关于数据中心的运维安全管理,客户最关心哪些问题?齐治客服(400电话、在线服务)将过去一年中被问及最多的10个堡垒机相关问题及解答进行整理,与客户、合作伙伴分享。
1. MAC升级至13.0无法调起accessclient。
• 安装3311-sp6版本以上的accessclient插件;
• 在terminal终端执行“xcode-select –install” ,重新安装xcode。
2.Web页面告警提示:当前节点后台root账号仍使用默认密钥,请及时修改。
•登录堡垒机Web界面,确保系统设置 > 系统状态处,sshd外部访问参数已开启,并获取用户登录RIS的默认私钥;
•打开Xshell或其他支持SSH协议的工具,设置协议为SSH,主机为RIS IP,端口为8022,方法选择Public Key,用户名为root,用户密钥选择已获取的私钥,点击连接,输入console的登录密码后按回车,即可进入console主菜单;
•在主菜单输入S并按下回车键,进入SSHD Management,输入2并按回车,进入Generate root key;
•在收到Enter passphrase (empty for no passphrase):提示后,输入该密钥的密码并按回车,如果不设置密码,直接按回车,再次输入passphrase值并按回车,如果不设置密码,直接按回车;
•输入2并按回车,执行Download root key,下载登录私钥;
•输入3,执行Delete root key并按回车,删除旧的密钥;
•再次登录并刷新堡垒机Web界面,告警消失,后续系统管理员只能通过新生成的私钥登录Console控制台。
3.使用文件传输功能传输某一文件报错:资产认证超时。
检查目标资产的/etc/ssh/sshd_config中的UseDNS设置,可以尝试设置成NO,并重启sshd服务。
软件部署的授权是通过IP控制的,如果更换IP需要重新申请授权。
5.如何配置本地密码+手机令牌方式登录堡垒机Web?
• 使用超级管理员登录堡垒机Web,点击右上角账号选择“系统设置”,点击登录认证选择双因素;
• 定义双因素名称为xxx,第一重选择本地密码,第二重选择手机令牌;
• 编辑对应用户,选择身份验证方式为刚定义过的双因素名称xxx;
• 用户在微信关注小程序“TOTP动态验证”,登录堡垒机Web输入第一重本地密码后,会弹出二维码,用小程序扫码完成后单击“完成绑定”,在RIS输入手机令牌(6位数字),单击提交即可登录进Web界面。
6.MAC13访问字符会话报错:add ‘HostkeyAlgorithms+ssh-dss’to ~/.ssh/config。
在terminal终端”~/.ssh/config”文件中添加”HostkeyAlgorithms +ssh-dss”字段,注意需加到首行,若加到末尾会导致不生效。
• 确认appserver中Firefox的路径是否拖入正确,正确路径为“WebDriver安装路径\bin\rdpapp.bat”;
• 安装对应的Firefox版本,RIS3311-SP及以下版本支持 55-59版本,RIS3311-F及3312以上支持88版本。
8.使用sftp协议传输文件,超过1GB后无法正常传输。
编辑规则模板,调整SFTP上传单文件限制值,可调整范围为1-50G。
• 全局:超级管理员登录web界面,点击右上角账号,下拉选中“系统设置”,在访问设置处,修改字符终端的访问方式;
• 个人:用户登录web界面,点击右上角账号,下拉选中“账号管理”,在会话访问处,修改字符终端的访问方式。
•通过知名CA或者自建CA为RIS生成SSL证书;
•使用超级管理员登录堡垒机web界面,点击右上角账号选择“系统设置”,选择安全证书,上传的证书私钥对应的密码,无密码则留空,上传扩展名为crt的RIS服务器证书及扩展名为key的服务器证书对应的私钥;
•重启RIS,使系统可以正常运行 (注意:HA部署模式下,需分别重启主、备节点)。
发表回复