新建控制策略并关联资产及用户 - 运维安全中心（堡垒机）

堡垒机支持配置控制策略。您可以通过设置命令控制、命令审批、协议控制、访问控制策略等，对运维行为进行管控，有效防止用户进行高危命令操作或误操作，以保障运维安全。

步骤一：新建控制策略

登录堡垒机系统。具体操作，请参见登录系统。
在左侧导航栏，单击控制策略。
在控制策略页面，单击新建控制策略。

在新建控制策略页面，配置控制策略的名称、优先级、命令控制、命令审批、协议控制、访问控制以及运维审批，单击新建控制策略。

配置项	说明
名称	自定义控制策略名称。规则如下：长度为1~128个字符。不能以特殊字符开头。仅可包含特殊字符中的半角句号（.）、下划线（_）、短划线（-）、反斜线（\）以及空格。
优先级	配置控制策略优先级。优先级可设置范围：1~100。默认值为1，即最高优先级。不同控制策略可以设置相同的优先级。多个控制策略的优先级相同时，最新创建的策略优先级最高，在一条策略中，若命令控制和命令审批里设置有相同的命令，则优先级从高到低是：拒绝 > 允许 >审批。
命令控制说明仅适用于Linux主机。	配置在当前策略生效用户和主机中，允许或禁止执行的命令。命令控制类型：（黑名单）不允许执行以下命令：选择黑名单后，命令控制列表可以为空。在当前策略生效用户和主机中，不允许执行黑名单命令列表中的命令。（白名单）只允许执行以下命令：选择白名单后，命令列表为必填项。在当前策略生效用户和主机中，只允许执行白名单命令列表中的命令。命令列表：有关命令策略的推荐模板，请参见命令策略推荐模板。
命令审批说明仅适用于Linux主机。	配置执行需要审批的命令。如果用户执行了已配置在命令审批命令列表中的命令，您可以在堡垒机控制台对该命令是否执行进行审批。审批允许后该命令会被执行，审批拒绝后该命令不生效。关于命令审批的更多信息，请参见命令审批。命令审批对命令控制（白名单或黑名单）以外的命令生效。命令控制策略生效的优先级高于命令审批。
协议控制	配置控制策略的RDP选项、SSH选项以及SFTP选项。选中协议控制项表示允许该操作，未选中表示不允许进行相应操作。例如，选中文件上传，表示允许执行上传文件操作。重要 SSH通道和SFTP通道必须至少开启一项。取消勾选SSH通道后，将无法通过SSH权限登录资产账户，请谨慎配置。如果您为主机账户开启仅开启SFTP权限，请勿在控制策略里为该账户关闭SSH通道及SFTP通道，否则将无法通过堡垒机使用该主机账户访问目标服务器。
访问控制	配置来源IP是否可以访问当前策略生效的主机。（白名单）只允许以下IP：如果选择白名单，IP列表为必填项。只允许白名单中的来源IP访问当前策略生效的主机。（黑名单）不允许以下IP：如果选择黑名单，IP列表可以为空。不允许黑名单中的来源IP访问当前策略生效的主机。
运维审批	开启后，运维人员登录资产时，需由管理员审批通过，才能进行运维。关于运维审批的更多信息，请参见运维审批。

步骤二：关联资产及用户

在关联资产/用户页面，您需要同时为该策略关联资产及用户，使该策略在相应资产及用户上生效。

为该策略关联资产。支持选择策略针对所有资产生效或策略针对已选择的资产生效。
- 选择策略针对所有资产生效，默认对所有资产账户生效。
- 选择策略针对已选择的资产生效，在关联资产后，可选择关联所有账户或者关联指定账户。
说明
如果需要通过控制策略批量关联资产或者资产账户，可以先将资产批量添加到资产组，再进行批量关联。
为该策略关联用户。支持选择策略针对所有用户生效或策略针对已选择的用户生效。

命令策略推荐模板

下表介绍命令策略推荐配置的命令、描述以及推荐策略模板。您可以参照该表，配置命令控制和命令审批。

命令	描述	推荐策略
reboot	重启	命令审批
restart	重启	命令审批
shutdown	关闭系统	命令审批
halt	关闭系统	命令审批
poweroff	关闭系统	命令审批
init 0	停机	命令审批
pkill	批量杀死进程	命令审批
kill	杀死单个进程	命令审批
rm -rf	递归强制删除，忽视提示	命令审批
mount	挂载文件系统，有病毒拷贝危险	命令审批
umount	卸载文件系统	命令审批
parted	文件系统分区	命令审批
format	格式化	黑名单命令
dd if=/dev/zero of=/dev/had	硬盘清零	黑名单命令
:(){:\|:&};:	fork炸弹	黑名单命令
(mv)(\|.*)(/dev/null)	移动目录至黑洞	黑名单命令
(wget)(\|.*)(-O- \\| sh)	下载后直接执行	黑名单命令
mkfs.ext3 *	格式化	黑名单命令
dd if=/dev/random of=/dev/*	向块设备中随机写入数据	黑名单命令