Logbase_SOM_PD010_运维安全管理系统产品培 训V5.1

LogBase运维安全管理系统培训樊号思福迪信息技术有限公司SAFETYINFORMATIONTECHNOLOGYCO.,LTD运行安全目录Contents概述SAFETYINFORMATIONTECHNOLOGYCO.,LTD运行安全Logbase运维安全管理系统，简称SOM，目前业内普遍使用使用的名称：堡垒机硬件产品，基于Linux系统进行开发，开发和编译环境为Redhat，系统使用了精简化Linux内核。后台数据库：Postgres，用户存储配置，操作日志和回放记录以专用文件形式存储通过串口以及HTTPS方式进行管理概述SAFETYINFORMATIONTECHNOLOGYCO.,LTD运行安全•了解基本的操作系统、网络、数据库概念•了解常见的维护协议：SSH、RDP、VNC……等•掌握Linux系统的基本操作需要掌握的前期技术SAFETYINFORMATIONTECHNOLOGYCO.,LTD运行安全目录Contents安装及初始化配置2SAFETYINFORMATIONTECHNOLOGYCO.,LTD运行安全独立部署单臂部署模式使用一个独立IP双臂部署模式使用两个IP适合公网-内网部署SAFETYINFORMATIONTECHNOLOGYCO.,LTD运行安全双机部署双机模式可以选择内部存储或或者外部存储，网卡绑定：虚拟IPHA：双机切换DRBD：数据同步SAFETYINFORMATIONTECHNOLOGYCO.,LTD运行安全双机部署双机共用外部存储模式：•外部存储需要在供货前时设定好SAFETYINFORMATIONTECHNOLOGYCO.,LTD运行安全初始化设置：串口登录串口登录：•速率:115200•u/p:admin/safetybase•1.网络设置•2.网关设置•3.序列号设置（出厂时已经设置好）•4.日志输出配置（保留默认配置即可）•5.设备底层管理功能•6.重置admin密码•0.退出SAFETYINFORMATIONTECHNOLOGYCO.,LTD运行安全网络设置•1.配置IP地址•2.设置掩码•3.设置网卡是否为监听口(Promisc)•4.设置网口是否为阻断口（block)•5.保存并激活配置•0.退出注意：•监听口和IP口不要设置为同一口•Block可以和IP口配置为同一个口•双机虚拟IP设置,仅在HA模式下有效•网关设置SAFETYINFORMATIONTECHNOLOGYCO.,LTD运行安全设备管理•1.硬盘检测(系统盘、数据盘可用性检查device_maintenance.sh）•2.初始化设备（清除所有数据和配置device_initialize.sh）•3.双机数据重新同步（drdb_repair.sh)•4.网络数据包检测（还在开发中）•5.重做或修复Raid（device_raid.sh)•0.退出SAFETYINFORMATIONTECHNOLOGYCO.,LTD运行安全系统登录safetybaseadmin•支持多种浏览器(chrome、ie、firefox、等）•采用向导式初始化过程SAFETYINFORMATIONTECHNOLOGYCO.,LTD运行安全•超级管理员–admin/safetybase内置•配置管理员–帐号、主机、策略配置•密码管理员–密码策略、接收改密后的密码•审计管理员–查询、回放、报表•系统管理员–系统功能配置•系统审计员–查看系统日志管理员角色说明SAFETYINFORMATIONTECHNOLOGYCO.,LTD运行安全创建管理员管理访问可限制SAFETYINFORMATIONTECHNOLOGYCO.,LTD运行安全安装jre和证书1.请安装设备中提供的jre版本；2.证书下载后安装到“受信任的根证书颁发机构”3.安装完证书后，IE地址栏会变绿SAFETYINFORMATIONTECHNOLOGYCO.,LTD运行安全设置系统认证方式1.默认本地认证；2.安盟、RSA、短信、证书等供货前先说明清楚，需要后台调整SAFETYINFORMATIONTECHNOLOGYCO.,LTD运行安全本地帐户安全策略设置SAFETYINFORMATIONTECHNOLOGYCO.,LTD运行安全目录Contents运维策略配置3SAFETYINFORMATIONTECHNOLOGYCO.,LTD运行安全•运维帐号添加、删除、分组、批量导入运维用户管理一个帐号可被多个管理员管理临时帐号：到期自动停用快速访问菜单SAFETYINFORMATIONTECHNOLOGYCO.,LTD运行安全主机管理快速访问菜单主机列表选中主机的帐号信息SAFETYINFORMATIONTECHNOLOGYCO.,LTD运行安全添加主机改密方式在设备类型中修改支持协议清单SAFETYINFORMATIONTECHNOLOGYCO.,LTD运行安全•不选表示任意帐号，添加后显示为*•选空帐号表示没有帐号，适合某些无帐号的网络设备使用，添加后显示为–•访问速度仅在telnet协议上有用，一般情况保持默认即可；•添加帐号时，密码可填可不填，不填表示在登录时手工输入；•特权帐号、系统模式是用户自动改密功能的；特权帐号添加后显示为红色字帐号添加说明SAFETYINFORMATIONTECHNOLOGYCO.,LTD运行安全设备类型管理•设备类型默认列表中的类型不能删除，但能更改内容；•帐号切换命令、帐号切换提示符号适用于普通帐号执行su、enable后自动代填密码的情况SAFETYINFORMATIONTECHNOLOGYCO.,LTD运行安全主机AD域SAFETYINFORMATIONTECHNOLOGYCO.,LTD运行安全•访问策略–确定运维用户目标服务器访问关系•指令策略–确定运维用户操作内容授权关系访问策略管理SAFETYINFORMATIONTECHNOLOGYCO.,LTD运行安全访问策略三种授权过程均为向导式配置过程按目标主机组授权：会继承组权限不能为单个主机选择授权帐号；按目标主机授权：灵活选择主机和帐号，但不能使用组功能按目标IP授权：适用于粗放型授权，不管目标设备的帐号SAFETYINFORMATIONTECHNOLOGYCO.,LTD运行安全按目标主机组一个人图标表示个人，2个人图标表示组用户名/组名可快速检索；显示全部为主机组SAFETYINFORMATIONTECHNOLOGYCO.,LTD运行安全按组授权帐号为协议-帐号组合方式SAFETYINFORMATIONTECHNOLOGYCO.,LTD运行安全高级设置FTP文件记录：最大占用空间在系统管理中可配置；RDP控制说明：键盘记录如果开启，可能会记录密码内容；启用审批功能设置启用备注功能设置访问时间限制（特定时间、周期性时间、时间集合）客户端访问源IP地址（特定区间、IP集合）SAFETYINFORMATIONTECHNOLOGYCO.,LTD运行安全按主机授权仅仅第二步有区别SAFETYINFORMATIONTECHNOLOGYCO.,LTD运行安全按IP访问授权仅仅第二步有区别不管具体主机和帐号，运维用户必须有目标设备的帐号密码才能访问SAFETYINFORMATIONTECHNOLOGYCO.,LTD运行安全操作授权支持通配符、正则表达式、包含匹配，*注意指令在堡垒机中是包含shell提示符号的；指令策略能够作用于Windows系统，但只能阻断阻断、忽略、审批、告警四种模式SAFETYINFORMATIONTECHNOLOGYCO.,LTD运行安全指令、时间、IP集合指令集、时间集合、IP集合都是在策略中使用的；SAFETYINFORMATIONTECHNOLOGYCO.,LTD运行安全目录Contents运维访问4SAFETYINFORMATIONTECHNOLOGYCO.,LTD运行安全•支持的访问方式–WEB控件访问–菜单方式–直连非认证方式–直连认证方式运维访问概述SAFETYINFORMATIONTECHNOLOGYCO.,LTD运行安全•使用说明–安装jre、证书WEB方式：概述分组具体设备访问选项SAFETYINFORMATIONTECHNOLOGYCO.,LTD运行安全WEB方式：图形协议可以直接双击协议按钮进行访问；密码如果配置主机时未进行输入，则此处可以进行填写；屏幕大小可以自适应浏览器窗口大小；密码、连接设置等信息连接成功一次后会自动记住，下次可以不用输入底层使用的是widnows自带的mstsc控件，实际支持的东西与直接用mstsc一样，包括快捷键SAFETYINFORMATIONTECHNOLOGYCO.,LTD运行安全WEB方式：字符可以调用本地客户端访问，支持工具在顶级菜单“工具”中设定操作界面支持常见的工具按钮：clone会话、调用sftp、复制、粘贴等SAFETYINFORMATIONTECHNOLOGYCO.,LTD运行安全WEB方式：FTPSAFETYINFORMATIONTECHNOLOGYCO.,LTD运行安全WEB访问：数据库SAFETYINFORMATIONTECHNOLOGYCO.,LTD运行安全前置机功能说明客户端堡垒机服务器前置机WEBRDPhttp/mssql/radmin….数据转发，解析、控制前置机采用linuxKVM实现（Kernel-basedVirtualMachine）前置机ACC的作用：把不支持的协议转换成RDP协议，从而实现图形记录还原数据不是由前置机直接到目标服务器的，而是通过堡垒机进行转发的；访问控制，限制连接授权地址之外的IPSQL语句解析SAFETYINFORMATIONTECHNOLOGYCO.,LTD运行安全•哪些客户端可以支持WEB调用？–列表中已有的–如要扩展，这需要程序支持通过指令传递目标IP、用户名、密码•前置机性能如何？–要看具体调用的客户端，不同客户端差距很大•哪些程序适合在前置机上运行？–除了标准支持的协议之外的所有其他协议工具；–密码代填功能不一定能够实现；要实现密码代填必须经过研发开发；特别说明SAFETYINFORMATIONTECHNOLOGYCO.,LTD运行安全菜单方式：图形协议RDP、VNC、X11、所有前置机应用（包括数据库）都是通过mstsc客户端进行菜单访问的默认端口3390，可更改用户名：运维用户密码：运维用户密码SAFETYINFORMATIONTECHNOLOGYCO.,LTD运行安全菜单方式：字符协议RDP、VNC、X11、所有前置机应用都是通过mstsc客户端进行菜单访问的默认端口：222，可更改支持查找功能，支持直接连接服务器功能支持和sshclonesession.SAFETYINFORMATIONTECHNOLOGYCO.,LTD运行安全菜单方式：FTP组、IP、用户名都以FTP目录的形式出现***进到目标服务器后，不能返回上级目录SAFETYINFORMATIONTECHNOLOGYCO.,LTD运行安全直连认证模式运维用户用户名@目标服务器IP[:端口]不同协议不同端口，具体端口见【系统管理】【应用/模块配置】SAFETYINFORMATIONTECHNOLOGYCO.,LTD运行安全•备注模式：–先填写维护目的再进行维护操作•二次审批模式：–访问或操作前需要另外管理员进行审批备注模式及二次审批模式SAFETYINFORMATIONTECHNOLOGYCO.,LTD运行安全目录Contents审计功能5SAFETYINFORMATIONTECHNOLOGYCO.,LTD运行安全实时监控会话监控、操作监控、主机监控、用户监控为不同视角监控，内容一致会话：是指一次访问连接监控操作：具体操作指令监控支持列表的过滤、筛选功能可在列表中直接同步监控、回放、阻断、查看指令SAFETYINFORMATIONTECHNOLOGY