技术指南

标签: 齐治

  • 齐治堡垒机数据中心运维安全管理:容易出错的TOP10问题

    关于数据中心的运维安全管理,客户最关心哪些问题?齐治客服(400电话、在线服务)将过去一年中被问及最多的10个堡垒机相关问题及解答进行整理,与客户、合作伙伴分享。

    1. MAC升级至13.0无法调起accessclient。
    解决方法:
    • 安装3311-sp6版本以上的accessclient插件;
    • 在terminal终端执行“xcode-select –install” ,重新安装xcode。
    2.Web页面告警提示:当前节点后台root账号仍使用默认密钥,请及时修改。
    解决方法:
    •登录堡垒机Web界面,确保系统设置 > 系统状态处,sshd外部访问参数已开启,并获取用户登录RIS的默认私钥;
    •打开Xshell或其他支持SSH协议的工具,设置协议为SSH,主机为RIS IP,端口为8022,方法选择Public Key,用户名为root,用户密钥选择已获取的私钥,点击连接,输入console的登录密码后按回车,即可进入console主菜单;
    •在主菜单输入S并按下回车键,进入SSHD Management,输入2并按回车,进入Generate root key;
    •在收到Enter passphrase (empty for no passphrase):提示后,输入该密钥的密码并按回车,如果不设置密码,直接按回车,再次输入passphrase值并按回车,如果不设置密码,直接按回车;
    •输入2并按回车,执行Download root key,下载登录私钥;
    •输入3,执行Delete root key并按回车,删除旧的密钥;
    •再次登录并刷新堡垒机Web界面,告警消失,后续系统管理员只能通过新生成的私钥登录Console控制台。
    3.使用文件传输功能传输某一文件报错:资产认证超时。
    解决方法:
    检查目标资产的/etc/ssh/sshd_config中的UseDNS设置,可以尝试设置成NO,并重启sshd服务。
    4.更换堡垒机IP地址需要重新做授权吗?
    回答:
    软件部署的授权是通过IP控制的,如果更换IP需要重新申请授权。
    5.如何配置本地密码+手机令牌方式登录堡垒机Web?
    回答:
    • 使用超级管理员登录堡垒机Web,点击右上角账号选择“系统设置”,点击登录认证选择双因素;
    • 定义双因素名称为xxx,第一重选择本地密码,第二重选择手机令牌;
    • 编辑对应用户,选择身份验证方式为刚定义过的双因素名称xxx;
    • 用户在微信关注小程序“TOTP动态验证”,登录堡垒机Web输入第一重本地密码后,会弹出二维码,用小程序扫码完成后单击“完成绑定”,在RIS输入手机令牌(6位数字),单击提交即可登录进Web界面。

    6.MAC13访问字符会话报错:add ‘HostkeyAlgorithms+ssh-dss’to ~/.ssh/config。
    解决方法:
    在terminal终端”~/.ssh/config”文件中添加”HostkeyAlgorithms +ssh-dss”字段,注意需加到首行,若加到末尾会导致不生效。
    7.发布Firefox闪退。
    解决方法:
    • 确认appserver中Firefox的路径是否拖入正确,正确路径为“WebDriver安装路径\bin\rdpapp.bat”;
    • 安装对应的Firefox版本,RIS3311-SP及以下版本支持 55-59版本,RIS3311-F及3312以上支持88版本。
    8.使用sftp协议传输文件,超过1GB后无法正常传输。
    解决方法:
    编辑规则模板,调整SFTP上传单文件限制值,可调整范围为1-50G。

    9.如何更换字符会话访问方式?
    回答:
    • 全局:超级管理员登录web界面,点击右上角账号,下拉选中“系统设置”,在访问设置处,修改字符终端的访问方式;
    • 个人:用户登录web界面,点击右上角账号,下拉选中“账号管理”,在会话访问处,修改字符终端的访问方式。
    10.如何使用用户自己的安全证书?
    回答:
    •通过知名CA或者自建CA为RIS生成SSL证书;
    •使用超级管理员登录堡垒机web界面,点击右上角账号选择“系统设置”,选择安全证书,上传的证书私钥对应的密码,无密码则留空,上传扩展名为crt的RIS服务器证书及扩展名为key的服务器证书对应的私钥;
    •重启RIS,使系统可以正常运行 (注意:HA部署模式下,需分别重启主、备节点)。

  • 兴业银行利用齐治PAM+堡垒机搭建账号密码统一安全管理平台

    兴业银行是全国性股份制商业银行,营业网点超千家。兴业银行在上海有两个数据中心——主数据中心和同城数据中心,账号管理主要分散在三个不同的部门负责:主机由生产运行部门负责,网络设备由网络管理部门负责,数据库由系统管理部门负责,账号的分散管理衍生出来诸多安全的风险,其中包括:

    1. 检查不合规问题。账号密码管理过程中,人工参与环节较多,技术管控能力不足。

    2. 管理不集中问题。账号密码管理使用了不同的平台,无法控制管理成本和后期维护成本。

    3. 密码未定期修改。密码未按照规章制度和要求进行定期修改。

    4. 密码保管不完善。密码通过密码信封保管过程中,依赖管理员人工参与进行密码备份和存储。

    为了解决账号管理方面的风险,兴业银行启动了账号密码统一安全管理项目,实现对主机、网络设备、数据库账号密码的统一、集中、安全管理。

    账号密码统一安全管理方案

    针对兴业银行账号密码管理所带来的安全风险,齐治科技设计了一套完整的账号安全管理方案,涵盖了如下的实际场景:

    1. 密码集中管理,一套系统统管主机、网络设备、数据库的密码并定期改密。

    2. 建立密码使用流程,实现明文密码线上申请、发放、回收等全流程统一管理。

    3. 账号密码安全存储,采用硬件级别的国密加密存储技术,安全存储账号密码。

    通过齐治堡垒机+齐治特权账号管理系统+密码保险箱实现账号密码的统一管理,部署完成之后Z银行具备了如下能力:

    1. 实现了针对主机、网络设备、数据库资产的定期自动改密能力。具备针对Windows、Linux、AIX等操作系统的定期改密,包含root级别的特权账号和运维账号;具备针对所有网络设备、数据库的定期自动改密能力。

    2. 实现了对明文密码申请、获取、使用、回收全流程的线上闭环管理。建立了明文密码的申请、使用、回收制度,保障了明文密码的管理与使用安全。

    3. 实现了密码集中安全统一的管理。通过硬件级别的密码保险箱,实现密码的统一安全存储,密码保险箱采用独立硬件、独立安全系统、精简服务的方式提升安全性;通过硬件加密卡对数据进行国密算法的加密存储,进一步提升密码存储的安全性。

    账号密码统一安全管理收益

    系统实施后,Z银行取得了如下收益。

    1.减少管理成本,提升管理效率。账号密码管理由原先三套系统分散管理的方式,升级为集中安全管理的方式,减少了管理人员的投入和各部门平台的维护成本。

    2. 密码电子化保管,降低泄露风险。由原先密码管理过程中人工参与,升级为密码电子化全流程自动化管理,降低密码泄露的风险。

    3. 满足专项审计,管理章程合规。账号密码的统一管理与流程平台结合,符合了Z银行对密码使用的专项审计要求,为进一步合规管理提供了必要的基础平台。

  • 齐治特权账号管理PAM:实现账号全生命周期动态治理

    数据中心不管有多少台设备,特权账号的数量都至少是设备数量的十倍。随着业务的发展,数据中心资产的迭代,特权账号随时都可能发生变化。这个时候,用静态管理的方法,设一个或几个专人梳理一张或几十张账号管理表格,既浪费人力资源、管理资源,效率低下,也不可能在面对成千上万账号,且天天有各种变更,而且还需要定期改密等等工作的时候,真正实现账号的准确、实时管理。

    齐治从多年的堡垒机、特权账号管理PAM的开发、实施和实践中总结认为,账号需要通过自动化、高效的手段,进行动态治理。而动态治理方式,应该贯穿账号的全生命周期,从创建账号开始,到账号统一纳管,再到日常维护、使用以及最后的回收,都应该采用科学、高效、自动化的方法。
     

    账号创建的动态治理:根据权限分类 自动化完成创建

    运维人员大都有一个常规但是很繁琐的工作:创建账号。因为某些系统的新增、变化,或者某些人的加入、职位变更等,运维人员经常需要为资产或人创建账号。如果缺少流程规则,事情就变成了:今天来了新增账号的工单或者只是一个邮件、电话,运维人员就赶紧创建一个账号;明天来了一个同事打了声招呼说等着急用,运维人员只好停下手边的工作,先把账号的事干了再说。这样毫无规则、毫无节奏的手工创建账号会带来两个不好的后果,一则,这些新建账号成为了盲盒,创建的时候因为着急,又手工操作,经常会忽略掉创建规则、权限管理等重要问题;二则,运维人员的工作被频繁打扰成碎片。

     

    用户如果使用了齐治的特权账号管理系统PAM,这些账号的创建就可以由系统自动完成,实现动态治理。运维人员首先需要做的是按照日常业务的特性,制定账号创建规范,以满足业务需求,这包括什么人,能创建什么类别的账号,这些账号的权限如何,审批流程又是怎样的等等。规范制定完毕后,账号创建就走入自动化的流程,哪个资产或者哪个人,需要创建新账号,按照流程在系统里申请就可以。这样,既从创建之初就将所有账号进行收敛和按规则分类管理,也通过自动化流程解放了运维人员。

    账号纳管的动态治理:通过API打通系统 实现全纳管

    数据中心中一个常见的现象是,不同团队负责维护不同系统,比如ERP、CRM这种复杂系统由几个人负责上线及日常的运维。在手工进行账号纳管的状态下,各个团队在自己的系统上线过程中,一次性创建很多账号,之后在运维过程中,可能也会陆续有新的账号创建。这些新账号,根据数量不同,定期做成一张、几张或十几张表格,交给运维人员一张张录入,进行统一纳管。
    那么,问题就来了。且不说这些账号创建的时候是否符合规则,就是这些表格的手工创建、录入,难免有错误,比如某个字符录错了,某个密码少了一位等等,运维人员录入以后再一个个核验,费时费力,还容易出现纰漏。

    齐治特权账号管理PAM强调账号纳管的统一动态管理。PAM通过API将账号传递渠道全部打通,各个应用、资产里形成的新账号、修改的账号等,自动按照规则传递到运维人员处,并完成自动配置工作。这样,自动化纳管所有账号,为以后的统一管理、校验、改密等全流程管理打下良好的基础。

    账号维护的动态治理:自动将账号分配到任务单中 管理员只需清点结果

    账号的日常巡检,如果是手工、静态管理,一般的流程是:运维人员建立任务单将相关账号关联起来,进行统一巡检。但是在巡检过程中,有些账号已经发生了改变,比如密码更改了,权限调整了,这个时候再手工创建任务单,对发生改变的账号再次进行管理,可是再管理过程中,又有一些其他账号发生了变化。这样就陷入一个无法走出的漩涡:用一个静态的方法,去管理动态的问题,状态一直在变化,根本找不到静态的时间点和场景。最后管理员自己都糊涂了:哪些账号维护巡检过了,哪些账号巡检过程中又发生了变化,什么任务重复执行了,什么任务因为账号变化压根已经无效,不应该再执行。

     

    齐治特权账号管理PAM在实际应用中,坚持对账号维护进行动态治理。换句话说,所有账号纳管进PAM之后,PAM自动将新增或有更改的账号分配到相应的管理任务中,无需手工干预及调整。管理员每天按时对任务执行结果进行清点即可。

    账号使用的动态治理:配置动态授权规则 自动授权

    账号创建、管理起来,最终是要使用的。在使用过程中,要首先对账号进行授权,不允许它做授权之外的事情。系统及资产使用的账号,齐治PAM采用内嵌账号管理的方式进行调用,而人使用的账号则直接管理。
    一般来说,机用账号,因为绑定具体业务系统,相对稳定,鉴权规则和方式也比较固定,静态管理还算可行。但是,人的授权就比较复杂。人的需求是变动的,权限要求也更多且容易变化,需要次次审核和授权。所以PAM会通过动态授权、变更工单、API等多种途径,满足动态申请、自动授权的场景。
    账号回收的动态治理:统计和分析账号 自动锁定和删除

    账号都是有生命周期的。人的流动,业务的迭代,都会累计很多过期、无用的账号,就需要运维人员进行清理。在静态管理的环境下,运维人员最难做的事情是找到这些账号,比如在上万甚至几十万账号里查找一年都没有用过的账号,再挨个进行辨别;或者查询已经离岗的人对应的账号。一旦明确这些账号是谁,在哪里之后,再手工进行回收和清理。
    账号回收的动态治理,就是齐治特权账号管理PAM管理账号的一部分。PAM通过对账号使用数据进行统计和分析,帮助运维人员定位出长久不用的僵尸账号、幽灵账号,自动化进行锁定和删除工作。
    对于日益庞大、复杂的数据中心来说,账号的统一、动态、全生命周期、自动化管理,是避免账号漏洞、解放运维管理人员的最佳路径。齐治特权账号管理PAM在多年的成功应用实践中,总结出了账号全生命周期动态管理的方法,并加以实践。在某银行案例中,PAM成功管理96万+账号,实现了账号高效、有序管理。

  • 齐治特权账号管理:如何建立一个全量的账号安全台账?

    齐治特权账号管理系统(Privileged Account Management, PAM),齐治特权账号管理PAM经过超过五年的开发、应用与实践,紧紧抓住“账号”这个关键,通过建立账号安全台账,实时、动态帮助用户实现数据中心的账号管理。
    在账号安全台账的建设和管理过程中,首先要做的是,将所有账号及数据全部纳入,并进行安全、高效、合理的管理、分析,也就是建立全量的账号安全台账。
    全量账号安全台账的前提

    ——搞清楚账号都在哪,什么数量级

    要想做账号安全台账,先要搞清楚数据中心的账号都在哪,有哪些类别,大概是个什么数量级。

    1.账号都在哪?
    数据中心账号众多,存放及管理的设备也很多,包括主机内部的本地账号,集中在目录服务器或者域控(AD)的账号,应用或中间件的代码及配置文件内也有相应账号,第三方工具(比如监控、自动化)等都有账号。这些账号,通过本地文件、数据库或者目录服务等形式进行存放。
    2.账号分哪些类?
    账号并不是按照一种维度分类的,其实它分类方式有很多。
    按使用主体来分:人、设备或者应用。一个账号,是管理员或者普通使用者用的,还是主机、网络、存储等设备用的,或者是OA、ERP、CRM等应用系统用的,不同使用者的管理方式并不完全相同。
    按用途来分:不同账号的用途不一样,一个账号是超级管理员,还是用来日常维护,亦或是做应用服务、API访问、自动化等等的。
    按平台来分:这个比较好理解,账号是在哪个平台上使用的——主机、数据库、网络、虚拟机甚至是云等。
    3. 账号规模有多大?
    用户在全量管理账号前,先有大概一个概念,到底数据中心有多少账号。
    如果按照资产的规模统计,一台新装的Linux,默认出厂就有10-15个账号,加上日常维护、服务、应用运行等实际生产场景会新增更多的账号。可以说,账号数量是资产规模的几十倍,是常见现象。
    如果按照应用统计,应用与应用、应用与数据库之间通讯可能都会用到账号凭据,按照应用数量乘以一定系数也可大致估算出应用账号的规模。
    齐治科技拥有超过17年的数据中心管理经验,最近十年来,在账号管理方面,与超大规模客户持续探讨,齐治特权账号管理PAM把账号台账的支撑数量级定位在千万级别,基本上能够涵盖绝大多数客户生产环境内的全部账号。

     

    建立全量账号安全台账的三个能力要素

     

    账号安全台账的核心就是找到、整合以及分析账号相关数据,这就是账号管理系统建立全量安全台账的三个能力。
    1.数据的获取能力
    数据获取的广度。账号管理系统是否能够在最大范围内获取账号及相关数据,一方面账号数量多,另一方面,不同资产和不同业务场景下,账号数据来源各不相同,有的是在脚本中出现,有的是在过程中出现,账号管理系统需要从大量的系统、资产中找到这些账号和数据,并将之纳管。
    数据获取的深度。和账号安全管理有关的数据,采集的越丰富越频繁,越能帮助用户及早发现问题,不同类型的账号数据可能不一样,采集方式也不一样。
    2.数据的整合能力
    归档分类。几万甚至几十万数量级的账号,几十种账号类型,每个账号里还有那么多相关的数据,不做分层分类管理,只简单堆在一起,杂乱无章,基本没法用。
    查询检索。账号管理系统需要提供不同维度的查询能力,而且支持批量操作和自动化统计。
    3. 数据的分析能力
    管理的维度。用户进行账号统一管理之后,必然会出台相应的管理规范,那么,通过分析数据、总结原因,就可以观察到这些规范是否被有效执行,规范是否需要持续改进,如何改进等等。
    攻防的维度。通过分析账号数据,可以抽取“可疑”账号,看这些账号是否有被恶意利用的风险,或者已经被恶意利用。
    建立大规模全量账号安全台账的挑战

     

    量变决定质变,管理几百个账号和管理几百万个账号所用到的思想、工具、技术完全不一样,管理的复杂度也有着天壤之别。
    在建立全量账号安全台账的过程中,有三点必须考虑。
    安全性。账号密码这种高敏感信息数据做集中存放,一定要把安全放到第一位考虑。齐治特权账号管理PAM有密码保险箱功能,存放账号密码,让别有用心者看不到、取不出、拿不走。

     

    并发性。如何高效地去海量资产(比如1万+资产)上采集账号数据,也是账号管理系统要考虑的关键点。齐治特权账号管理PAM支持多并发,也支持总分、多站点等各种应用场景,满足用户的多并发需求。
    冗余性。账号台账需要作为生产者为其他业务或者管理系统提供账号数据,所以业务的稳定性极其重要,不能因为自身故障等问题影响业务。齐治特权账号管理支持高可用、两地三中心多种部署方式,全方位保障用户账号资产的安全可靠。
    实践出真知,实践也是检验理论的最好标准。齐治特权账号管理PAM推出5年来,在500+大型客户处进行应用、提升,在某银行的10万+资产、96万+账号中,实现了统一高效管理,得到了用户的充分认可和好评。

    手机铃声响后提示忙音:对不起,您拨打的电话正在通话中?8个原因

  • 齐治堡垒机PAM特权账号管理教你如何避坑明文账号和密码

    数据中心几乎无时无刻不在使用密码:初始化、登录、维护,运维管理员敲键盘如飞地在各个设备上操作,在各个系统间切换。同时,不断有各种临时需求向运维管理员发来:某位同事临时需要申请一个账号和密码以访问某系统,某个领导临时需要调取一个数据库里的表单,部门同事需要临时对中间件配置进行连接等等。

    面对这些临时的、突发的申请和需求,运维管理员最简单的做法当然临时调一个账号和密码用一下,等临时任务关闭后,再取消这个账号,或者变更密码。可是这个“临时”意味着明文账号+明文密码,为系统的管理留下了隐患,而齐治PAM特权账号管理系统,既满足“临时”需求,又保证明文账号和密码的安全可靠。
    广为存在的明文账号和密码

    在数据中心使用过程中,大部分运维操作都通过了“单点登录”,即人直接访问具有权限的系统,而不需要输入账号密码,账号密码由堡垒机来自动完成登录过程。 而运维场景的多样化,导致“单点登录”无法全部覆盖所有场景,有些时候必须申请和使用明文密码,比如,系统的初始化配置, 通过控制台进行硬件或网络变更等等。 
    这些明文密码缺少技术来加以规范和实施落地,导致整个过程中存在明文密码泄露的安全风险。其实,如果管理手段合理,是可以避免的。比如,申请时有科学合理的审批;要求明文密码发送过程中加密,让密码不可视、不可查、不可猜;再比如,密码使用结束后,还有合理的自动化流程,回收相应的账号和密码,防止外泄。但是,恰恰在数据中心内部管理过程中,出现了各种问题,才层层防线失守,最终以明文账号和密码的形态裸奔。
    很显然,如果没有任何安全防护措施,明文账号和密码就像在系统里裸奔一样,是最危险的因素之一,一旦被“神对手”或者“猪队友”用到,不可避免地就会产生安全隐患甚至发生安全问题。

    如何避免入坑明文账号和密码

    很显然,明文密码的使用不可避免,那么就要从管理角度消灭明文密码。如前文所说,在明文密码生成、传递方式和路径,以及回收的全流程,进行管理和防范。
    首先,明文密码的申请过程中,所有申请人、申请理由、审批情况、使用时长、审批人都记录在案,严格管理好“申请”这个源头,让不当的人、不当的行为、不当的审批被扼杀在“出发”之前。
    其次,正常、完整的审批流程结束后,就转向传输和使用阶段。在传输和使用过程中,密码必须加密,不得以明文的形式存在。在更重要、更严格的情况下,甚至可以采取AB角的方式管理密码——A和B各掌握一半密码,使用时A和B必须同时在场才可以——谍战片的既视感。
    最后,账号和密码使用完毕后,必须马上更改,不能让已经公开或半公开的密码存在。所有明文账号,都必须使用新的密码,保证整个系统运营的安全可靠。
    齐治PAM保证明文账号和密码的使用安全

    齐治PAM特权账号管理从账号和密码的全生命周期管理入手,在各个阶段进行安全防护。

    首先,明文账号和密码需要在使用前通过PAM系统进行申请,在初始阶段就会最小化审批该账号和密码的权限,让它只能在规定时间、规定范围内进行规定操作。

    其次,PAM实现过程全跟踪。账号和密码提供给使用者的过程中,PAM可以将明文密码加密,这个加密包括加密发放、传输加密、存储加密、内存加密等多种手段,使得明文密码在从运维管理员到使用者的过程中,不再明文。在有的应用场景下,用户可以使用密码信封的方式进行线下明文密码传递,保障密码安全。

    PAM管理明文密码全生命周期

    在账号和密码按照权限规定到使用期限后,PAM可以自动回收账号及权限,该账号和密码不能在系统中使用,限制了该账号的可能被利用的非法功能。同时,账号回收后,密码重新初始化,PAM立即将该密码改密,保证了账号和密码的安全性。

     

    特别需要一提的是,PAM对账号具有审计功能,该账号和密码被发放后,PAM会形成发放日志,记录该账号和密码的动作,以便事后审计所用。
    齐治PAM特权账号管理系统,针对明文账号和明文密码,实现了安全、可靠的全流程管理,保证了整个数据中心的账号安全和密码安全,提高运维管理效率,提升运维管理安全性。实际上,PAM针对数据中心系统内所有账号和密码都有严格的管理流程和管理方法,全面保障用户的内控安全。 

  • shterm齐治堡垒机RIS常见问题及解决方法

    shterm齐治堡垒机RIS常见问题及解决方法

    一、Linux会话如何上传下载文件
    解决方法
    1、对于2GB以内的小文件可以在ssh会话中通过rz和sz命令进行文件上传和下载
    2、对于大文件可以通过sftp的方式进行文件的上传和下载

    二、RDP访问时,无法使用剪切板或磁盘映射失败
    解决方法
    1、检查访问权限的规则模板,确认是否允许使用剪切板和磁盘映射
    2、检查目标资产是否禁用了驱动器或剪切板
    3、更换客户端PC再次尝试,确认是否客户端环境问题

    三、RIS windows访问报错:”the error code from connect is UNDEFINEDCONNECTERROR”
    解决方法
    1、测试堡垒机到目标设备的IP和端口是否可达
    2、登录访问时选择的系统账号是否为托管密码
    3、在目标资产中设置组策略
    4、查看目标设备远程桌面授权是否正常

    四、shterm MAC终端无法正常运行
    解决方法
    将补丁升级为最新版本

    五、shterm 调用filezilla时报错:“认证失败”
    解决方法
    1、是否托管对应账号密码,sftp访问时,未托管系统账号需要选择any账号,手动输入服务器用户名密码后访问
    2、通过ssh登录,测试堡垒机到目标设备的网络端口是否放通,使用的服务器密码是否正确
    3、访问sftp协议,调出filezilla后设置filezilla客户端超时秒数为0,并清除客户端缓存
    4、堡垒机后台设置SFTP超时时间
    5、确认不通过堡垒机访问是否正常

    以上为常见题型答题步骤,如有其他疑问,请关注「齐治科技」微信公众号,与售后服务团队取得联系,我们将第一时间为您答疑解惑。

  • 检查齐治堡垒机RIS 10个关键项,消除堡垒机安全隐患

    没有什么比安全产品的安全性更重要。是时候检查一下你的堡垒机(针对新堡垒机RIS)的安全性了!请逐一对照下文10个关键项,按照建议检查和安全强化,我们一起“灭灭灭”堡垒机隐患。
    1、部署
    堡垒机通常部署在内网,若需要通过互联网访问,建议通过威必恩访问;
    没有威必恩建议仅开通SSH(22)和RDP(3389)端口,禁止直接通过公网访问Web界面。
    2、网络策略
    只对访问客户端开通必要的端口:443(Web)、3389(图形)、22(字符);
    只向特定的管理员终端开通控制台访问端口:8022(console控制台)。
    3、补丁
    确保堡垒机标准版的版本为最新;
    确保补丁版本为最新。
    4、密码
    确保密码设置足够复杂(参考下图设置);
    确保密码定期修改。


    5、认证
    若有第三方认证系统,可通过AD、LDAP、RADIU、X.509方式对接;
    若已购买动态令牌或USBKEY,务必启用;若无其他认证方式,务必启用手机令牌;
    为所有用户启用双因素身份认证,API用户使用本地密码。
    6、登录控制
    在系统设置中,设置全局的登录控制,限制用户的来源IP及IP范围,同时对管理员用户进行更细致的来源IP地址限制;
    对单个用户启用登录控制,建议填写IP地址、IP段,条件选择“不满足”,动作选择“拒绝”。
    7、API调用
    不建议直接使用超级管理员admin进行身份验证,新建一个配置管理员api_user专门用于调用API时的身份验证;
    设置身份验证为“本地密码”,满足密码复杂度要求;
    启用“用户登录控制”,设置调用API服务器的来源IP地址或范围。
    8、SSH外部访问
    建议关闭系统的SSH外部访问。
    9、root账号
    产品部署完后,应修改root账号默认秘钥,修改后的秘钥由用户保密存储,不可在堡垒机中托管;
    确保root账号的默认shell为console。
    10、IPMI安全
    如果已配置IPMI,启用IPMI管理口后,修改默认用户名、密码,密码符合复杂度要求;
    禁止IPMI的80、22、161端口;启用Web SSL-443端口;
    “在IPMI管理页面设置IP访问控制”限制访问来源IP地址,建议只允许固定终端访问IPMI服务。

    针对以上堡垒机安全使用检查的10个关键项,想要获取更详细的具体操作指南/手册,请关注九边。