh) | 下載後直接執行 | 黑名單命令 |
mkfs.ext3 * | 格式化 | 黑名單命令 |
dd if=/dev/random of=/dev/* | 向塊裝置中隨機寫入資料 | 黑名單命令 |