技术指南

标签: 齐治堡垒机

  • 齐治DSG:如何让DBA管理SQL权限防删库跑路

    数据安全中很重要的一条是数据库里的数据是否安全。访问数据库的账号是否有权限,是否在权限范围内进行操作,是否既能防止删库等重大问题的出现,又可以保证它的高效安全访问,是每个数据库管理员都必须面对的话题。

    很显然,对于DBA来说,分配数据库权限是“重要且紧急”的任务。重要,是因为权限分配不能出错,权限分大了数据库有风险,权限分小了访问者有诸多不便,可能还会要继续追加权限增加了DBA的工作量;而“紧急”则是经常会有一次性的特殊情况出现,需要进行临时权限分配,且任务完成后需要及时回收。

    如何因地制宜,打组合拳,让DBA更快、更好地管理防删库SQL权限,管理成本最小化投入,管理效率最高?

    齐治数据库访问控制系统DSG,将资产的管理颗粒度分为两类:全局管控(建立数据库资产/库表对象集合,进行统一的操作权限管控)、库表管控(对某个数据库进行单独的细粒度库表权限操作管控),根据各种场景提出了“自助式+粗细结合”的数据库权限综合管控方案。

     

    根据资产的管理颗粒度,DSG可以进行全局管控、库表管控

    场景一:目标数据库少,权限确定


    解决方案:细粒度预授权机制,是白名单机制。
    优势:支持实现权限最小化。
    不足:1.需要预先调研权限需求,有一定工作量;2.在操作员、目标数据库表增多的情况下,权限维护管理工作量加大。

     

    场景二:目标数据库多,权限确定
    解决方案:对象集全局管控机制。将不同的数据库对象打包,统一操作权限管控。
    优势:支持大量数据库表的统一管控,降低管控配置工作量。
    不足:1.管控手段精细化程度不高;2.不能实现权限完全最小化。

     

    场景三:无法预先确定操作权限
    解决方案:按需自助提权机制。大体确定开放的数据库表范围,授予操作员对象浏览权限。
    优势:系统上线调研工作量小,同时支持权限最小化。
    不足:上线后,存在一定的权限申请、审批工作量。

     

    场景四:1.目标数据库很重要,并可以预先确定高危操作;2.黑名单管理方式(默认允许,显式禁止)。
    解决方案:二次复核管控机制。主要管控重要数据,对明确的高危操作进行二次管控。
    优势:1.即使在授权不当的情况下,也可防止误操作、恶意操作;2.二次管控支持黑名单模式,避免白名单方式的管控工作量。
    不足:如果需要二次复核,会一定程度的影响效率。

     

    场景五:目标数据库很多,数据库管理员少
    解决方案:数据属主分管机制。不同部门掌控数据库不同关键点,跨部门分管。
    优势:减轻数据库管理员的工作量;可更加合理地管控操作权限。
    不足:涉及多个部门参与,协调难度较大。

     

    场景六:1.数据库多,数据库管理人员或者数据库属主部门多;2.管理人员需要AB角。
    解决方案:部门分权机制。每个部门分权管理各自的数据库权限。
    优势:支持大规模数据库权限管控。
    不足:部门、人员结构的维护存在工作量。

     

    场景七:数据库管理员不掌握数据库的账号和密码
    解决方案:非全托管机制。可管控具体操作行为。
    优势:避免上线实施前的数据库台账、账号与密码梳理工作。
    不足:管控粒度仅限整个数据库范围,无法细化到库表字段级别的管控。

    这些方案虽然适合不同场景,但在实际使用过程中,齐治DSG支持多维度的权限管理机制,用户根据自身情况进行多维度叠加,例如:

    1.全局管控+细粒度管控+二次复核管控;
    2.部门分权+数据属主管控+自助提权管控;
    3.全局管控+自助提权管控+二次复核管控;
    ……

    用户可以根据自身的实际情况,利用DSG不同的管控机制,构建、优化自身的数据库操作管控流程,以实现数据库管控的最佳性价比。

  • 齐治特权账号管理:如何建立一个全量的账号安全台账?

    齐治特权账号管理系统(Privileged Account Management, PAM),齐治特权账号管理PAM经过超过五年的开发、应用与实践,紧紧抓住“账号”这个关键,通过建立账号安全台账,实时、动态帮助用户实现数据中心的账号管理。
    在账号安全台账的建设和管理过程中,首先要做的是,将所有账号及数据全部纳入,并进行安全、高效、合理的管理、分析,也就是建立全量的账号安全台账。
    全量账号安全台账的前提

    ——搞清楚账号都在哪,什么数量级

    要想做账号安全台账,先要搞清楚数据中心的账号都在哪,有哪些类别,大概是个什么数量级。

    1.账号都在哪?
    数据中心账号众多,存放及管理的设备也很多,包括主机内部的本地账号,集中在目录服务器或者域控(AD)的账号,应用或中间件的代码及配置文件内也有相应账号,第三方工具(比如监控、自动化)等都有账号。这些账号,通过本地文件、数据库或者目录服务等形式进行存放。
    2.账号分哪些类?
    账号并不是按照一种维度分类的,其实它分类方式有很多。
    按使用主体来分:人、设备或者应用。一个账号,是管理员或者普通使用者用的,还是主机、网络、存储等设备用的,或者是OA、ERP、CRM等应用系统用的,不同使用者的管理方式并不完全相同。
    按用途来分:不同账号的用途不一样,一个账号是超级管理员,还是用来日常维护,亦或是做应用服务、API访问、自动化等等的。
    按平台来分:这个比较好理解,账号是在哪个平台上使用的——主机、数据库、网络、虚拟机甚至是云等。
    3. 账号规模有多大?
    用户在全量管理账号前,先有大概一个概念,到底数据中心有多少账号。
    如果按照资产的规模统计,一台新装的Linux,默认出厂就有10-15个账号,加上日常维护、服务、应用运行等实际生产场景会新增更多的账号。可以说,账号数量是资产规模的几十倍,是常见现象。
    如果按照应用统计,应用与应用、应用与数据库之间通讯可能都会用到账号凭据,按照应用数量乘以一定系数也可大致估算出应用账号的规模。
    齐治科技拥有超过17年的数据中心管理经验,最近十年来,在账号管理方面,与超大规模客户持续探讨,齐治特权账号管理PAM把账号台账的支撑数量级定位在千万级别,基本上能够涵盖绝大多数客户生产环境内的全部账号。

     

    建立全量账号安全台账的三个能力要素

     

    账号安全台账的核心就是找到、整合以及分析账号相关数据,这就是账号管理系统建立全量安全台账的三个能力。
    1.数据的获取能力
    数据获取的广度。账号管理系统是否能够在最大范围内获取账号及相关数据,一方面账号数量多,另一方面,不同资产和不同业务场景下,账号数据来源各不相同,有的是在脚本中出现,有的是在过程中出现,账号管理系统需要从大量的系统、资产中找到这些账号和数据,并将之纳管。
    数据获取的深度。和账号安全管理有关的数据,采集的越丰富越频繁,越能帮助用户及早发现问题,不同类型的账号数据可能不一样,采集方式也不一样。
    2.数据的整合能力
    归档分类。几万甚至几十万数量级的账号,几十种账号类型,每个账号里还有那么多相关的数据,不做分层分类管理,只简单堆在一起,杂乱无章,基本没法用。
    查询检索。账号管理系统需要提供不同维度的查询能力,而且支持批量操作和自动化统计。
    3. 数据的分析能力
    管理的维度。用户进行账号统一管理之后,必然会出台相应的管理规范,那么,通过分析数据、总结原因,就可以观察到这些规范是否被有效执行,规范是否需要持续改进,如何改进等等。
    攻防的维度。通过分析账号数据,可以抽取“可疑”账号,看这些账号是否有被恶意利用的风险,或者已经被恶意利用。
    建立大规模全量账号安全台账的挑战

     

    量变决定质变,管理几百个账号和管理几百万个账号所用到的思想、工具、技术完全不一样,管理的复杂度也有着天壤之别。
    在建立全量账号安全台账的过程中,有三点必须考虑。
    安全性。账号密码这种高敏感信息数据做集中存放,一定要把安全放到第一位考虑。齐治特权账号管理PAM有密码保险箱功能,存放账号密码,让别有用心者看不到、取不出、拿不走。

     

    并发性。如何高效地去海量资产(比如1万+资产)上采集账号数据,也是账号管理系统要考虑的关键点。齐治特权账号管理PAM支持多并发,也支持总分、多站点等各种应用场景,满足用户的多并发需求。
    冗余性。账号台账需要作为生产者为其他业务或者管理系统提供账号数据,所以业务的稳定性极其重要,不能因为自身故障等问题影响业务。齐治特权账号管理支持高可用、两地三中心多种部署方式,全方位保障用户账号资产的安全可靠。
    实践出真知,实践也是检验理论的最好标准。齐治特权账号管理PAM推出5年来,在500+大型客户处进行应用、提升,在某银行的10万+资产、96万+账号中,实现了统一高效管理,得到了用户的充分认可和好评。

    手机铃声响后提示忙音:对不起,您拨打的电话正在通话中?8个原因

  • 齐治堡垒机运维安全:授权和访问控制的区别与关联

    作为从事运维安全管理18年的老兵,齐治科技在数据中心运维安全管理领域不仅拥有堡垒机、特权账号管理等产品,更重要的是,拥有运维安全管理的全盘理念、全面思考、技术聚焦及应用实践。在3000+大型用户的充分调研、实践及优化中,齐治对于整个数据中心运维如何高效、安全运转,有着独特的见解。

     

    在齐治的设计思想和实践操作中,运维安全管理的核心就是权限最小化。所谓的最小化,即是在访问路径中的每个端点处都要做到权限的细分和管控。比如,在桌面端对来源进行识别和管控,在网关侧对会话进行连接和控制,在服务端对账号做统一纳管和监控。
    那么,对于用户来说——最小化意味着,授权要给到正确的人,正确的权限,而访问控制则是控制和核验这个人是否在权限内做事情。授权和访问控制有什么区别和关联呢?
    授权和访问控制发生在不同阶段 
    授权,字面意思就是给予权利,属于事前。比如张三要访问某一台服务器server1,就必须提前有访问服务器server1的权限,于是他要申请这条权限并注明事由。管理员得到批复后再帮他完成授权的过程后,张三就获得了这条权限——此时,张三还未访问,但权限已经生效了。

     

    访问控制, 意义在于访问的过程中进行控制,属于事中。张三在获得server1的权限后进行了访问,但误执行了重启操作,导致一批业务受到了影响。这时,就需要访问控制了。虽然张三有访问server1的权限,但在访问过程中执行重启操作是不被允许的。

     

    总结来说,授权是事前对主体和权限内容进行约束, 访问控制是对事中的风险动作进行有效阻拦。

     

    有驾照能开车上路,但仍要遵守交通规则,

    这就像“授权”和“访问控制”的关系。

     

    授权和访问控制有节奏区别  
    可以看到,授权和访问控制发生在不同的阶段。

    授权,是操作开始前的准备工作。授权的重点在于事前规划,事情发生前先规定好谁,能做什么。把所有的用户、账号全部事先划分好他们的责权利,并将所有的责权利统一管理起来。可以说,授权就是一张大表,用户和账号只能按表索骥,做表里允许他们做的事情。当然,授权是可以变更的,同一个账号,可能因为业务的需要,更改了权限。
    而访问控制发生在操作进行中。用户或账号已经登录,开始“干活”了,进行实际操作,在这个过程中,访问控制实时监控账号操作,发现非授权操作,或者非法操作,则进行警告或制止。
    授权和访问控制有密切关联  
    二者的关联其实是组合。在不同阶段做了权限控制的事情,既有事前,又有事中,组合在一起帮助用户做好细粒度管控,如果再加上事后的审计,就形成了运维管理的闭环。
    有策略的是,不同的用户场景,可以使用不同的授权。齐治科技堡垒机提供不同授权方式,既灵活又高效。比如,按规则批量进行动态权限配置,极大简化权限配置的工作量。再比如,基于流程的授权模式适合管理员未配置权限时申请访问某资源的场景,基于会话的授权模式适合访问核心资产或执行高危命令时严格管控的场景。
    访问控制尽管是事中控制,齐治科技也根据不同场景提供了不同的方式。网盘式的文件传输,可方便、快捷控制上传、下载、分享传输文件;会话共享功能可实现协同会诊、故障快速诊断。齐治科技充分尊重用户的使用习惯,支持Web插件、本地工具访问、HTML5运维等多种访问形式。
    全新、多样化的权限管理手段,加上高效、安全的访问控制策略,二者相辅相成,互相制约,互相作用,帮助用户实现了权限最小化。
    数据中心运维管理的权限最小化不是几个字那么简单,需要在多年的实践经验中,根据用户的使用场景,给出最优化、最安全的整体解决方案。17年来,齐治专注于为高端客户解决复杂运维管理问题,并将这些问题的解决方案融入到产品的更新换代中,从而为更多的用户提供一体化、安全的解决方案。

  • 齐治堡垒机与ITSM集成,运维自动化管控变更流程

    堡垒机是企业数据中心管理的网关系统,通过身份认证、授权、访问控制以及审计四大功能,对运维操作进行合理、合规管控。

    而ITSM则是企业管理流程方法论,企业通过ITSM平台,将ITSM在内部落地与实践,保证项目、变更等的流程完整性。
    简单来说,在企业管理中,ITSM提供的是一套流程图,这套流程图会详细分解,一项工作应该如何一步步由谁、什么时候、如何、什么质量完成。很显然,数据中心内部管理也要符合ITSM流程,这其中,每次新流程的生成、旧流程的调整和变更,都绕不过堡垒机这个数据中心的网关系统。
    ITSM和堡垒机对接 各司其职

    数据中心属于高敏感地带,因此数据中心内部管理的变更,必须有严格规范的流程审批制度。ITSM平台提供了企业级的流程审批工具,其中就包括数据中心运维审批流程。
    堡垒机如果实现了和ITSM平台的对接,即可以按标准、按流程实现有效的IT运维权限管控。这其中,ITSM平台负责对运维人员的操作对象、操作权限、操作内容进行审批,堡垒机负责实现对应的权限管控。
    总结来说,ITSM是标准,是流程,是结果,而堡垒机是数据中心落实这个结果的工具,两者各司其职,互相配合。
    齐治堡垒机强大API 实现与ITSM平台的对接

    齐治堡垒机提供了功能强大的临时授权API,其内容涵盖了:有效时间,可并发提交的权限主体,比如申请人、资产、账号、协议等。
    如果需要变更数据中心内部流程,用户只需在ITSM平台中提交变更申请,审批完成后,更改后的流程通过API推送至堡垒机,堡垒机自动完成新流程的变更与同步,并同时更改对应的权限管控。
    如果数据中心需要创建临时流程,用户在ITSM平台中提交临时权限申请,审批完成后,临时流程将对应人员、设备、时间等信息通过API接口推送至堡垒机,生成临时访问权限。
    这样,ITSM平台和堡垒机自动对接,实现了数据中心一体化管理的闭环。
    成功案例分析

    齐治科技帮助众多用户实现了ITSM平台与堡垒机的对接。
    以某大型车企为例,通过ITSM平台与堡垒机的对接,实现了200+人员(运维、开发、外协)对4000+资产的运维管控,对接实现了以下便捷工作:
    01
    无缝集成:ITSM审批与齐治堡垒机无缝集成,用户在ITSM页面可以完成资源申请、审批、资源访问所有操作,同时堡垒机中审计记录与ITSM工单关联,确保所有操作记录一事一申请;

    02
    弹性授权:基于齐治堡垒机强大丰富的接口,用户一改传统的预授权模式,所有的权限均需申请、审批,自动化弹性进行;

    03
    审计合规:ITSM与齐治堡垒机集成后,可确保每一条操作与一条完成的审批流程对应,能做到责任人、审批人、操作原因有迹可查。

    齐治堡垒机与ITSM平台的自动化对接,不只是节约了运维人员的时间,更重要的是,闭环完成了数据中心内部创建、变更等流程的统一管理,规避风险,提高效率。

  • 齐治堡垒机PAM特权账号管理教你如何避坑明文账号和密码

    数据中心几乎无时无刻不在使用密码:初始化、登录、维护,运维管理员敲键盘如飞地在各个设备上操作,在各个系统间切换。同时,不断有各种临时需求向运维管理员发来:某位同事临时需要申请一个账号和密码以访问某系统,某个领导临时需要调取一个数据库里的表单,部门同事需要临时对中间件配置进行连接等等。

    面对这些临时的、突发的申请和需求,运维管理员最简单的做法当然临时调一个账号和密码用一下,等临时任务关闭后,再取消这个账号,或者变更密码。可是这个“临时”意味着明文账号+明文密码,为系统的管理留下了隐患,而齐治PAM特权账号管理系统,既满足“临时”需求,又保证明文账号和密码的安全可靠。
    广为存在的明文账号和密码

    在数据中心使用过程中,大部分运维操作都通过了“单点登录”,即人直接访问具有权限的系统,而不需要输入账号密码,账号密码由堡垒机来自动完成登录过程。 而运维场景的多样化,导致“单点登录”无法全部覆盖所有场景,有些时候必须申请和使用明文密码,比如,系统的初始化配置, 通过控制台进行硬件或网络变更等等。 
    这些明文密码缺少技术来加以规范和实施落地,导致整个过程中存在明文密码泄露的安全风险。其实,如果管理手段合理,是可以避免的。比如,申请时有科学合理的审批;要求明文密码发送过程中加密,让密码不可视、不可查、不可猜;再比如,密码使用结束后,还有合理的自动化流程,回收相应的账号和密码,防止外泄。但是,恰恰在数据中心内部管理过程中,出现了各种问题,才层层防线失守,最终以明文账号和密码的形态裸奔。
    很显然,如果没有任何安全防护措施,明文账号和密码就像在系统里裸奔一样,是最危险的因素之一,一旦被“神对手”或者“猪队友”用到,不可避免地就会产生安全隐患甚至发生安全问题。

    如何避免入坑明文账号和密码

    很显然,明文密码的使用不可避免,那么就要从管理角度消灭明文密码。如前文所说,在明文密码生成、传递方式和路径,以及回收的全流程,进行管理和防范。
    首先,明文密码的申请过程中,所有申请人、申请理由、审批情况、使用时长、审批人都记录在案,严格管理好“申请”这个源头,让不当的人、不当的行为、不当的审批被扼杀在“出发”之前。
    其次,正常、完整的审批流程结束后,就转向传输和使用阶段。在传输和使用过程中,密码必须加密,不得以明文的形式存在。在更重要、更严格的情况下,甚至可以采取AB角的方式管理密码——A和B各掌握一半密码,使用时A和B必须同时在场才可以——谍战片的既视感。
    最后,账号和密码使用完毕后,必须马上更改,不能让已经公开或半公开的密码存在。所有明文账号,都必须使用新的密码,保证整个系统运营的安全可靠。
    齐治PAM保证明文账号和密码的使用安全

    齐治PAM特权账号管理从账号和密码的全生命周期管理入手,在各个阶段进行安全防护。

    首先,明文账号和密码需要在使用前通过PAM系统进行申请,在初始阶段就会最小化审批该账号和密码的权限,让它只能在规定时间、规定范围内进行规定操作。

    其次,PAM实现过程全跟踪。账号和密码提供给使用者的过程中,PAM可以将明文密码加密,这个加密包括加密发放、传输加密、存储加密、内存加密等多种手段,使得明文密码在从运维管理员到使用者的过程中,不再明文。在有的应用场景下,用户可以使用密码信封的方式进行线下明文密码传递,保障密码安全。

    PAM管理明文密码全生命周期

    在账号和密码按照权限规定到使用期限后,PAM可以自动回收账号及权限,该账号和密码不能在系统中使用,限制了该账号的可能被利用的非法功能。同时,账号回收后,密码重新初始化,PAM立即将该密码改密,保证了账号和密码的安全性。

     

    特别需要一提的是,PAM对账号具有审计功能,该账号和密码被发放后,PAM会形成发放日志,记录该账号和密码的动作,以便事后审计所用。
    齐治PAM特权账号管理系统,针对明文账号和明文密码,实现了安全、可靠的全流程管理,保证了整个数据中心的账号安全和密码安全,提高运维管理效率,提升运维管理安全性。实际上,PAM针对数据中心系统内所有账号和密码都有严格的管理流程和管理方法,全面保障用户的内控安全。 

  • 齐治堡垒机PAM特权账号管理系统怎么梳理几十万账号?

    你的数据中心有多少账号,这些账号都是什么权限,有多少幽灵账号、僵尸账号,同一个账号是否能访问不同资产,如果更改了会不会有影响?

    要想管理数据中心的账号,首先要摸家底,也就是把目前有多少账号,账号状态、账号权限,可管理资产等等一网打尽。
    不同用户的应用场景不同,账号梳理的难度、重点也不同,齐治PAM特权账号管理系统,帮助用户梳理账号、厘清账号,为账号的统一管理打下良好基础。
    场景一:账号清单分散 难收集

    庞大的数据中心账号,管理员众多,使用者也众多。开发、运维、安全等等部门都在数据中心开设有账号及相应权限。如果想把这些账号摸清楚,收上来,是一件难事。
    首先,收集账号的沟通成本高。手工线下收集,需要挨个找管理员整理核对上报。大的数据中心,部门多,人多,只沟通这些数据就占据大量的时间和精力,成本高。
    第二,账号收集不全不准。账号数量多,人工维护需要的人力也多,数据中心人员难免流动,存在离职、调岗等等,即使工作交接时有excel表,也没法一一核对,遗漏、遗失、错行、错字、误录入在所难免,时间一长,账号无人知道,密码丢失,用起来才发现excel里记错了时有发生,给后期的系统维护留下了隐患。
    第三,账号变化快。数据中心里频繁有或大或小的资产调整,比如新设备上架,老设备下架,系统迁移,虚拟化重新配置、合并或拆分,这些大大小小的调整,无一不在挑战原本就脆弱的账号管理。之前的老账号还没厘清,又面临频繁的资产变更,注销老账号、产生新账号等等,新的账号体系里到底增加了谁,取消了谁,权限是怎样变动的,就算是每次都手工记录,也会有信息不完整、不及时,甚至出现错误的时候。 
    PAM解决之道
    第一招:自动发现

    齐治PAM特权账号管理具有账号梳理功能。针对沟通成本高、账号收集不全不准的问题,PAM提供自动发现+账号工单有限发现相辅相成的服务,能够将漏报账号、漏报资产从系统上自动确认,并一键移交给管理员。

    针对账号变化快的问题,齐治PAM提供自动巡检功能,发现有问题的账号,比如无法登录、权限被篡改、网络不通等问题,统一及时汇总给管理员,实现随时发现,随时处理。

    场景二:账号依赖关系错综复杂  难梳理

    数据中心的任何一台设备、一套系统都不是绝对独立存在的,必然会和其他设备或系统有或强或弱的耦合关系,比如几台服务器组成一个集群,集群统一管理的账号和密码,势必涉及到单台服务器。
    系统管理中,“不敢乱动”是管理员的紧箍咒,设备、系统之间的耦合关系,牵一发而动全身的可能性,让不清楚情况、不了解实际的变更如履薄冰。
    账号管理中,如果以为仅仅是变更了一台设备的账号、密码和权限,不会有什么问题,那就大错特错了。资产之间的耦合关系,让账号和密码在跨资产时也有耦合,登录A设备的密码,与登录B设备的是一套,变更了A忘记了B,等到想登录B时,发现上不去了。值得庆幸的情况是,管理员记得A和B的耦合关系,更改A时就顺便更改了B。但更多情况是,ABCF……等等都耦合,管理员记得了其中几个,忘记了另外几个,等到用时发现已经无法顺利管理资产了。
    PAM解决之道
    第二招:等价关联

    PAM的解决方案是支持等价资产,配置等价账号,梳理各种账号同步关系。

    当多个账号的密码需要同步时,PAM支持配置等价账号高级功能。例如资产部署的集群,管理员将集群中所有节点加入到PAM,可以将这些节点的账号设置为等价账号。如果其中某个节点的资产账号修改了密码,则密码将同步到其他节点的资产账号。需要专门指出的是,在相同账号名且以密码类型登录的前提下,等价账号可以跨资产类型。

    场景三:账号权限合规难核查

    数据中心有多少种账号?恐怕管理员也仅仅能分个大类。比如从是否可写的角度说,分为可读可写的账号,只能读不能写的账号。从级别高低说,分为高级别、畅通无阻哪都能去的特权账号,低级别仅在某几台设备上可用的普通账号。从使用者角度来说,分为设备自动读取访问的机用账号,数据中心工作人员使用的人用账号等等。
    这么多类别的账号,开通、配置、修改、关闭时,既可能更改属性,又可能更改权限,如果纯手工劳动,就只能请出excel表来做详细记录,开通时如何配置的,中间是否有变更,是否到期,该什么时候关闭。时间一长,工作量一大,这几乎是个难以准确完成的任务。
    PAM解决之道
    第三招:自动巡检

    不同用户的不同账号有特殊的管理诉求,PAM可以通过各种账号属性的配置来满足这些管理诉求。
    在具体配置中,PAM包含了账号类型、是否可改密、切换来源、私钥、互备账号等配置选项,来满足账号管理的个性化需求。以账号类型为例,分为特权账号(权限最高的账号,比如Linux中的root、Windows中的Administrator),以及普通账号(特权账号以外的账号)。再比如为应用内嵌账号管理准备的互备账号功能,具有同样权限的两个账号,应用通过其中任意一个账号登录资产(例如数据库),都能正常执行操作(例如查询数据库)。
    通过账号高级属性进行标识,方便了管理员的日常管理和统计。
    在以上三个场景之外,PAM还提供标准的restful API接口对接用户的各种第三方管理系统,自动同步现有的资产信息库。同时,尊重管理员的工作习惯,PAM提供excel模版的导入和导出,以便管理员日常统一整理和收集账号信息。
    特权账号是进入数据中心各个资产的钥匙,钥匙很多,功能各不相同,权限各不相同。齐治PAM特权账号管理系统,可以详细分析各场景下管理员遇到的实际困难,用全面、安全、自动化的手段,实现管理的标准化、流程化,不仅大大解放管理员的手工操作,还实现了管理的准确化和个性化。
    超过5年500+客户验证,齐治PAM特权账号管理系统在单一客户处实现了96万+账号的统一管理,安全性、准确性、权威性均在业内前列。

  • shterm齐治堡垒机RIS常见问题及解决方法

    shterm齐治堡垒机RIS常见问题及解决方法

    一、Linux会话如何上传下载文件
    解决方法
    1、对于2GB以内的小文件可以在ssh会话中通过rz和sz命令进行文件上传和下载
    2、对于大文件可以通过sftp的方式进行文件的上传和下载

    二、RDP访问时,无法使用剪切板或磁盘映射失败
    解决方法
    1、检查访问权限的规则模板,确认是否允许使用剪切板和磁盘映射
    2、检查目标资产是否禁用了驱动器或剪切板
    3、更换客户端PC再次尝试,确认是否客户端环境问题

    三、RIS windows访问报错:”the error code from connect is UNDEFINEDCONNECTERROR”
    解决方法
    1、测试堡垒机到目标设备的IP和端口是否可达
    2、登录访问时选择的系统账号是否为托管密码
    3、在目标资产中设置组策略
    4、查看目标设备远程桌面授权是否正常

    四、shterm MAC终端无法正常运行
    解决方法
    将补丁升级为最新版本

    五、shterm 调用filezilla时报错:“认证失败”
    解决方法
    1、是否托管对应账号密码,sftp访问时,未托管系统账号需要选择any账号,手动输入服务器用户名密码后访问
    2、通过ssh登录,测试堡垒机到目标设备的网络端口是否放通,使用的服务器密码是否正确
    3、访问sftp协议,调出filezilla后设置filezilla客户端超时秒数为0,并清除客户端缓存
    4、堡垒机后台设置SFTP超时时间
    5、确认不通过堡垒机访问是否正常

    以上为常见题型答题步骤,如有其他疑问,请关注「齐治科技」微信公众号,与售后服务团队取得联系,我们将第一时间为您答疑解惑。