麒麟堡垒机使用手册.docx
- 文档编号:6365230
- 上传时间:2023-01-05
- 格式:DOCX
- 页数:52
- 大小:3.82MB
麒麟堡垒机使用手册.docx
《麒麟堡垒机使用手册.docx》由会员分享,可在线阅读,更多相关《麒麟堡垒机使用手册.docx(52页珍藏版)》请在冰豆网上搜索。
麒麟堡垒机使用手册
麒麟堡垒机使用手册
V1.6
一.堡垒机安装:
安装方式分为安装包安装方式和ISO安装方式,安装包方式为先安装一个Centos7.x系统,然后下载安装包进行安装,安装过程需要有可连接的yum源,ISO方式为下载ISO,硬件服务器只支持STAT硬盘,将ISO记录成光盘(注意不支持U盘)后,进行一键安装,或将ISO文件挂在虚机上进行一键安装
二者不同点为,安装包方式必须先安装一个Centos7.x系统,ISO安装方式将操作系统和软件进行一体安装,并且将会格式化安装目标机硬盘。
1.1安装包安装
系统需求:
内存>=2G、CPU>=1核、硬盘>=10G(如果系统内存小于2G,必须具有swap1G以上才能正常运行)
系统安装:
最小化安装Centos7.x或使用云模版最小化Centos7.X
安装包安装:
下载安装包链接:
将centos7.tar.gz上传到系统/tmp/目录
cd/tmp/
tarxpvf centos7.tar.gz
依次运行以下三个命令进行安装:
bashyum.sh(必须有yum源并且保证yum已经可以成功安装包)
bashinstall.sh
init6
运行命令后系统重启,重启后即可使用。
系统重启后,后台登录默认口令不变,但ssh修改为2288口
1.2ISO安装方式
硬件需求:
内存>=1G、CPU>=1核、硬盘>=10G(硬盘必须为STAT模式,另外支持虚机vda模式)
ISO下载:
ISO下载后,如果使用虚机方式,可以直接将ISO文件挂为光驱进行安装,如果是硬件服务器,则必须刻录为光盘才能安装,目前不支持U盘安装.
另外如果使用ISO在VMWARE或思杰等虚机上进行安装,创建虚机时,必须选择系统类型为64位Centos,否则安装后无法驱动网卡。
系统使用光盘启动后,打开安装界面,直接进行回车即可完成安装。
注:
默认在installblj选项,如果非2T以上的STAT硬盘都要用这个模式,如果硬盘大于2T,请用GPT模式,如果在KVM类型虚机中使用vda硬盘,请使用installvda模式
系统安装完成后会自动重启,后台登录方式为ssh2288口,用户名root,密码blj2015BLJ,登录后请修改root密码。
1.2网络端口需求
PC需要可以访问到堡垒机的TCP22、443、1080、3389、3390端口
堡垒机需要能连接到被管理服务器的ssh、rdp等端口
PC不需要能访问到被管理的服务器
二.堡垒机管理员操作:
系统安装完成后,注意以下几个事项:
1.ISO安装方式默认为eth0ip为192.168.1.100/24
2.安装包方式IP地址不变,为安装前系统IP
3.ISO和安装包模式后台SSH登录端口修改为2288,22口为堡垒机ssh代理口
4.ISO安装方式后台登录用户名为root,密码为blj2015BLJ
可使用https:
//ip进行登录,默认管理员用户名和密码为admin/12345678。
系统设置主要包括三个步骤,为每个运维人员创建一个web用户、把需要管理的设备及设备用户(比如root/administrtor类此)录入或导入堡垒机、绑定权限,指定哪一个web登录用户能登录哪一台设备的哪个用户。
系统登录界面如下:
2.1添加WEB用户
2.1.1添加Web用户组
在创建用户前,最好先添加用户组,用户组可以让管理和权限划分更明细化,用户组管理在菜单资源管理-Web用户-用户管理界面,用户组可以分为多层,点击添加新节点即可创建新的用户组,用户组一般按企业部门进行划分。
2.1.2依次创建Web用户
Web用户指堡垒机用户,堡垒机上线后,用户的所有操作必须通过登录堡垒机才能跳转到被管理的服务器,因此,必须先为每个人建立一个Web帐号登录堡垒机。
在资产管理-Web用户-用户管理点添加按钮
只需要添写用户名、真实姓名、密码、确认密码、运维组五项,其中密码至少8位,运维组随便从下拉中选择一个默认的就可以,然后点击最下方确认按钮即可创建新用户。
2.1.3批量创建堡垒机WEB用户
如果用户非常多,可以使用导入方式批量创建,即先手工建立一个web用户,然后点击下方的导出按钮,系统会导出一个CSV格式文件,以这个文件为模版,只需要按audit-member.csv的格式A-F增加新行(电子邮箱选填),然后点导入按钮进行导入即可。
注意,导出的文件中第二列密码为加密密文,同一个CSV文件中,要么全是密码全是密文,要么全是明文,不能有的行为密文有的行为明文进行导入。
2.2添加设备及设备用户
2.2.1添加设备组
在创建设备前,最好先创建设备组,设备组在资源管理-设备管理-设备组管理菜单中,点击添加新节点按钮即可添加,设备组也是可以分为多级的
2.2.2单个添加设备及设备帐号
麒麟堡垒机的授权基于设备用户,因此,注意加了设备后必须要至少给设备增加一个用户,不然无法授权,运维人员登录后无法看到没有加设备用户的设备。
添加设备菜单在资源管理-设备管理-设备管理菜单,点击添加
只需要添加主机名、系统类型(下拉选windows)、ipv4地址,设备组(下拉中随便选择一个默认组)四项,然后拉到最下方点击确认按钮。
添加设备后,会自动返回设备菜单,这时,设备列表最右方有一个用户按钮,必须要点击这台设备的用户按钮,给这个设备增加设备用户
点击添加按钮
设备用户分为托管用户名/密码或空用户二种方式。
其中托管用户名/密码,是指把设备的用户名和密码录入到堡垒机上,比如root/password,托管密码方式运维人员通过堡垒机登录设备时,堡垒机会自动帮用户输入设备用户名和密码登录,不需要用户再次输入。
空用户方式用户通过堡垒机登录设备时,需要自己二次输入设备的用户名和密码。
具体使用哪一种方式参照公司管理需要,一般如果用户名和密码不需要让运维人员知道,可以使用托管方式,如果用户名和密码需要运维人员自行管理,则使用空用户方式。
如下图,完成用户名(如果使用空用重启了方式,不需要输入用户名和密码,只需要勾上空用户即可)、原始密码、确认密码、登录方式(协议windows选择rdp,linux选择ssh),端口(windows输入rdp端口,linux输入ssh端口),后,拉到最下方点保存按钮。
2.2.3批量添加设备及设备帐号
如果设备用户量很大,可以使用ExcelCSV文件导入方式进行创建,导入前注意一定要先建好设备组,导入过程中如果服务器组列不存在会导入不成功
导入方法为先在堡垒机上建立一台设备并且给这个用户添加一个帐号,然后点击下载按钮,会下载一个csv格式文件,使用audit-device.csv表为模版进行批量添加,只需要按模版中例子填入A-H列,其它列进行复制即可
录入完成后,另存为CSV格式并且在资源管理-资产管理-设备管理中点击导入按钮进行批量创建。
另外导出时密码为密文,导入时请修改为明文进行导入。
2.3授权管理
授权分为批量授权和单个设备授权二个模式,临时授权建议使用单个授权模式,日常管理建议使用批量授权模式
2.3.1单个设备授权
单个设备授权可以把单个设备帐号授权给运维人员的Web用户,让运维人员登录,单个授权只用于临时授权时,比如我暂时将一个设备授权给一个用户,使用一段时间后会取消,因为这种授权模式为点到点模式,如果用户和设备多的时候,授权条目会非常多,最终造成权限混乱
单个设备授权在
资源管理-设备管理-设备管理菜单,找到想要授权的设备点击后面的用户按钮
然后会列出这台设备上的所有用户,找到想要授权的用户,点击这个用户后面的编辑按钮
打开这个设备的编辑界面后,拉到最下方,会列出所有的堡垒机Web用户和web用户组,勾上想要授权的用户或用户组,点击保存修改即可实现单个设备用户授权
2.3.2批量授权
批量授权可以一次性把多个设备组或多个设备用户加到一个授权组里,然后把这个授权组授权给用户或用户组,被授权的用户即有授权组里所有的设备的权限,当将设备组加到授权组时,设备组中所有的设备用户都会被授权登录的权限
批量授权的步骤为先创建一个授权组,然后在将设备组或设备用户加到授权组中,然后在下方勾选想要授权的web用户组或web用户。
批量授权在资源管理-权限管理-设备批量授权菜单,点击添加新组,即可新建一个授权组
批量授权可以以设备组的方式也可以以设备用户的方式进行,设备组方式,点击组操作可以列出所有的设备组,把想要授权的设备组勾上,并且点击保存按钮,即可将设备组加到右侧文本框
如果不想使用设备组,也可以批量选择左侧的设备用户组,批量加入到右侧文本框进行授权
将设备组和设备用户加到右侧后,可以勾上下方的堡垒机WEB用户组或WEB用户,点确定后堡垒机会自动合并右侧文本中的设备用户和设备组,比如选的某个设备用户在设备组里,会自动删除合并
点保存后,下方勾选的用户或用户组中所有的用户会拥有右侧设备组、设备用户的登录权限。
三.运维人员使用:
麒麟堡垒机支持web界面点击登录方式,和工具直接登录方式二种模式,WEB登录点击为先使用浏览器访问堡垒机IP,然后用web用户名和密码登录,登录后会列出所有的可登录设备,点击设备后面的工具即可登录到目标设备,工具登录方式不需要使用浏览器,直接在Securecrt、xshell、mstsc等任何运维工具中,输入堡垒机的IP,使用web用户名和密码,可直接登录到堡垒机,堡垒机会显示出用户可登录的设备,用户选择设备后即可登录到目标设备。
3.1工具登录方式
SSH使用CRT或XSHELL、PUTTY等任何一种工具,在目标IP中输入堡垒机IP,用户名为堡垒机Web用户名,密码为登录堡垒机Web密码,默认ssh/telnet端口为22,注意ssh/ssh1/telnet协议都要选择ssh2协议,RDP端口为3389如下图:
登录后,堡垒机会返回所有的可登录设备
其中第一列为序号,在输入栏可以输入1-10序号登录想要登录的主机,同时在输入栏可以输入IP或主机名的一步分进行索引,比如:
如果输入192回车,则会索引出IP和主机名中包含字符192的所有设备,并且显示出来让用户选择
最终运维人员选择一个设备后,输入这个设备头一列的ID号,回车即可登录到目标设备
3.2WEB登录方式
3.2.1Windows客户端插件安装
麒麟堡垒机支持html5ssh/rdp,也支持工具登录,如果使用工具登录,本地PC必须有securecrt、putty、xshell中的任何一种,使用https:
//堡垒机ip登录堡垒机,输入管理员建立的帐号(这里是test/12345678),登录进去后,首次必须修改密码,新密码至少8位
到其它-工具下载菜单,找到堡垒机插件-windows-2018-5-2.zip,下载到本地解压,,安装完成后再打开即可
安装整个过程全部选择默认的下一步与是即可
安装后判断插件是否已经安装成功可以打开任何浏览器,在浏览器的url输入栏中输入如下链接:
baoleiji:
//"&action=a&"
如果出现以下报警即表示安装成功
如果出现上面的无法识别命令,可以继续下一步,如果没有出现,按下面的url中的内容进行插件故障排除
3.2.2运维人员操作
用test登录堡垒机,点击设备管理-设备组菜单,即可以看到授权给自己的的windows和linux用户。
右侧工具栏第一列的IE图标为HTML5连接方式,如果使用HTML5工具不需要安装插件或在本地安装SECURECRT等工具。
如果想使用工具登录,点击右侧的运维工具即可以登录,例如,注意如果登录linux,必须要先在PC上安装点击的工具,并且保证工具能正常使用
比如点击的Linux的crt工具,头一次使用,会弹出一个对话框问securecrt的路径,这时点浏览,在对话框中找到securecrt的路径并且点击确认即可,如果想用xshell或putty,也要同样指定路径(注意,不支持seurecrtpotal.exe,选中文件必须是securecrt.exe)
即可登录到目标机并且执行命令,windows点后面的mstsc,即可连接到win进程操作
四.审计员操作:
运维人员操作后,需要对运维人员的操作进行审计,可以使用admin用户直接进行审计,也可以使用专门的审计管理员audit进行审计,下面以admin为例说明如何审计运维人员操作:
审计录相回放支持离线在线二种方式,telnet/ssh在线回放直接使用PUTTY/SecureCRT,离线回放需要到其它-工具下载中下载sshreply.zip(绿色软件),RDP在线、离线回放都要到其它-工具下载中下载rdpreplay.zip解压后使用
工具使用时,和运维工具一样,都要告诉插件路径的位置
另外需要注意的是,RDP录相支持.tmp和.rxs二种,.tmp未非压缩模式,.rxs为压缩模式,默认录相都是.tmp的,如果离线播放.tmp文件,需要选择一下文件类型,不然无法看到录相文件
四.增强功能:
4.1SSLVPN
4.1.1SSLVPN说明:
麒麟堡垒机内置SSLVPN为OPENVPNrebuild软件,如果需要将堡垒机映射到公网时,如果不使用VPN也需要把ssh/rdp/https映射到公网,这样不符合安全管理规范,因此堡垒机内置SSLVPN系统,需要堡垒机映射到公网时,只需要将VPN端口(默认TCP8443)映射到公网,用户需要从公网访问堡垒机时,先使用VPN客户端连接到堡垒机然后再使用堡垒机运维即可,这样只映射一个堡垒机端口到外网即可,同时用户登录帐号与堡垒机WEB帐号和密码为一个。
。
4.1.2.SSLVPN管理员设置部分:
1..为用户打开VPN功能,在资源管理-WEB用户-Web用户管理菜单,编辑或新建用户时,在权限信息下面的,不允许使用VPN复选为未勾中状态,即表示这个用户可以使用VPN
2.将堡垒机内网IP发布到VPN路由,在菜单VPN-VPN路由中,点击增加,并且将堡垒机内网IP加入,这样用户拨VPN后,直接访问堡垒机内网IP即可
注意:
VPN如果进行修改后,需要到系统管理-服务管理中重启VPN服务
4.1.3.Windows终端运维人员使用:
1.在其它-工具下载菜单下载VPN.ZIP包,-32为32位版本,-64为64位版本解压选择相应的位数以管理员权限安装
2.系统安装后将在菜单中产生一个VPN的菜单,点击可以启动VPN,VPN启动后会在右下角有一个VPN的图标
蓝色表示已经连接成功
灰色表示未连接
黄色表示正在连接
用鼠标右击按钮,会出现设置菜单,设置菜单中登录连接是用于输入用户名和密码登录VPN的,系统配置是用于设置VPN服务器IP的,查看日志,当有问题连不上的时候,点这个菜单可以查看VPN的LOG
点系统配置按钮,弹出VPN配置的界面,在服务器1中添入堡垒机外网口IP,如果做负载均衡时,可填入服务器2、服务器3等IP地址,然后点击确认即可
3.VPN连接,右键点右下角VPN图标,点击登录连接按钮,弹出VPN登录的菜单,输入堡垒机用户名和密码,即可以连接到VPN系统
4.如果连接不上时,请点击查看日志菜单,将弹出的notepad中的内容发送给麒麟堡垒机厂商进行故障排除
4.2动态口令
4.2.1动态口令说明:
麒麟堡垒机内置动态口令,用户可以使用手机APP/微信小程序/及软件生成动态口令,用户登录时除了输入静态密码外还需要使用生成的动态密码才能登录,可增强密码安全性。
4.2.2动态口令设置管理员部分
1.令牌绑定可以在资源管理-用户管理菜单,编辑主帐号,在动态口令卡选项进行输入,显示为红色表示这个令牌已经绑定给了其它用户(一个令牌可以绑定给多个用户)
4.2.3动态口令设置运维用户部分:
手机令牌/微信小程序使用:
1.绑定令牌后,首次登录不需要输入动态口令,只需要静态口令即可以登录
2.使用微信小程序“动态令牌”扫描二维码(推荐使用微信小程序),或点击IOS扫描下载/安卓扫描下载安装APP,然后扫描中间的二维码,即可生成动态口令
3.如果使用IOSAPP系统必须到通用管理菜单中设置来源信任,否则无法打开APP,安卓版可以直接使用,打开APP/小程序后,点击上方的扫描按钮,扫描上图中的动态口令种子二维码,即可以与堡垒机的密钥同步
4.在输入动态密码的TEXT中输入手机令牌中显示的6位密码,输入正确后,系统后提示操作成功,以后登录前台及使用透明登录,都密码使用静态密码与动态密码结合的方式
4.2.4.WEB登录后工具模式免动态口令
开启动态口令后,用户使用透明模式和菜单模式会觉得很麻烦(每次都需要输入动态口令),麒麟堡垒机支持WebPortal功能,用户开启webportal功能后,只需要使用动态口令登录一次堡垒机的WEB,在使用透明模式或菜单模式直接登录堡垒机时,在允许的时间内可以只使用静态口令
4.3应用发布
4.3.1应用发布说明:
堡垒机如果需要使用http/https/db及其它的c/s系统审计,需要使用应用发布系统,应用发布系统需要单独安装一台windows2008或2012,在系统上安装麒麟应用发布系统,然后使用堡垒机对应用进行发布后使用。
应用发布可以审计一些使用https访问的安全设备、数据库、C/S系统的操作及权限。
4.3.2应用发布安装步骤:
应用发布安装步骤主要分为八步
1.安装一台纯净的windows2008R2或2012系统
2.在windows上安装依赖包.net4.0(压缩包里有)
3.在windows上安装应用发布程序(程序包中的Freesvr.exe)
4.在windows上安装授权程序SecloudApp_Server_1.0
5.在windows上安装需要发布的应用(比如chrome、plsql、navicat等)
6.登录堡垒机页面进行配置
一.安装一台纯净的windows2008r2
应用发布系统需要安装一些依赖包并且会创建很多帐号,因此不建议应用发布与其它业务主机混合使用同一台主机,建议单独安装一台纯净的windows2008r2系统
二.在2008R2上安装依赖包.net4.0(程序包依赖包目录有)
将应用发布程序包上传并解压,首先需要安装依赖包(有的系统镜像自带.net4.0,如果安装过程中提示已经有更高版本,可以不在安装)
程序依赖包如下:
三.在2008R2上安装应用发布程序(程序包中的Freesvr.exe)
双击应用发布目录中的Freesvr.exe程序,只需要点击下一步,下一步,并且在设置堡垒机IP对话框出现时,填入正确的堡垒机IP即可。
四.在2008R2上安装压缩包中的SecloudApp_Server_1.0,只需要下一步下一步即可,安装后重启程序
五.在2008r2上安装需要发布的应用(比如chrome、plsql、navicat等)
在发布应用前,必须在2008R上上正确安装应用程序并且可以保证正常使用,比如如果用户要使用firefox,则必须先在应用发布上安装firefox,注意安装程序的时候,需要选择所有用户可运行,不可选择只允许本用户运行
六.登录堡垒机页面进行配置
使用admin登录堡垒机前台在应用管理-应用程序菜单,把安装的应用程序进行录入,注意程序地址必须与应用发布上安装的实际地址一对待,自动登录数字,请见附件一中程序表格,如果您的程序不在附件一中,则自动登录写0,图标可以在应用图标中上传。
使用admin用户登录堡垒机前台,在资源管理-资产管理菜单,把应用发布的主机加到设备列表中,并且增加一个登录类型为应用发布的用户(用户名为空用户):
到菜单应用发布-应用发布中,点添加按钮,在服务器名称中输入一个可记录的字符串,在应用发布IP中可以下拉出上一步的服务器,点保存修改按钮(注意,如果上一步没做,这一步下拉不出来应用发布服务器的IP)
先点击同步帐号按钮,帐号即可以同步到应用发布的服务器上,如果弹出帐号同步成功则做下一步
在点击应用发布按钮,可以添加的新的应用到这台服务器(注,非默认的应用,需要到应用程序中添加,添加后才能在应用发布中下拉找到)
应用添加好后,即可进行授权,简单的授权可以直接在应用下面的用户中勾选
4.3.2应用发布运维人员使用
运维人员被授予应用发布使用权限后,使用堡垒机web用户和密码登录到堡垒机,点击应用发布菜单,找到想要使用的应用点击应用前方的HTML5图标或MSTSC图标即可使用
4.4麒麟堡垒机公私钥透传设置
麒麟堡垒机支持公私钥透传功能,当linux服务器使用公私钥认证时,可以将私钥存在运维终端上(不需要上传到堡垒机),可以保证安全性
公私钥透传方式如下:
1.管理员设置:
admin用户,在资源管理-设备管理,找到需要透传的设备用户,将ssh认证方式修改为私钥透传,点击确认按钮(也可以在批量帐号修改中,批量修改所有或部分帐号为公私钥透传)
2.终端PC操作操作:
需要打开登录工具的sshagentforwarding,只要打开这个才允许私钥透传
Securecrt中,找到sessions,右点属性,在advance菜单勾上sshagentforward,并且将私钥设置为透传的私钥SecureCRT中操作如下:
SecureCRT在sessions属性中将会话设置为sshagentforwarding截图如下:
Securecrt中将会话私钥指定为指定私钥截图如下:
Xshell在会话属性中,勾上Xagnet自动启动,并且指定公私钥,Xshell设置方法如下:
Session会话属性中将Xagent勾选:
在Xshell中指定私钥位置
指定后,需要将方法修改回password方式
3.终端用户登录时,需要输入堡垒机web登录口令进行认证,然后自动进行私钥透传到目标机进行认证
4.5麒麟堡垒机HA设置文档
前提:
1.主机、从机网通,并且主机和从机的tcp2288口、tcp3306口能相互访问
2.主机从机必须root密码一样(HA配置过后,可以修改root密码,并且将root密码修改为不一样)
3.主从机连接的网卡名称必须一样
4.浮动IP可用可不用,如果主、从机不在同一个网段,则不能用浮动IP,如果主从机在同一个网段,可以使用浮动IP
设置方法:
使用admin登录到堡垒机,在系统配置-系统管理-双机配置中按如下要求填写,填后点上面的确定按钮,堡垒机将进行双机同步,这一时间大约在5分钟左右
设置完成后,有的系统的ssh、RDP代理服务有可能会退出,到系统管理-系统服务中把ssh-audit和RDP二个服务启动
测试方法:
1.在主机上建立一个帐号,马上登录到从机看看是否已经同步
2.在从机上把这个帐号删除,马上登录到主机看看是否已经删除
3.在从机、主机上各操作一次ssh/rdp会话,10分钟后分别登录到主、从对端,看看录相是不是已经同步并且可以回放。
4.6堡垒机Radius/AD/LDAP认证配
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 麒麟 堡垒 使用手册