租户端 安全 堡垒机(BH) 快速入门

快速入门

最近更新时间: 2024-06-12 15:06:00

1. 堡垒机上线配置简介

新堡垒机上线时,需要配置内容有:修改根节点,创建组织结构;添加被管服务器,添加服务器账号;添加用户,将被管服务器权限分配和用户。基本操作涉及到模块分别为:组织结构,用户管理,资源管理,配置使用后可在审计管理查看相关操作审计。 涉及到的系统功能模块简介:

  • 组织结构:主要提供定义分组,方便分层分级管理

  • 用户管理:主要提供堡垒机系统用户账号管理与权限分配。

  • 资源管理:主要提供接入堡垒的资源(被管服务器)和资源账号(被管服务器的后台账号)管理,资源账号可支持 SSH、TELNET、FTP、SFTP、VNC、XWINDOW、WINDOWS 文件共享等协议。

  • 审计查看:主要提供堡垒机登陆或操作审计,以及运维用户单点登录资源后的操作行为审计查看。

2. 管理员上线配置

2.1. 管理员登陆

堡垒机系统采用加密型的 http 方式进行访问,在浏览器地址栏中输入 https://堡垒机IP即可,例如:https://192.168.30.66 / 由于采用 SSL 技术,访问会出现证书错误提示,此时点击“继续浏览此网站”,输入管理员账号和密码登陆进入堡垒机。

说明:

  • 堡垒机登录界面参数说明:

    用户 ID:输入堡垒机用户的用户名。

    静态口令:登录密码。

  • 堡垒机系统的主管理账号为 admin,具有配置系统所有参数的权限。

2.2. 修改根节点

首次登陆可将根目录改为对应公司名称或项目名称,以便组织结构创建和管理; 操作过程:点击主菜单【数据中心】>【编辑节点】>在名称处输入“”,将根目录修改为“腾讯云金融专区”

2.3. 新建组织结构

修改完根目录后创建组织结构,以便管理堡垒里的人员资源等信息,组织结构支持多层级分类创,可按照公司组织结构或资源分组管理情况来来建设;以下为“腾讯云金融专区”的“授权组”创建。 操作过程:点击【组织结构】>【新建】>输入组织结构名称“授权组”>选择组织结构类型“岗位授权”,点击【新建】完成组织结构“授权组”的新建;

2.4. 添加资源(目标设备)

组织结构创建完成后进行资源添加,通过【资源管理】模块将需要堡垒管理的设备信息导入堡垒,该模块可对资源和资源账号以及账号登陆方式进行管理;

2.4.1. 添加资源

以下为“授权组”下手动添加设备“linux 资源1”,IP:172.16.2.28,资源账号“root”的操作步骤; 操作过程:点击【授权组】-【绑定资源】-【新建并绑定】,选择资源类型、资源版本、资源名称以及资源 IP,点击保存关闭。如果需要绑定资源账号,点击【资源管理】--选择要添加账号的资源【账号列表】--点击添加按钮,填上相应的账号信息,点击保存

2.5. 新建用户

以上步骤完成后即完成了基本信息的录入工作,此时进行用户创建以及资源和用户授权绑定,完成后堡垒机上线前的配置工作就完成了。 在相对应的组节点下创建和管理用户,通过【用户管理】模块进行用户账号管理和授权分配管理;以下是在“授权组”下创建普通运维用户“test”和授权资源步骤。 新建用户操作过程:点击【授权组】--【绑定用户】--【新建并绑定】点击【保存】完成用户创建.,

2.6. 审计查看

审计查看可分为堡垒机管理端管理操作审计和运维人员单点登录操作服务器的行为审计,步骤如下; 审计查看操作过程:点击【审计平台】,即可查看审计内容

3. 运维人员使用

在浏览器地址栏中输入https://堡垒机 IP/访问堡垒机,输入用户名密码登陆。

3.1. 安装控件(安装时全部默认安装)

运维用户第一次访问堡垒机系统,需下载单点登录控件,已安装过无需再安装。 登录运维用户,点击左上角圆形的套件,然后点击下载。

3.2. 单点登录

单点登录操作过程:点击【运维】>【授权列表】>输入账号密码和选择连接方式>【登录】连接到服务器,完成单点登录。

4. 角色管理

堡垒机系统基于最小安全特权原则,将所有角色分为8个角色模块:组织管理、用户管理、资源管理、岗位管理、安全策略、审计报表、系统参数。 对用户按其职责设定角色管理权限。

说明:

角色管理依托组织结构创建角色,所以创建角色前,先创建组织结构。

4.1. 角色配置

场景说明: 根据系统管理任务创建三个角色,分别为:系统管理员、审计管理员、运维人员;

  • 系统管理员权限:系统平台的组织管理、用户管理、资源管理和配置管理角色权限;

  • 审计管理员权限:系统平台的内部审计和运维人员登录资源操作的行为审计;

  • 运维人员:只有单点登录运维资源权限,没有对系统平台的管理和审计权限。普通用户默认为“运维人员”

用户(1)角色授权为系统管理员,处理系统平台管理配置工作,用户(1)角色授权为审计管理员,负责系统平台管理操作和运维操作审计工作,并定期生成业务报表汇报领导。 配置思路: 根据场景需求,对根节点“腾讯云金融专区”创建“系统管理员”和“审计管理员”角色,普通用户默认为“运维人员”。 用户(1)授权“系统管理员”角色、用户(1)授权“审计管理员”角色。

配置方法:

4.1.1. 角色权限配置

以下为根节点“腾讯云金融专区”的角色权限创建; 操作过程:点击“腾讯云金融专区”---【角色管理】选择需要创建的角色全选,勾选对应权限>【保存】完成组织管理角色的创建,别的角色也是同样步骤创建。

4.1.2. 用户角色授权

根据场景需求将用户(1)角色授权为系统管理员; 操作过程:点击【用户管理】>在对应账号下点击角色图标“ ”>【添加角色】>勾选对应的权限模块>【确定】完成角色授权。

根据需求将用户(1)角色授权为审计管理员 操作过程:点击【用户管理】>在对应账号下点击角色图标“ ”>【添加角色】>勾选“腾讯云金融专区”>【查询】>勾选对应的权限模块>【确定】完成角色授权。

4.1.3. 角色权限查看

用户(1)登录堡垒机系统,查看系统管理过程如下; 操作过程:登陆账号1>点击【系统管理】>点击相关模块进行权限确认。