0.0 运维利器之行云管家3分钟快速实现“局域网”主机运维审计实践指南

原创 陈宝佳  2018-03-27 13:11  阅读 1,584 次 评论 0 条
行云管家,新手有礼

目录


  • 前言
    • 传统堡垒机与行云管家云堡垒机
  • 局域网主机运维审计的实现
    • 注册、创建团队
    • 导入局域网主机
    • 登录本地虚拟机
      • 协同分享
      • 审计录像
  • 运维安全审计主要设置
    • 新增登录凭证
    • 新增关键设备运维策略
      • 创建策略
      • 添加需应用本策略管理的主机
    • 微信绑定
    • 敏感指令的审计
  • 最后
    • 公有云主机和局域网主机在功能上有哪些差异?
    • 行云管家视频课程

前言


传统堡垒机与行云管家云堡垒机

相信从事运维领域并常出席运维技术分享活动的你,对行云管家并不会陌生。 行云管家主办与协办多场运维技术分享会。分享如何用好云计算,云计算资源管理,云计算日常运维等方面问题。

作为业界领先的云计算管理平台,行云管家如何为我们提供从选云上云, 到日常的运维审计与维护,提供妥当的一站式IT运维服务呢?

今天我们就来使用行云管家来快速实现局域网主机的运维审计功能。在这之前我们先了解一下传统堡垒机与云堡垒机的不同之处。

传统堡垒机多为软硬件结合且价格昂贵,其管控能力十分强大,是银行、国营大型企业IT运维团队的首要选项。

但传统堡垒机的缺点是,价格很高动辄数十上百万,而且部署起来困难,需要专业的团队统筹部署,维护成本高。同时对现有网络结构侵入大,软件和硬件升级都不方便,并不怎么适合中小型企业、一般创业企业。

过去买传统堡垒机,需要销售人员多次上门介绍产品。签订合约之后,需要运输、安装、调试、配置……整个流程一般长达数月。但在云上,只需简单三步就能搞定。

现在云堡垒机产品在功能上比较成熟,借助云计算平台,云堡垒机在资源的交互性、易用性、性价比、维护成本、产品自身安全性等方面又得到了进一步提升,尤其解决了以往的单点故障问题。行云管家是免安装、免维护、开箱即用的,支持Windows\Linux等云主机运维审计、指令检索等。

通过使用行云管家,我们能够快速的让不同厂商的公有云、私有云、混合云主机通过登录策略实现快捷登录、全程审计录像 高危指令的拦截审核、远程协作、文件上传下载等功能。

这篇文章将跟大家一起使用行云管家来对“局域网”主机进行管理。

本文使用的行云管家版本: V4.1(日期:2018-03-22)

局域网主机运维审计的实现


注册、创建团队

如已注册请跳过此步骤。

点击查看:运维利器之 行云管家注册、创建团队

导入局域网主机

把本地的虚拟机加入到行云管家进行监控和安全管理。

如果想通过行云管家达到监控局域网主机(本地创建的虚拟机)只需选取一台能够访问公网的主机安装行云管家Proxy,即可将局域网内所有主机接入到行云管家,具体流程如下:

如何创建虚拟机,在此就不再详细阐述。大家如果在安装虚拟机有什么问题可以在文末留言。

虚拟机的推荐

  • Mac OSX 用户使用虚拟机推荐使用 Parallels Desktop App
  • Windows 用户使用虚拟机推荐 VMware App

这里我是使用 Parallels Desktop 创建 2台 Linux-Centos6.x 虚拟机 和 1台 Windows8。

1. 设置局域网名称,点击下一步, 行云管家将生成一段“行云管家Proxy安装脚本”

如何选择 Proxy宿主机?

在安装Proxy之前,我们需要先选择Proxy宿主机,Proxy的宿主机选择需要遵循以下原则:

  • a)宿主机和其它主机处于同一个局域网内,且能够和其它主机通过局域网互通;
  • b)宿主机无需具备公网IP,但必须要能够访问公网;
  • c)宿主机需要将8326/8327端口开放给内网其它主机;
  • d)宿主机拥有大于100M的剩余空间,以及64M以上的可用内存。

2. 复制安装 Proxy 脚本命令

3.连接我们的 Proxy 宿主机(虚拟机)

这里我们选择 10.0.0.5 这台 Liunx-Centos 作为 Proxy宿主机粘贴脚本并回车即可完成一键安装行云管家 Proxy脚本的操作. 

4.Proxy安装完毕之后,我们返回行云管家页面

点击下一步

5.Proxy正在部署,我们可以点击关闭。程序会在后台继续执行

6.点击导入局域网主机

7.检索网段内的主机并导入

我的本地网段是 10.0.0.*

导入主机(输入主机搜索条件)

输入欲导入到行云管家的主机IP规则,点击“检索”,Proxy将会自动将这些IP扫描出来,目前IP规则支持以下格式:

  • a)单个IP:当输入单IP时,不论该IP是否存在,都可以将其导入;
  • b)IP网段:支持扫描Proxy宿主机所在IP段存在哪些主机,用户可自由决定要将哪些主机导入到行云管家;

成功导入3台主机.

登录本地虚拟机

输入登录相关信息随后进行登录

初始化提示

通过行云管家进行登录之后会自动全程录像和根据我们设置的主机关键策略中的敏感命令进行过滤和审计

虚拟键盘

剪切板对于我们粘贴复制更加灵活.

我们可以将我们的电脑上的剪切直接粘贴在对话框里,随后点击发送至云主机,信息便显示在的当前云主机终端上,同时我们亦可以在云主机中框选并点击获取选中文本即可把在云主机终端中选中的内容放置在对话框中。

新增文件夹

上传文件夹、文件、网盘内容

网盘在行云管家中有2种,一种是主机网盘,一种是团队网盘。

谈到网盘不得不提行云管家在文件传输方面的优化以及实现方法的巧妙。

行云管家将主机网盘部署在云主机同一个内网中,充分利用云厂商内网千兆带宽的优势。你只要使用“内网IP访问”(了解如何启用内网访问)访问云主机,便能够获得1030Mbps峰值速率(即1.25MB3.75MB)的“极速文件传输”,无需占用云主机的公网带宽。

下载选项

设置选项

刷新/排序

文件操作记录,比如上传,下载新建都会被记录下来,方便日后审计。

会话详情

会话守护

在行云管家中打开的会话,其生命周期是在云端进行维护的,而在浏览器中显示的窗口仅仅是会话的展示界面。因此,我们可以在云端对会话进行守护,从而对会话的生命周期进行管理, 这样,即便我们在中途离开甚至关闭浏览器或者由于网络环境较差导致连接断开,该会话依然可以在云端持续运行。会话守护默认是关闭的,若希望打开此功能,请在“会话详情/会话设置”中开启。

协同分享

协同分享操作功能非常实用,诸如我们在工作中遇到棘手的问题,远程教学等,都可以使用远程协同来完成。

只需将生成的短连接发给朋友

这里我将在不同的浏览器中打开的链接,以此模拟朋友A协助(点击立即进入,选择登录方式登录即可)

朋友A 需要申请控制,才能操作主机

我们会收到朋友A 的控制请求,同意之后,朋友A 进行操作,如果对方有危险操作,我们亦可以将朋友A 踢出。

停止会话分享

结束当前会话

更多详细信息请点击: 行云管家之什么是会话分享

审计录像

点击想查看审计记录的主机

最下方的会话日志既每次登陆会话的审计视频(在视频中可以查看、搜索所有执行的命令、时间等详细信息

详细使用方式

更多详细信息请点击: 行云管家之什么是运维审计日志

运维安全审计主要设置


新增登录凭证

这个功能类似于记住密码,登录凭证是一种保存某台主机访问凭证的访问方式, 但如果主机数量过多时,为了方便管理,一般我们会为主机设置相同的用户名密码。这种场景下, 我们就需要一种批量为主机设置访问凭证的方法;至此我们便无需重复输入密码。

您可以在主机登录凭证中指定访问主机的用户名、密码(密钥),并关联相应的主机,同时可以指定该登录凭证是仅限自己使用还是分享给团队使用,从而约束并规范当前团队访问主机的接入方式

1、点击主机 --》安全审计 

2、创建登录凭证

登录凭证管理 --》创建新的主机登录凭证 --》选择远程连接方式 --》自定义凭证名称 ——》在主机登录凭证中指定访问主机的用户名、密码(密钥)--》确认

2.1、使用密码登录 

2.2、使用密钥的方式登录

方式1、从本地上传密钥对

方式2、选择使用密钥对

点击了解更多:SSH密钥对管理

新增关键设备运维策略

从安全运维的角度来看,资源授权(既某个成员可以管理某些主机的权限)满足了主机层面的安全管理需求,但是一旦登录到主机后,团队成员便可对该台主机进行任何的操作,如果出现问题,只能通过事后审计来回溯追责。所以我们还需要一种手段,对于一些安全要求更高的主机来讲,即使登录了主机,成员在其中执行的操作,依然处于安全监管之下,对其所执行的高危指令(比如 rm命令)等进行拦截,提前防范运维风险。

在行云管家中,把这些安全性更高的主机叫做关键设备,而将在这些主机上所执行的高危指令的定义以及相应的处理方式叫做关键设备运维策略。

展开功能模块菜单,选择“安全审计/关键设备运维策略”,进入相应的策略功能设置。

审计录像 访问运维策略里的关键设备时,是否强制进行审计录像。这里需要注意,在云账户中也存在该项设置,而一台主机访问时是否强制录像,同时受到它所在的云账户和运维策略的设置影响,只要其中有一个设置为“强制录像”,那么访问时即会进行强制录像;

双因子认证 也叫多重身份认证,开启后,在执行重启主机、停止主机、修改主机操作系统密码、修改管理终端密码、创建主机会话、快照回滚、更换系统盘、初始化磁盘、卸载数据盘、挂载数据盘等操作时,会要求以微信或短信接收验证码的方式进行二次身份确认,确保访问者的身份合法性;

指令审计 指令审计规则:您可以指定该条运维策略是启用指令白名单还是黑名单,如果是白名单,那么将只允许指令规则中的指令执行。如果是黑名单,团队成员在操作中执行的指令只要被敏感指令规则匹配,即执行相应的响应动作。

指令审计角色:敏感指令如果触发的是审核操作,那么将推送审核消息给指令审计角色成员,由他们审核通过后,敏感指令才能在主机上执行;

指令审核超时时长:敏感指令触发审核操作时,如果在超时时长内未处理,指令将因超时被取消执行。

运维时段 指定运维策略中的主机,只有在规定的运维时段内才允许访问,支持多个不连续的时段。

设置完以上内容后,点击“创建”即成功创建一条关键设备运维策略,但要生效,您还需要添加关键设备,只有在关键设备列表中的主机,才会受该条运维的影响。

配置关键设备运维策略

创建策略

运维策略创建成功,是否立即进行设置?--》立即设置

大家在设置策略匹配规则的时候,推荐大家使用正则匹配的方式(因为我们使用完全匹配的方式就会绕过/bin/rm等命令)

添加需应用本策略管理的主机

微信绑定

接下来需要进行微信的绑定,因为我们在新增关键设备运维策略里设置了双因子认证(并选择的是微信认证)。

绑定完毕,再次登录,可以看到双因子验证已经生效。

打开微信(输入验证码即可登录)

敏感指令的审计

行云管家提供体系化的指令审计规则,尤其针对rm 等敏感指令可以进行阻断响应或触发审核操作,审核不通过的敏感指令将会被拦截,以实现安全监管的目的,保障运维操作的合规、安全、可控。

大家在设置策略匹配规则的时候,推荐大家使用正则匹配的方式(因为我们使用完全匹配的方式就会绕过/bin/rm等命令)

如果设置成完全匹配(用户可以绕过 /bin/rm 和 /usr/bin/rm 等命令) 

如果设置成正则匹配只要有 rm 就会被拦截(大家根据自己的需要来设置)

至此,我们便实现了管理局域网内的主机并通过登录策略实现快捷登录、全程审计录像、高危指令的拦截审核、远程协作、文件上传下载等功能。

最后


随意点击一台主机,可以看到还有许多功能没有显示, 私有云不像公有云厂商一样会提供一些 Open Api,这时我们就需要借助行云管家开发的强大 Agent 来帮助私有云主机实现主机监控上报, 命令脚本批量执行, 文件分发与收集等功能。

我们将在下一篇文章中来探讨如何快速的通过行云管家来实现微信监控预警和自动化运维的实现。如果你在使用的过程中有什么想法、建议,可在文末留言或讨论群中一起交流。讨论群大多是运维工程师,大家会一起探讨工作中所遇到的难题和痛点,并相互帮助。希望你也能加入进来。

至此你已经可以使用行云管家管理局域网内主机并实现运维审计等功能。

公有云主机和局域网主机在功能上有哪些差异?

行云管家为用户提供了一站式的IT运维管理功能,其中即有主机监控、堡垒机安全审计、自动化运维等基础运维功能,也有成本等公有云特有的功能,因此,公有云主机和局域网主机在管理功能上来说,存在一些差异.

行云管家视频课程

点击了解更多:行云管家视频课程

本文地址:https://www.cloudbility.com/club/5860.html
关注我们:请关注一下我们的微信公众号:扫描二维码,公众号:cloudbility
版权声明:本文为原创文章,版权归 陈宝佳 所有,欢迎分享本文,转载请保留出处!

发表评论


表情