运维安全管理系统产品培训PPT课件.pptx

LogBase运维安全管理系统培训 樊号思福迪信息技术有限公司 目录Contents Logbase运维安全管理系统 简称SOM 目前业内普遍使用使用的名称 堡垒机硬件产品 基于Linux系统进行开发 开发和编译环境为Redhat 系统使用了精简化Linux内核 后台数据库 Postgres 用户存储配置 操作日志和回放记录以专用文件形式存储通过串口以及HTTPS方式进行管理 概述 了解基本的操作系统 网络 数据库概念了解常见的维护协议 SSH RDP VNC 等掌握Linux系统的基本操作 需要掌握的前期技术 目录Contents 独立部署 单臂部署模式使用一个独立IP 双臂部署模式使用两个IP适合公网 内网部署 双机部署 双机模式可以选择内部存储或或者外部存储 网卡绑定 虚拟IPHA 双机切换DRBD 数据同步 双机部署 双机共用外部存储模式 外部存储需要在供货前时设定好 初始化设置 串口登录 串口登录 速率 115200u p admin safetybase 1 网络设置2 网关设置3 序列号设置 出厂时已经设置好 4 日志输出配置 保留默认配置即可 5 设备底层管理功能6 重置admin密码0 退出 网络设置 1 配置IP地址2 设置掩码3 设置网卡是否为监听口 Promisc 4 设置网口是否为阻断口 block 5 保存并激活配置0 退出注意 监听口和IP口不要设置为同一口Block可以和IP口配置为同一个口 双机虚拟IP设置 仅在HA模式下有效 网关设置 设备管理 1 硬盘检测 系统盘 数据盘可用性检查device maintenance sh 2 初始化设备 清除所有数据和配置device initialize sh 3 双机数据重新同步 drdb repair sh 4 网络数据包检测 还在开发中 5 重做或修复Raid device raid sh 0 退出 系统登录 safetybase admin 支持多种浏览器 chrome ie firefox 等 采用向导式初始化过程 超级管理员admin safetybase内置配置管理员帐号 主机 策略配置密码管理员密码策略 接收改密后的密码审计管理员查询 回放 报表系统管理员系统功能配置系统审计员查看系统日志 管理员角色说明 创建管理员 管理访问可限制 安装jre和证书 1 请安装设备中提供的jre版本 2 证书下载后安装到 受信任的根证书颁发机构 3 安装完证书后 IE地址栏会变绿 设置系统认证方式 1 默认本地认证 2 安盟 RSA 短信 证书等供货前先说明清楚 需要后台调整 本地帐户安全策略设置 目录Contents 运维帐号添加 删除 分组 批量导入 运维用户管理 一个帐号可被多个管理员管理 临时帐号 到期自动停用 快速访问菜单 主机管理 快速访问菜单 主机列表 选中主机的帐号信息 添加主机 改密方式 在设备类型中修改支持协议清单 不选表示任意帐号 添加后显示为 选空帐号表示没有帐号 适合某些无帐号的网络设备使用 添加后显示为 访问速度仅在telnet协议上有用 一般情况保持默认即可 添加帐号时 密码可填可不填 不填表示在登录时手工输入 特权帐号 系统模式是用户自动改密功能的 特权帐号添加后显示为红色字 帐号添加说明 设备类型管理 设备类型默认列表中的类型不能删除 但能更改内容 帐号切换命令 帐号切换提示符号适用于普通帐号执行su enable后自动代填密码的情况 主机AD域 访问策略确定运维用户 目标服务器访问关系指令策略确定运维用户 操作内容授权关系 访问策略管理 访问策略 三种授权过程均为向导式配置过程按目标主机组授权 会继承组权限不能为单个主机选择授权帐号 按目标主机授权 灵活选择主机和帐号 但不能使用组功能按目标IP授权 适用于粗放型授权 不管目标设备的帐号 按目标主机组 一个人图标表示个人 2个人图标表示组用户名 组名可快速检索 显示全部为主机组 按组授权 帐号为协议 帐号组合方式 高级设置 FTP文件记录 最大占用空间在系统管理中可配置 RDP控制说明 键盘记录如果开启 可能会记录密码内容 启用审批功能设置启用备注功能设置访问时间限制 特定时间 周期性时间 时间集合 客户端访问源IP地址 特定区间 IP集合 按主机授权 仅仅第二步有区别 按IP访问授权 仅仅第二步有区别不管具体主机和帐号 运维用户必须有目标设备的帐号密码才能访问 操作授权 支持通配符 正则表达式 包含匹配 注意指令在堡垒机中是包含shell提示符号的 指令策略能够作用于Windows系统 但只能阻断阻断 忽略 审批 告警四种模式 指令 时间 IP集合 指令集 时间集合 IP集合都是在策略中使用的 目录Contents 支持的访问方式WEB控件访问菜单方式直连非认证方式直连认证方式 运维访问概述 使用说明安装jre 证书 WEB方式 概述 分组 具体设备 访问选项 WEB方式 图形协议 可以直接双击协议按钮进行访问 密码如果配置主机时未进行输入 则此处可以进行填写 屏幕大小可以自适应浏览器窗口大小 密码 连接设置等信息连接成功一次后会自动记住 下次可以不用输入底层使用的是widnows自带的mstsc控件 实际支持的东西与直接用mstsc一样 包括快捷键 WEB方式 字符 可以调用本地客户端访问 支持工具在顶级菜单 工具 中设定操作界面支持常见的工具按钮 clone会话 调用sftp 复制 粘贴等 WEB方式 FTP WEB访问 数据库 前置机功能说明 客户端 堡垒机 服务器 前置机 WEB RDP http mssql radmin 数据转发 解析 控制 前置机采用linuxKVM实现 Kernel basedVirtualMachine 前置机ACC的作用 把不支持的协议转换成RDP协议 从而实现图形记录还原数据不是由前置机直接到目标服务器的 而是通过堡垒机进行转发的 访问控制 限制连接授权地址之外的IPSQL语句解析 哪些客户端可以支持WEB调用 列表中已有的如要扩展 这需要程序支持通过指令传递目标IP 用户名 密码前置机性能如何 要看具体调用的客户端 不同客户端差距很大哪些程序适合在前置机上运行 除了标准支持的协议之外的所有其他协议工具 密码代填功能不一定能够实现 要实现密码代填必须经过研发开发 特别说明 菜单方式 图形协议 RDP VNC X11 所有前置机应用 包括数据库 都是通过mstsc客户端进行菜单访问的默认端口3390 可更改用户名 运维用户密码 运维用户密码 菜单方式 字符协议 RDP VNC X11 所有前置机应用都是通过mstsc客户端进行菜单访问的默认端口 222 可更改支持查找功能 支持直接连接服务器功能支持和sshclonesession 菜单方式 FTP 组 IP 用户名都以FTP目录的形式出现 进到目标服务器后 不能返回上级目录 直连认证模式 运维用户用户名 目标服务器IP 端口 不同协议不同端口 具体端口见 系统管理 应用 模块配置 备注模式 先填写维护目的再进行维护操作二次审批模式 访问或操作前需要另外管理员进行审批 备注模式及二次审批模式 目录Contents 实时监控 会话监控 操作监控 主机监控 用户监控为不同视角监控 内容一致会话 是指一次访问连接监控操作 具体操作指令监控支持列表的过滤 筛选功能可在列表中直接同步监控 回放 阻断 查看指令 同步监控与回放功能 控制按钮 进度条 阻断按钮 检索 基本查询 即审计中的指令审计和会话审计 支持二次过滤 重新查询要先清空条件高级查询 支持多条件组合查询查询结果可导出为csv文件查询模板功能查询任务功能特性 高速 有结果立即呈现线性 查询时间随数据量线性变化 报表功能 报表模板配置自动 手工报表生成 目录Contents 系统管理概览 全局策略设置 全局策略优先级大于具体策略 如审批 备注 一旦启用 则无论授权策略如何设定 都生效异常登录告警是指登录运维用户登录堡垒机系统 ACC管理 ACC应用添加过程 软件上传 使用ie浏览器软件安装 使用admin safetybase登录堡垒机菜单模式端口 安装软件添加应用 在ACC管理中添加名称和路径 执行添加的程序无法自动代填用户名 密码 如需代填 则需要研发进行二次开发 模块应用管理 端口可根据应用模式不同按需进行开放 其他默认开放的端口为 443 8080 文件上传 下载 2222 配置备份 可以创建多个配置备份文件 不包含审计记录数据 可在线直接还原 系统升级 版本号类型为BH 版本 发布日期 升级完成后需要重新启动设备 双机模式下需要分别进行升级 目录Contents 密码强度策略