澳门威斯尼斯人手机版一款国人开源的堡垒机软

问题:客户想通过堡垒机登录服务器,应如何操作?

定义:  

2019年12月1日,对于很多企业的运维安全团队来说是一个重要的时间节点,国家级安全标准——《信息安全技术网络安全等级保护基本要求》2.0版本将正式实施。新的等保2.0标准更具行业针对性,涵盖内容也更加细致和丰富。围绕等保2.0的落地实施,各行各业可以场景化、规范化地构建企业IT的安全体系。

公告时间:2017-04-05 08:43:46

解决方法:

  堡垒机,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、记录、分析、处理的一种技术手段。

 澳门威斯尼斯人手机版 1

澳门威斯尼斯人手机版 2

项目名称:华中科技大学同济医学院附属协和医院网络安全设备及配件采购项目

如何通过堡垒机登录服务器,不少用户都存在这类问题。接下来笔者示范用行云管家堡垒机登录服务器。


嘉宾介绍

在游戏行业,对等保规定的遵从是业务运营的强制性要求。在等保2.0标准发布前,游戏行业就以等保1.0为标杆,规范IT系统的运维安全体系。在等保2.0的多层面合规要求中,主机资产管理是一项非常重要的工作。借助Jumpserver堡垒机,全球化IP游戏运营商中手游构建起符合等保新规的运维安全审计系统。挑战:IT资产广泛分布且持续变化

项目编号:GDC-20170330104768027

澳门威斯尼斯人手机版 3

 

Alex,多年运维 自动化开发经验,曾任职公安部、飞信、Nokia中国、中金公司、Advent软件、汽车之家等公司,目前任老男孩教育Python教学总监,热爱技术、电影、音乐、旅游、妹子!

作为知名的全球化IP游戏运营商,中手游以IP为核心,通过自主研发和代理发行,不断为全球玩家提供精品IP游戏,并围绕IP和CP展开积极的投资布局,打造围绕IP游戏的生态体系。据了解,在国内手游市场中,中手游按发行根据IP开发的游戏产生累计收益计排名第一,按发行根据IP开发的游戏总数计排名第一,在IP资源储备方面也排名第一。

中央国家机关政府采购中心受采购单位华中科技大学同济医学院附属协和医院委托, 对下列货物及服务进行网上电子政府采购,现邀请合格投标人进行网上竞价。

1、注册

简介:

主题简介

出于全球化服务交付等方面的考虑,中手游在IT建设上率先采用了多云架构。目前,中手游已经使用了多个公有云,包括阿里云、腾讯云、金山云、华为云、UCLOUD等。在不同的公有云之上,中手游均拥有大量的虚拟机、存储、数据库等云上资产。这些分布式、大规模的云资产需要进行统一化的安全管理与审计。

采购项目信息

打开官网,点击右上方“注册”或“登录”按钮,可以通过手机号或者邮箱注册完成。同时,其也支持QQ、微信、微博、Google等第三方账号登录。

  其从功能上讲,它综合了核心系统运维安全审计管控两大主干功能,从技术实现上讲,通过切断终端计算机对网络和服务器资源的直接访问,而采用协议代理的方式,接管了终端计算机对网络和服务器的访问。形象地说,终端计算机对目标的访问,均需要经过运维安全审计的翻译。打一个比方,运维安全审计扮演着看门者的工作,所有对网络设备和服务器的请求都要从这扇大门经过。因此运维安全审计能够拦截非法访问,和恶意攻击,对不合法命令进行命令阻断,过滤掉所有对目标设备的非法访问行为,并对内部人员误操作和非法操作进行审计监控,以便事后责任追踪。  

CrazyEye碉堡机诞生记及主要功能介绍,文末会有本软件的开源地址,谢谢关注!

另一方面,这些云上资产的数量还会伴随游戏业务的运营扩充或者缩减。当有火爆游戏上线时,云端资产数量快速上升,但是在游戏的相对淡季,中手游会根据市场情况回收资源,充分利用公有云服务的弹性伸缩优势。

采购单位:华中科技大学同济医学院附属协和医院      报价截止时间:2017-04-10 08:43:46

澳门威斯尼斯人手机版 4

  安全审计作为企业信息安全建设不可缺少的组成部分,逐渐受到用户的关注,是企业安全体系中的重要环节。同时,安全审计是事前预防、事中预警的有效风险控制手段,也是事后追溯的可靠证据来源。

正文

从实际的业务需求出发,中手游希望通过堡垒机统一纳管大规模且不断变化的云端资产,构建符合4A(认证Authentication 、授权Authorization、账号Accounting 和审计Auditing)规范的运维安全审计体系,从资产合规管理层面满足等保2.0标准的要求。实现:三大核心能力护航,遵从等保新规

联系人:吴老师                    送货地点:武汉市江汉区解放大道1277号协和医院

2、创建团队

 

假期姑娘们都不在身边,又不想到处去看人海,所以呆在家里开发了个堡垒机,现已开源,欢迎大家试用,在使用前,容我先跟大家介绍下堡垒机的重要性!

经过产品选型和实际测试,中手游最终选择了基于Jumpserver堡垒机构建面向大规模云端资产管理的运维安全审计系统。中手游认为,作为一款颇具创新力的堡垒机,Jumpserver堡垒机对多云环境的支持是他们最为看重的。与传统堡垒机相比,Jumpserver采用了分布式架构设计,能够更好地支持企业针对多云环境的资产管理与审计需求。同时,由于Jumpserver对并发和资产数量不设限制,在规模扩展时无需担心许可证限制问题。

联系电话:027-85726019    到货时间:合同签订后5个日历日到货

基于团队协同的工作模式,创建一个属于您的团队。首先为您的团队取一个名称,行云管家堡垒机后台会自动为您的团队生成独有的团队标识;然后您可以邀请团队成员加入。


到目前为止,很多公司对堡垒机依然不太感冒,其实是没有充分认识到堡垒机在IT管理中的重要作用,很多人觉得,堡垒机就是跳板机,其实这个认识是不全面的,跳板功能只是堡垒机所具备的功能属性中的其中一项而已,下面我就给大家介绍一下堡垒机的重要性,以帮助大家参考自己公司的业务是否需要部署堡垒机。

针对等保标准中对主机安全的具体要求,中手游基于Jumpserver堡垒机实现了身份鉴别、访问控制、安全审计三大核心能力:

联系邮件:项目预算:440000.0(注:此预算在采购人可支付的情况下可增加金额)

澳门威斯尼斯人手机版 5

 

堡垒机有以下两个至关重要的功能,权限管理和审计管理,以下我们分别论述之。

1. 身份鉴别:对登录用户进行身份标识和鉴别,身份标识具有唯一性。每位用户通过自己独立的堡垒机账号登录,正确鉴别用户身份,有效避免账号的混用和身份不清晰等安全隐患。同时,Jumpserver堡垒机还提供多因子认证功能,可通过手机应用的动态验证码进行二次认证,操作简便快捷。

剩余时间:4天22小时          签约时间:成交公告发布后3个工作日内签署合同

澳门威斯尼斯人手机版 6

原理:

权限管理

2. 访问控制:Jumpserver堡垒机提供了完善的权限管理体系,便于企业厘清人与资产、资产与权限、人与权限之前的多对多关系,并且让企业可以灵活地创建和分配这一套授权体系。以此为框架,中手游构建起人员、资产、权限三位一体的访问控制体系,很好地满足了等保规范的相关要求。管理员可以及时阻断某些高危操作,避免危险情况发生,有效提升系统安全性。

资质要求

3、导入云主机

  “堡垒机”实际上旁路在网络交换机节点上的硬件设备,实现运维人员远程访问维护服务器的跳板,即物理上并联,逻辑上串联。简单的说,就是服务器运维管理人员原先是直接通过远程访问技术进行服务器维护和操作,这期间不免有一些误操作或者越权操作,而“堡垒机”作为远程运维的跳板,使运维人员间接通过堡垒机进行对远程服务的的运维操作。如原来使用微软的远程桌面RDP进行windows服务器的远程运维,现在先访问到堡垒机,再由堡垒机访问远程windows服务器。这期间,运维人员的所有操作都被记录下来,可以以屏幕录像、字符操作日志等形式长久保存。在服务器发生故障时,就可以通过保存的记录查看到以前进行的任何操作。

当你公司的服务器变的越来越多后,需要操作这些服务器的人就肯定不只是一个运维人员,同时也可能包括多个开发人员,那么这么多的人操作业务系统,如果权限分配不当就会存在很大的安全风险,举几个场景例子:

3. 安全审计:Jumpserver堡垒机提供面向Windows、Linux系统的审计能力,可对每位用户的每次操作进行记录和留痕,所有通过堡垒机的操作都会进行录像。管理员可在事后对所有连接操作进行审计,有效杜绝了安全责任不清等问题。收益:多云资产统一纳管、云端存储与灵活扩展

售后服务网点:要求当地有售后服务网点      销售资质需求:无

选择云厂商或者云资源的类型,行云管家堡垒机支持多个主流云厂商的多个云资源管理,其中包括云主机、对象存储、CDN等。选择好云厂商或云资源之后,通过API凭证将您的云主机导入到行云管家堡垒机中进行管理。

  堡垒机的核心技术实际上就是微软的RDP协议,通过对RDP协议的解析,实现远程运维操作的图形审计。

1.设想你们公司有300台Linux服务器,A开发人员需要登录其中5台WEB服务器查看日志或进行问题追踪等事务,同时对另外10台hadoop服务器有root权限。

对于中手游来说,借助Jumpserver堡垒机领先的架构设计和可扩展能力,安全运维团队成功地克服了大规模、分布式资产纳管的难题,搭建起面向多云环境的运维安全审计体系。

售后上门服务要求:上门服务    年限:3年

澳门威斯尼斯人手机版 7

  以windows远程运维操作为例,客户端通过RDP协议访问“堡垒机”,再由堡垒机内置的远程访问客户端访问远程windows服务器,即RDP RDP。

在有300台服务器规模的网络中,按常理来讲你是已经使用了ldap权限统一认证的,你如何使这个开发人员只能以普通用户的身份登录5台web服务器。

在多云环境中,云中资产信息的自动获取是非常大的挑战。Jumpserver堡垒机软件订阅服务附含的X-Pack软件包提供了“多云资产纳管”功能,借助这一功能,中手游实现了对公有云资源的快速纳管,一键同步、定期同步公有云资产到Jumpserver堡垒机,无需手动录入和操作,管理体验大幅提升。

上门服务时限:接到报修后12小时电话技术支持服务    响应要求:7X24小时

以上,您已通过行云管家堡垒机登录到服务器。简单便捷,并且您可以直接使用行云管家堡垒机管理服务器。行云管家堡垒机具备以下功能:

  那么图形界面的操作是如何记录下来的呢?实际上堡垒机内部也是Windows操作系统(不一定,有时候是Windows Linux),客户端RDP到堡垒机后,又再一次启动了新的RDP,这时堡垒机的windows桌面就是远程访问到远程服务器时的桌面,只需要把这时的桌面情况记录下来就可以了。

并且同时允许他以管理员的身份登录另外10台hadoop服务器呢?并且同时他对其它剩下的200多台服务器没有访问权限。

对于采用多云架构的企业而言,不断地激发企业使用云原生服务的能力是一个重要目标。例如,堡垒机的操作录像存储,如果连接的是云上资产,录像却按传统堡垒机的方式回传到本地数据中心,无疑会浪费大量的网络带宽。Jumpserver堡垒机支持用户将录像信息直接存储在AWS S3、阿里云OSS、ElasticSearch等云存储服务之上,节省了大量带宽资源。

免费维保质保期:3年

澳门威斯尼斯人手机版 8

  由于微软的RDP协议内置了远程访问的屏幕信息,所以只需要正确的解析RDP协议的内容,并且把其中包含的视频信息抽取出来,再进行重组、压缩,就实现了图形操作的审计。

2.目前据我了解,很多公司的运维团队为了方便,整个运维团队的运维人员还是共享同一套root密码,这样内部信任机制虽然使大家的工作方便了,但同时存在着极大的安全隐患。

扩展性方面,Jumpserver堡垒机的不同子组件可以实现独立部署,并进行横向扩展。在遇到业务压力高峰时,用户可自行扩展子组件,快速应对访问压力。当压力高峰度过后,可以减少子组件的部署数量,在不影响使用体验的情况,轻松实现系统的弹性伸缩。

踏勘需求

1、堡垒机的资源授权

至于字符操作的审计,如FTP,实际上堡垒机内部内置了FTP客户端程序,也是客户端主机先RDP到堡垒机,再由堡垒机启动FTP客户端程序访问远程服务器,这样还是由堡垒机作为跳板,间接地把FTP命令传送到服务器,并把服务器的响应信息反馈给客户端主机,中间的操作过程全都被记录了下来。

很多情况下,一个运维人员只需要管理固定数量的服务器,毕竟公司分为不同的业务线,不同的运维人员管理的业务线也不同,但如果共享一套root密码,其实就等于无限放大了每个运维人员的权限。

企业安全体系的建设与运营是一项长期任务。在满足了等保新规要求之后,中手游还计划将堡垒机融合到内容运维发布体系中,借助Jumpserver堡垒机标准化的API接口,打通游戏开服、发布、运维、安全等不同环节,并且实现堡垒机与云管平台的联动,在持续提升系统安全性的同时,不断优化IT系统运营效率。

踏勘地点:无     踏勘时间:无

通过行云管家堡垒机,能够对用户、资源、功能进行精细化的授权管理,解决人员众多、权限交叉、资产繁多、各类权限复杂的运维难题。

  远程视频访问的协议还有VNC,但由于VNC是一对一的访问,即同一时间一个客户端主机只能访问一台远程服务器,而RDP协议允许多个客户端同时访问同一个远程服务器,所以一般市场上的堡垒机厂商都是通过解析RDP协议实现运维审计的。

也就是说,如果某个运维人员想干坏事的话,他可以在几分钟内把整个公司的业务停转,甚至数据都给删除掉。

联系人:无         联系电话:无

2、堡垒机的身份认证


为了降低风险,于是有人想到,把不同业务线的root密码改掉就ok了么,也就是每个业务线的运维人员只知道自己的密码,这当然是最简单有效的方式。

采购商品信息

行云管家堡垒机在执行主机重启、密码修改、会话创建、快照回滚、磁盘更换等各种重要操作时,会通过微信或短信进行双因子身份确认,确保访问者身份的合法性。

 

但问题是如果你同时用了ldap,这样做又比较麻烦,即使你设置了root不通过ldap认证,那新问题就是,每次有运维人员离职,他所在的业务线的密码都需要重新改一次。

澳门威斯尼斯人手机版 9

澳门威斯尼斯人手机版 10

核心功能:

其实上面的问题,我觉得可以很简单的通过堡垒机来实现,收回所有人员的直接登录服务器的权限,所有的登录动作都通过堡垒机授权。

  1. 设备性能指标: 产品具有2*USB接口,1*RJ45串口, 6*GE电口,1个接口扩展插槽(可额外扩展千兆电口或光口),系统自带内部存储,存储空间不低于1TB; 扫描效率至少800IP/h,至少512个可扫描IP或域名授权; 2. 功能要求: 产品要求界面友好,并有详尽的技术文档;所有的图形界面要求具备中文、英文双语; 产品应保证其数据安全性,系统配置文件和扫描结果文件保存在本地,加密保存,只有授权用户才可使用。数据传输过程经过加密; 提供备份恢复机制,能够对扫描结果、日志、扫描模板、参数集等配置文件进行导出和导入操作;能够对系统创建还原点对系统进行备份和还原; 能够扫描VMWareESX/ESXi/citrix虚拟机管理系统的安全漏洞,要求能够扫描大于200条相关漏洞; 厂商漏洞知识库大于25000条可提供查询地址;产品内置漏洞知识库漏洞信息大于10000条,具备详细的漏洞描述和对应的解决方案描述;漏洞知识库与CVE、CNCVE、CNNVD、CNVD标准同时兼容; 产品提供系统安全配置核查功能,在同一任务中同时对目标系统进行漏洞扫描和安全配置核查,能够对主流操作系统、数据库、网络设备、安全设备、中间件的安全配置项目进行检查,能够综合系统安全漏洞和配置隐患检查结果分析系统安全风险; 支持与堡垒机联动,对配置评估工作,能够直接调用堡垒机的账号登录目标设备进行配置核查,避免人工参与中间过程简化操作,并避免二次泄密问题;
  2. 管理要求: 提供高级数据分析,能够进行历史数据查询、汇总查看,方便进行多个扫描任务或多个IP风险对比,能够在多个历史任务中,很快的检索到需要关注的资产IP点; 漏洞分析报告应提供在线浏览报告和离线打印报告;离线报表提供针对不同角色的默认模板,允许用户定制报告的内容、报告的格式等; 离线报告可以输出到HTML、WORD、EXCEL(XML)等文件,报告可以直接下载或通过邮件直接发送给相应管理人员,并且输出报表美观可直接打印; 提供和微软WSUS补丁系统的联动,能够在发给主机管理员的邮件中附带自动配置WSUS的注册表文件,方便进行自动化的补丁修补; 4. 中标后,须在五个工作日内供货,采购人将对中标设备进行性能测试和功能验证,与投标承诺不符将做为无效投标处理,由此引发的所有损失由该投标人承担。应标者不得虚构夸大产品功能,无售后服务承诺做无效投标处理。

3、堡垒机的账号管理

单点登录功能

  支持对X11、linux、unix、数据库、网络设备、安全设备等一系列授权账号进行密码的自动化周期更改,简化密码管理,让使用者无需记忆众多系统密码,即可实现自动登录目标设备,便捷安全。

运维人员或开发人员不知道远程服务器的密码,这些远程机器的用户信息都绑定在了堡垒机上,堡垒机用户只能看到他能用什么权限访问哪些远程服务器。

澳门威斯尼斯人手机版 11

无论您使用云主机还是局域网主机,均可同步导入行云管家堡垒机进行账号集中管理与密码批量修改,并可自主创建与一键批量下发SSH密钥对。

账号管理

  设备支持统一账户管理策略,能够实现对所有服务器、网络设备、安全设备等账号进行集中管理,完成对账号整个生命周期的监控,并且可以对设备进行特殊角色设置如:审计巡检员、运维操作员、设备管理员等自定义设置,以满足审计需求

在回收了运维或开发人员直接登录远程服务器的权限后,其实就等于你们公司生产系统的所有认证过程都通过堡垒机来完成了,堡垒机等于成了你们生产系统的SSO(single sign on)模块了。你只需要在堡垒机上添加几条规则就能实现以下权限控制了:

1. 性能要求:1U机架式(软硬件一体化设备);可管理设备数≥300个;网络接口≥4个千兆自适应电口;硬盘容量内置存储≥1TB;并发操作性能字符操作并发数≥400个;图形操作并发数≥100个;支持双机热备,支持系统配置以及审计日志可自动和手动同步;支持集群部署,系统策略支持统一下发,后期升级扩容方式支持单节点扩容,无需进行软硬件的二次升级即可完成; 2. 支持协议类型:Telnet、SSH、RDP、VNC、X11、FTP、SFTP、PLSQL、TOAD、SQLPLUS、SQLDEVELOPER、DBACCESS、MYSQLFRONT、HIDESQL、SQLserver(2000-2012)、SCVIEW4、DB2CMD、DB2QUEST、DSR、DSVIEW、RARITAN、RARITAN_CC等、AS400、REALVNC、PGADMIN、PCANYWHERE、RADMIN、DameWare、CiscoASDM、VMware vSphere Client、HTTP、HTTPS; 3. 单点登录应用发布:要求上述所有协议类型均可实现单点登录,图形化应用无需安装任何客户端和控件即可实现单点登录,即通过堡垒机实现图形化应用发布功能; 4. 无缝应用发布功能:以上所有图形应用的展现形式应无需嵌套RDP边框,应用窗口大小可自定义且窗口拖拽应自然流畅,无重影无卡顿现象,图形应用的运行界面和本地直接运行时效果一致; 5. 系统安全性:系统支持IP/账号自动禁止功能,即对连续登陆账号密码错误的来源IP自动屏蔽,可通过管理员解除屏蔽;用户1分钟内连续输错账号密码,即自动锁定该账号;

澳门威斯尼斯人手机版 12

身份认证

  设备提供统一的认证接口,对用户进行认证,支持身份认证模式包括 动态口令、静态密码、硬件key 、生物特征等多种认证方式,设备具有灵活的定制接口,可以与其他第三方认证服务器之间结合;安全的认证模式,有效提高了认证的安全性和可靠性。

允许A开发人员通过普通用户登录5台web服务器,通过root权限登录10台hadoop服务器,但对其余的服务器无任务访问权限。

  1. 运维管理: 1) 支持C/S与B/S运维方式; 2) 支持字符类putty、SecureCRT等工具的各类属性:终端属性、字符编码、窗口大小随意调整等等;图形类mstsc工具的原有属性:自定义开启/关闭磁盘映射、剪切板等,支持窗口大小随意调整、声音传输等等; 3) 管理员可查询某个用户可运维的资产信息;或某个资产与运维人员的归属关系,可以指定资源名/资产IP/账号名查看资产属于哪些系统用户管理。授权关系可导出(可以导出用户和设备授权关系进行查看,导出展现形式excel); 4) 运维人员可以在系统Web界面填写授权审批流程单,填写内容至少应包括:设备资源、系统账号、协议类型、时间窗口;审批通过后,运维人员可立即取得相应访问权限; 5) 为管理员和运维人员提供操作向导模式,方便用户进行设备管理和使用; 支持中英文切换WEB管理 7. 用户账号管理:系统角色需按法案要求进行划分,至少有系统管理员、密码管理员、配置管理员、审计管理员、普通用户等多种角色;系统提供身份认证,自然人(员工帐户)登录系统时支持静态口令、Radius认证、LDAP、AD域、数字动态令牌、数字认证和指纹认证、Google手机动态令牌认证。支持多因子认证自定义组合,可为不同用户组分配不同的认证策略,支持单因素,双因素和多因素的认证策略;系统内置PKI认证功能,用户只需配置USB-KEY即可实现登陆认证,实现双因素认证(USB-KEY PIN码);系统内置动态令牌认证,用户不需要额外部署认证服务器,通过配置动态令牌实现双因素认证;同时可支持Google手机动态令牌认证; 8. 批量管理:支持以excel格式批量导入和导出用户帐号;支持从AD服务器批量导入用户帐号;支持批量导入导出运维用户、目标设备、账号密码等,支持目标设备账号批量新增; 9. 脚本自动化:可为linux/Unix/网络设备制定自定义执行脚本并定时自动执行,实现自动化运维;
  2. 密函打印:支持将目标设备资产的账号密码进行密函打印导出; 11. 设备账号自动改密:支持linux、unix、网络设备、windows2000/2003/2008的自动改密功能;无需通过插件、引擎或特殊端口对目标设备进行自动改密,在系统完成密码修改之后,自动进行新密码登录测试,以便进一步校验密码修改结果; 12. 分权管理:支持系统管理员按部门进行分权管理,各部门系统管理员只能管理和授权本部门管辖内的设备资源;支持审计管理员分权审计,只能审计被授权的运维人员或设备; 13. 访问控制功能:系统提供访问控制功能,支持对系统的用户登录进行可配置的策略设置,根据策略因子:用户或用户组、日期、每月、每周、时间、源地址、目标地址、目标端口、目标账号、动作(接受、拒绝)来定制访问策略对用户或用户组行为进行控制。提供禁审功能,可对部分设定的控制策略的会话不审计录像,防止机密信息二次泄露; 14. 命令控制功能:系统可以对字符操作的命令进行控制,通过制定命令黑白名单实现对命令的有效管理,可以对命令集合进行告警或者自动阻断,支持正则表达式匹配; 15. 系统应具备审计到详细的SQL语句的功能,而非键盘符指令,包含SQL语句执行时间; 16. 系统应具备对图形运维中的标题名进行智能提取,并可以从任意一个标题名开始回放; 17. 系统应具备审计到FTP/SFTP传输的原始文件,并可以在审计系统上进行备份并下载查看其具体内容。对大于一定大小的FTP/SFTP运维审计中的文件可进行异地转储,支持人工开关自由选择是否备份原文件; 18. 支持RDP会话针对操作行为告警(针对标题栏进行告警),可进行告警内容设置; 19. 支持数据库应用针对操作命令进行告警,可进行告警内容设置(告警内容支持动作,表名等); 20. 存储告警:日志存储超过设置的阀值进行邮件告警,支持定期删除计划,只保留设置时间段的日志; 21. 支持通过FTP/SFTP进行系统配置备份和还原,支持FTP/SFTP和本地方式进行审计日志的备份,系统配置和审计日志均可可自定义备份计划; 22. 导出日志可以使用离线播放器进行日志查看和日志检索,包括命令、录像、标题栏内容等; 23. 系统应具备在对系统制定报表任务时,可以配置时间周期,支持以图(柱、饼等),统计、明细数据的方式表现; 24. 中标后,须在五个工作日内供货,采购人将对中标设备进行性能测试和功能验证,与投标承诺不符将做为无效投标处理,由此引发的所有损失由该投标人承担。应标者不得虚构夸大产品功能,无售后服务承诺做无效投标处理。

4、堡垒机的指令审计

资源授权

  设备提供基于用户、目标设备、时间、协议类型IP、行为等要素实现细粒度的操作授权,最大限度保护用户资源的安全

多个运维人员可以共享一个root账户,但是依然能分辨出分别是谁在哪些服务器上操作了哪些命令,因为堡垒机账户是每个人独有的。

行云管家堡垒机是业界首家支持Windows2012/2016指令审计的堡垒机,提供体系化的指令审计规则,尤其针对敏感指令可以进行阻断响应或触发审核操作,审核不通过的敏感指令将会被拦截,以实现安全监管的目的,保障运维操作的合规、安全、可控。

访问控制

  设备支持对不同用户进行不同策略的制定,细粒度的访问控制能够最大限度的保护用户资源的安全,严防非法、越权访问事件的发生。

也就是说虽然所有运维人员共享了一同一个远程root账户,但由于他们用的堡垒账户都是自己独有的,因此依然可以通过堡垒机控制每个运维人员访问不同的机器。

澳门威斯尼斯人手机版 13

操作审计

  设备能够对字符串、图形、文件传输、数据库等全程操作行为审计;通过设备录像方式实时监控运维人员对操作系统、安全设备、网络设备、数据库等进行的各种操作,对违规行为进行事中控制。对终端指令信息能够进行精确搜索,进行录像精确定位。

  



登录堡垒机

  这里使用Citrix连接堡垒机

1、登录

 

澳门威斯尼斯人手机版 14

 

 

 

2、选择SecureCRT

澳门威斯尼斯人手机版 15

 

 

 

3、选择连接的堡垒机

澳门威斯尼斯人手机版 16

 

 

4、输入该堡垒机账号密码

澳门威斯尼斯人手机版 17

 

5、登录成功

澳门威斯尼斯人手机版 18

 

 

  致谢:感谢您的耐心阅读!

创建主机

5、堡垒机的录像审计

澳门威斯尼斯人手机版 19

行云管家堡垒机是业界首款全面支持录像/指令双重审计的堡垒机,提供录像/指令双重审计,录像支持下载。对运维事故进行回溯追责时,不仅可以通过高清录像回溯,更可以直接进行指令检索,无需逐帧查看录像,准确高效。

创建远程用户

澳门威斯尼斯人手机版 20

澳门威斯尼斯人手机版 21

创建主机与远程用户绑定关系

澳门威斯尼斯人手机版 22

创建CrazyEye账户

澳门威斯尼斯人手机版 23

配置WebSSH

澳门威斯尼斯人手机版 24

CrazyEye首页

澳门威斯尼斯人手机版 25

澳门威斯尼斯人手机版一款国人开源的堡垒机软件,小白接触堡垒机。批量命令

澳门威斯尼斯人手机版 26

批量文件分发

澳门威斯尼斯人手机版 27

配置页

澳门威斯尼斯人手机版 28

审计管理

审计管理其实很简单,就是把用户的所有操作都纪录下来,以备日后的审计或者事故后的追责。在纪录用户操作的过程中有一个问题要注意,就是这个纪录对于操作用户来讲是不可见的,什么意思?

就是指,无论用户愿不愿意,他的操作都会被纪录下来,并且,他自己如果不想操作被纪录下来,或想删除已纪录的内容,这些都是他做不到的,这就要求操作日志对用户来讲是不可见和不可访问的,通过堡垒机就可以很好的实现。

审计By用户

澳门威斯尼斯人手机版 29

审计By主机

澳门威斯尼斯人手机版 30

审计—命令操作详细

澳门威斯尼斯人手机版 31

开源

CrazyEye 和其他开源产品的区别在于,是一款堡垒机 主机管理的软件。支持Linux主机操作审计,目前不支持Windows(已列入支持计划),并支持对主机进行批量命令、文件分发操作,后期还会加入计划任务管理,敬请期待。

软件git地址:

https://github.com/triaquae/CrazyEye.git 

如何一起愉快地发展

“高效运维”公众号(如下二维码)值得您的关注,作为高效运维系列微信群的唯一官方公众号,每周发表多篇干货满满的原创好文:来自于系列群的讨论精华、运维讲坛线上精彩分享及群友原创。“高效运维”也是互联网专栏《高效运维最佳实践》及运维2.0官方公众号。

澳门威斯尼斯人手机版 32

澳门威斯尼斯人手机版一款国人开源的堡垒机软件,小白接触堡垒机。提示:目前高效运维新群已经建立,欢迎加入。您可添加萧田国个人微信号xiaotianguo8 为好友,进行申请,请备注“申请入群”。

重要提示:除非事先获得授权,请在本公众号发布2天后,才能转载本文。尊重知识,请必须全文转载,并包括本行。

【编辑推荐】

本文由澳门威斯尼斯人手机版发布于科技新闻,转载请注明出处:澳门威斯尼斯人手机版一款国人开源的堡垒机软

TAG标签:
Ctrl+D 将本页面保存为书签,全面了解最新资讯,方便快捷。