全部產品
Search

搜尋本產品

    Bastionhost:配置控制策略

    文件中心

    Bastionhost:配置控制策略

    更新時間:Jul 06, 2024

    Bastionhost支援配置控制策略。您可以通過設定命令控制、命令審批、協議控制、存取控制策略等,對營運行為進行管控,有效防止使用者進行高危命令操作或誤操作,以保障營運安全。

    步驟一:建立控制策略

    1. 登入Bastionhost系統。具體操作,請參見登入系統

    2. 在左側導覽列,單擊控制策略

    3. 控制策略頁面,單擊建立控制策略

    4. 建立控制策略頁面,配置控制策略的名稱、優先順序、命令控制、命令審批、協議控制、存取控制以及營運審批,單擊建立控制策略

      配置項

      說明

      名稱

      自訂控制策略名稱稱。規則如下:

      • 長度為1~128個字元。

      • 不能以特殊字元開頭。

      • 僅可包含特殊字元中的半形句號(.)、底線(_)、短劃線(-)、反斜線(\)以及空格。

      優先順序

      配置控制策略優先順序。

      • 優先順序可設定範圍:1~100。預設值為1,即最高優先順序。

      • 不同控制策略可以設定相同的優先順序。多個控制策略的優先順序相同時,最新建立的策略優先順序最高,在一條策略中,若命令控制和命令審批裡設定有相同的命令,則優先順序從高到低是:拒絕 > 允許 >審批。

      命令控制

      說明

      僅適用於Linux主機。

      配置在當前策略生效使用者和主機中,允許或禁止執行的命令。

      • 命令控制類型

        • (黑名單)不允許執行以下命令:選擇黑名單後,命令控制列表可以為空白。在當前策略生效使用者和主機中,不允許執行黑名單命令列表中的命令。

        • (白名單)只允許執行以下命令:選擇白名單後,命令列表為必填項。在當前策略生效使用者和主機中,只允許執行白名單命令列表中的命令。

      • 命令列表:有關命令策略的推薦模板,請參見命令策略推薦模板

      命令審批

      說明

      僅適用於Linux主機。

      配置執行需要審批的命令。

      如果使用者執行了已配置在命令審批命令列表中的命令,您可以在Bastionhost控制台對該命令是否執行進行審批。審批允許後該命令會被執行,審批拒絕後該命令不生效。關於命令審批的更多資訊,請參見命令審批

      命令審批對命令控制(白名單或黑名單)以外的命令生效。命令控制策略生效的優先順序高於命令審批。

      協議控制

      配置控制策略的RDP選項SSH選項以及SFTP選項

      選中協議控制項表示允許該操作,未選中表示不允許進行相應操作。例如,選中檔案上傳,表示允許執行上傳檔案操作。

      重要

      • SSH通道和SFTP通道必須至少開啟一項。取消勾選SSH通道後,將無法通過SSH許可權登入資產賬戶,請謹慎配置。

      • 如果您為主機賬戶開啟僅開啟SFTP許可權,請勿在控制策略裡為該賬戶關閉SSH通道及SFTP通道,否則將無法通過Bastionhost使用該主機賬戶訪問目標伺服器。

      存取控制

      配置來源IP是否可以訪問當前策略生效的主機。

      • (白名單)只允許以下IP:如果選擇白名單,IP列表為必填項。只允許白名單中的來源IP訪問當前策略生效的主機。

      • (黑名單)不允許以下IP:如果選擇黑名單,IP列表可以為空白。不允許黑名單中的來源IP訪問當前策略生效的主機。

      營運審批

      開啟後,營運人員登入資產時,需由管理員審批通過,才能進行營運。關於營運審批的更多資訊,請參見營運審批

    步驟二:關聯資產及使用者

    關聯資產/使用者頁面,您需要同時為該策略關聯資產及使用者,使該策略在相應資產及使用者上生效。

    1. 為該策略關聯資產。支援選擇策略針對所有資產生效策略針對已選擇的資產生效

      • 選擇策略針對所有資產生效,預設對所有資產賬戶生效。

      • 選擇策略針對已選擇的資產生效,在關聯資產後,可選擇關聯所有賬戶或者關聯指定賬戶。

      說明

      如果需要通過控制策略批量關聯資產或者資產賬戶,可以先將資產大量新增到資產組,再進行批量關聯。

    2. 為該策略關聯使用者。支援選擇策略針對所有使用者生效策略針對已選擇的使用者生效

    命令策略推薦模板

    下表介紹命令策略推薦配置的命令、描述以及推薦原則範本。您可以參照該表,配置命令控制和命令審批。

    命令

    描述

    推薦策略

    reboot

    重啟

    命令審批

    restart

    重啟

    命令審批

    shutdown

    關閉系統

    命令審批

    halt

    關閉系統

    命令審批

    poweroff

    關閉系統

    命令審批

    init 0

    停機

    命令審批

    pkill

    批量殺死進程

    命令審批

    kill

    殺死單個進程

    命令審批

    rm -rf

    遞迴強制移除,忽視提示

    命令審批

    mount

    掛載檔案系統,有病毒拷貝危險

    命令審批

    umount

    卸載檔案系統

    命令審批

    parted

    檔案系統分區

    命令審批

    format

    格式化

    黑名單命令

    dd if=/dev/zero of=/dev/had

    硬碟清零

    黑名單命令

    :(){:|:&};:

    fork炸彈

    黑名單命令

    (mv)(|.*)(/dev/null)

    移動目錄至黑洞

    黑名單命令

    (wget)(|.*)(-O- \| sh)

    下載後直接執行

    黑名單命令

    mkfs.ext3 *

    格式化

    黑名單命令

    dd if=/dev/random of=/dev/*

    向塊裝置中隨機寫入資料

    黑名單命令