全部產品
Search
文件中心

Bastionhost:配置控制策略

更新時間:Jul 06, 2024

Bastionhost支援配置控制策略。您可以通過設定命令控制、命令審批、協議控制、存取控制策略等,對營運行為進行管控,有效防止使用者進行高危命令操作或誤操作,以保障營運安全。

步驟一:建立控制策略

  1. 登入Bastionhost系統。具體操作,請參見登入系統

  2. 在左側導覽列,單擊控制策略

  3. 控制策略頁面,單擊建立控制策略

  4. 建立控制策略頁面,配置控制策略的名稱、優先順序、命令控制、命令審批、協議控制、存取控制以及營運審批,單擊建立控制策略

    配置項

    說明

    名稱

    自訂控制策略名稱稱。規則如下:

    • 長度為1~128個字元。

    • 不能以特殊字元開頭。

    • 僅可包含特殊字元中的半形句號(.)、底線(_)、短劃線(-)、反斜線(\)以及空格。

    優先順序

    配置控制策略優先順序。

    • 優先順序可設定範圍:1~100。預設值為1,即最高優先順序。

    • 不同控制策略可以設定相同的優先順序。多個控制策略的優先順序相同時,最新建立的策略優先順序最高,在一條策略中,若命令控制和命令審批裡設定有相同的命令,則優先順序從高到低是:拒絕 > 允許 >審批。

    命令控制

    說明

    僅適用於Linux主機。

    配置在當前策略生效使用者和主機中,允許或禁止執行的命令。

    • 命令控制類型

      • (黑名單)不允許執行以下命令:選擇黑名單後,命令控制列表可以為空白。在當前策略生效使用者和主機中,不允許執行黑名單命令列表中的命令。

      • (白名單)只允許執行以下命令:選擇白名單後,命令列表為必填項。在當前策略生效使用者和主機中,只允許執行白名單命令列表中的命令。

    • 命令列表:有關命令策略的推薦模板,請參見命令策略推薦模板

    命令審批

    說明

    僅適用於Linux主機。

    配置執行需要審批的命令。

    如果使用者執行了已配置在命令審批命令列表中的命令,您可以在Bastionhost控制台對該命令是否執行進行審批。審批允許後該命令會被執行,審批拒絕後該命令不生效。關於命令審批的更多資訊,請參見命令審批

    命令審批對命令控制(白名單或黑名單)以外的命令生效。命令控制策略生效的優先順序高於命令審批。

    協議控制

    配置控制策略的RDP選項SSH選項以及SFTP選項

    選中協議控制項表示允許該操作,未選中表示不允許進行相應操作。例如,選中檔案上傳,表示允許執行上傳檔案操作。

    重要
    • SSH通道和SFTP通道必須至少開啟一項。取消勾選SSH通道後,將無法通過SSH許可權登入資產賬戶,請謹慎配置。

    • 如果您為主機賬戶開啟僅開啟SFTP許可權,請勿在控制策略裡為該賬戶關閉SSH通道及SFTP通道,否則將無法通過Bastionhost使用該主機賬戶訪問目標伺服器。

    存取控制

    配置來源IP是否可以訪問當前策略生效的主機。

    • (白名單)只允許以下IP:如果選擇白名單,IP列表為必填項。只允許白名單中的來源IP訪問當前策略生效的主機。

    • (黑名單)不允許以下IP:如果選擇黑名單,IP列表可以為空白。不允許黑名單中的來源IP訪問當前策略生效的主機。

    營運審批

    開啟後,營運人員登入資產時,需由管理員審批通過,才能進行營運。關於營運審批的更多資訊,請參見營運審批

步驟二:關聯資產及使用者

關聯資產/使用者頁面,您需要同時為該策略關聯資產及使用者,使該策略在相應資產及使用者上生效。

  1. 為該策略關聯資產。支援選擇策略針對所有資產生效策略針對已選擇的資產生效

    • 選擇策略針對所有資產生效,預設對所有資產賬戶生效。

    • 選擇策略針對已選擇的資產生效,在關聯資產後,可選擇關聯所有賬戶或者關聯指定賬戶。

    說明

    如果需要通過控制策略批量關聯資產或者資產賬戶,可以先將資產大量新增到資產組,再進行批量關聯。

  2. 為該策略關聯使用者。支援選擇策略針對所有使用者生效策略針對已選擇的使用者生效

命令策略推薦模板

下表介紹命令策略推薦配置的命令、描述以及推薦原則範本。您可以參照該表,配置命令控制和命令審批。

命令

描述

推薦策略

reboot

重啟

命令審批

restart

重啟

命令審批

shutdown

關閉系統

命令審批

halt

關閉系統

命令審批

poweroff

關閉系統

命令審批

init 0

停機

命令審批

pkill

批量殺死進程

命令審批

kill

殺死單個進程

命令審批

rm -rf

遞迴強制移除,忽視提示

命令審批

mount

掛載檔案系統,有病毒拷貝危險

命令審批

umount

卸載檔案系統

命令審批

parted

檔案系統分區

命令審批

format

格式化

黑名單命令

dd if=/dev/zero of=/dev/had

硬碟清零

黑名單命令

:(){:|:&};:

fork炸彈

黑名單命令

(mv)(|.*)(/dev/null)

移動目錄至黑洞

黑名單命令

(wget)(|.*)(-O- \| sh)

下載後直接執行

黑名單命令

mkfs.ext3 *

格式化

黑名單命令

dd if=/dev/random of=/dev/*

向塊裝置中隨機寫入資料

黑名單命令