权限安全：堡垒机部署实践

一、快速部署思路

部署的思路非常的简单：首先创建资源，然后创建用户，最后将资源关联到用户即可。

二、基本概念

2.1快速部署须知

1. 建恒信安的堡垒机默认最好是IE浏览器进行管理！用其它的浏览器会有一些奇怪的事发生！
2. 通过浏览器登录堡垒机之后，如果想管理远程主机，必须安装“单点登录标准版”
3. 建恒信安堡垒机默认有两个管理口：eth0和eth3，地址分别是：192.168.23.92和192.168.2.92，默认的用户名是admin，密码是Admin123456
4. 堡垒机是物理旁路，逻辑串行

2.2资源、用户、角色、岗位的关系

1、何为资源？

所谓的资源其实就是组织内部的设备，比如服务器、路由器、交换机、防火墙、数据库等。

2、何为用户？

这里说的用户并不是指访问资源用的用户，这里的用户指的是访问堡垒机的用户，这一点要区分清楚。

3、何为岗位？

岗位就是岗位，比如：公司里面有运维岗、审计岗

4、何为“角色”？

我们可以把角色理解成为一个组，比如我们创建一个角色为administrator，给administrator这个用户最大的权限；再创建另一个角色audit，只给他查看的权限。后续我们创建的用户一部分加入到administrator角色，那么这个角色里面的用户就有了最高权限，我们创建的用户一部分加入到audit角色，那么这个角色里面的用户就只能查看权限！

你是这样想的吗？

真的是这样吗？

不是的，不是的，不是的！！那么“角色”到底是用来做什么的？

“角色”真正的作用其实很简单！简单到一句话就可以说明了！

角色的作用是“帮助管理员分担管理用户的压力的！！！！！”，是的，你没有看错！

如果将角色的权限设置成如下这样的话：

那么加入这个角色的用户就可以添加用户、删除用户和修改用户了。

我将zhangsan加入到了“超级管理员TEST”这个角色，当我登录进入zhangsan角色之后，打开“组织结构”之后也可以进行组织结构的管理，可以查看、添加、删除、修改用户信息。

2.3资源与组织结构的关系

我们创建资源时最好是创建在组织结构里面，资源关联岗位时，我们就可以通过组织结构直接进行关联，而不用一个个的点选主机进行关联，这样效率太低，不适合大规模的集群环境。

2.4部署前的调查

将哪个用户归属于哪个部门列出一个表单

每个部门需要管理哪些设备也要列出一个表单，举个例子：

服务器运维部：

人员：张三、李四、王二

张三：运维主管

李四：普通运维

所要管理的主机：172.16.100.140

网络管理部：

人员：小明、小芳、小花

小明：网络管理主管

小芳：普通网络管理人员

所要管理的主机：172.16.100.140

2.5部署前的准备（IE登录）

1. 初次登录系统后，首先要建立根域，否则无法继续下一步操作
2. 修改IP地址，并测试连通性
3. 安装控件（单点登录工具，标准），一路默认安装即可

2.6部署的步骤

1. 创建策略，比如不允许某些用户使用su、rm、sudo，mv，no，shutdown,,reboot，mkdir,touch，echo等命令

2. 创建组织结构，按照部门进行划分，比如服务器运维部、网络管理部、

3. 创建用户，最好是实名创建

4. 根据组织结构创建资源，比如运维部里面添加服务器，网络管理部里面添加网络设备

5. 添加岗位：运维工程师、网络工程师。将服务器绑定到运维工程师，将网络设备绑定到网络工程师。

6. 回到用户管理，给用户添加到相应的岗位

2.7部署示例

1、创建策略policry_audit，不允许rm命令的使用。

2、创建组织结构：服务器运维部、网络管理部

3、在组织结构里面创建用户：在服务器运维部门里面创建张三、李四；在网络管理部门里面创建小明和小芳。

4、添加资源：在组织结构里面添加资源

5、添加岗位：运维工程师（普通）、运维工程师（超级）。网络工程师（普通），网络工程师（超级）。将服务器绑定到运维工程师，将网络设备绑定到网络工程师。

6、回到用户管理，给用户添加到相应的岗位

三、审计功能

3.1行为审计

在“报表审计”的“行为审计"功能里面即可以对用户的操作进行回放

3.2内部审计

在“报表审计”的“管理审计"功能，可以看到什么用户在什么时间登录了哪些主机，模块上方还可以选择。

四、计划管理

计划管理可以定期同步资源账号和定期修改资源账号口令；

使用计划管理的前提（Linux资源和windows资源都需要输入管理员账号和口令，windows需要安装appagent插件，账号类型为接管账号）

五、策略管理

”字符命令“，通过此策略可以规定不能通过命令行使用哪些命令，制定完成之后再将此策略绑定给某个用户，当这个用户通过命令行登录某台通过命令行操作的设备时就会受这条策略的控制。比如，不允许张三用户使用rm命令，那么张三登录命令行操作时使用rm命令就会被阻断！

”时间策略“，这个时间策略大家一看就明白，就是规定哪些用户在哪些时间可以或者不可以访问某些资源。

“ftp控制策略”，就是规定客户通过FTP登录时是否可以上传/下载/删除/修改文件

”地址策略“，这个策略就是用户可以登录哪些IP主机或范围

”访问锁定策略“，就是规定密码输错多少次后会被锁定，锁定多少时间

”口令策略“就是规定密码复杂度

六、证书认证管理

超级管理员登录之后----自维护----生成证书

保存证书到本地并导入证书，导入密码默认是123456

配置管理---认证配置--证书配置

七、高级配置

7、1堡垒机端

建立应用发布服务器

建立账号：引账号必须是应用发布器里面存在的用户，是好是用administrator

建立B/S资源：

7.2应用发布服务器端

建立与堡垒机与之对着的账号

还有C:channel0文件的配置，指向堡垒机的地址

(D:/%E6%9C%89%E9%81%93%E4%BA%91%E5%85%83%E6%95%B0%E6%8D%AE/qqEA3569124915ABD8E818DCAAA52D5C9B/3f3b18d49a824fb28a0aaeb6f5986df7/attachment.png)

八、遇到的问题

1、堡垒机老是掉线

怀疑IP地址冲突，一直ping目标主机，然后将其拿掉，如还通，则说明有冲突！

2、IE浏览器导致无法显示登录验证码

更换浏览器，谷歌

3、登录“应用发布服务器”时，蓝屏--注销--退出

原因是应用发布服务器与堡垒机用户不一致，必须保证，在堡垒机上建立的账户在应用发布服务器存在。