运维安全审计系统HAC运维用户使用手册

运维安全审计系统（运维安全审计系统（HAC） 运维用户使用手册运维用户使用手册运维用户使用手册运维用户使用手册 广州江南科友科技股份有限公司广州江南科友科技股份有限公司 2012 年年 3 月月 版权声明版权声明 本手册中涉及的任何文字叙述、文档格式、插图、照片、方法、过程等所 有内容的版权属于广州江南科友科技股份有限公司所有。未经广州江南科友科 技股份有限公司许可，不得擅自拷贝、传播、复制、泄露或复写本文档的全部 或部分内容。本手册中的信息受中国知识产权法和国际公约保护。 版权所有，翻版必究 目目 录录 1.前言前言.3 1.1概述.3 1.2阅读说明.3 1.3适用版本.3 1.4使用环境.3 2.首次登录首次登录.4 2.1首页.4 2.2浏览器设置.5 2.3运维客户端安装.7 2.4常用运维设置.7 3.运维访问过程运维访问过程.8 4.最近访问最近访问.10 5.基本操作基本操作.11 5.1 双人复核 .11 5.2 复核事例 .12 6.运维协议分类运维协议分类.18 6.1 全部协议 .18 6.2 文本协议 .19 6.3 图形协议 .20 6.4 文件传输 .20 6.5 应用发布 .20 7.运维事例运维事例.22 7.1 文本类运维事例 .22 7.2 文件传输类运维事例 .24 7.3 图形类运维事例 .25 7.4VNC 运维事例.26 7.5 应用发布运维事例 .27 7.6 变更工单运维事件 .30 7.7 其他帐户运维 .30 7.8AS400 运维事例.32 8. 运维管理运维管理.36 8.1参数设置.36 8.2工具下载.37 8.3PORTAL客户端安装.37 9.技术支持技术支持.41 1.1.前言前言 1.1 概述概述 本文档为运维安全审计系统的运维用户的使用手册，作为运维用户的操作指南。 1.2 阅读说明阅读说明 本手册包含运维用户的全部日常操作。首次阅读此文档时，建议您重点阅读第 2 章节。 1.3 适用版本适用版本 本手册，适用于 3.6P 的发布版。 1.4 使用环境使用环境 HAC 的运维用户主要使用 WEB 登录方式作为用户界面（AS400 除外，需要使用专用客户 端工具） 。HAC 的运维用户，可以使用 Microsoft Internet Explore 或以其为内核的其他浏 览器，因部分控件的兼容问题，如果您使用的是 IE 8 浏览器，请在兼容模式下进行运行。 2.2.首次登录首次登录 2.1 首页首页 用 IE 浏览器访问：https:/HAC_IP/， 访问过程中，如果是 IE7/8，会出现证书安全警告等信息： 选择“继续浏览此网站” ，进入登陆页面。 用户名和密码使用运维管理员创建的用户登录，如果是令牌模式管理员，其他外部认证 的用户，请不勾选“口令认证” ，直接输入用户名后“登录” 。 本文以口令认证用户 test 登录过程为例进行讲解，登录成功后首页如下： 首页内容为：当前日期、上次登录时间及登录 IP、最近 10 次运维记录。操作记录包含 操作时间、操作的客户 IP、运维过的资源名称和使用的设备帐户名。为了安全性考虑，首次 登录后建议静态口令用户，点击页面右上角“修改密码” ，对密码进行更新。 2.2 浏览器设置浏览器设置 因为运维过程中，需要调用某些控件，因此需要对浏览器的安全属性进行部分调整。增 加对 HAC 地址的信任，以及允许 ActiveX 控件的运行。按照以下步骤： 1)添加可信任站点：IE 浏览器/“工具”/Internet 选项/ 安全/可信站点 2)针对可信站点，启用 ActiveX 控件的选项：启用“对未标记为可安全执行脚本的 ActiveX 控件初始化和脚本运行；启用“下载未签名的 ActiveX 控件” ；启用“下载 已签名的 ActiveX 控件” ；启用“运行 ActiveX 控件和插件” 。 2.3 运维客户端安装运维客户端安装 登录页面中，运维管理/工具下载/Portal 客户端工具，下载后进行安装，具体操作参见本 文的第 8.2 章节。 2.4 常用运维设置常用运维设置 HAC 提供了根据用户喜好，使用频率高的个性化设置，可以方便用户进行快速执行。比 如图形化运维时，通常使用的后台服务器帐户，是否经常全屏显示或其他分辨率，显示的颜 色深度。具体设置，参见本文的 8.1 节。 3.3.运维访问过程运维访问过程 1)运维拓扑图： 2)非自动登录访问过程： 运维用户登录运维平台； 选择需要访问的资源； 文本协议和文件传输直接输入设备帐户名及密码登录进行实际操作； 图形协议和应用发布可对屏幕分辨率和 RDP 设置做设置，然后再输入设备帐户名及 密码登录进行实际操作。 3)自动登录访问过程，与非自动登录的区别在于，不用手动输入设备帐户名和密码，运维 管理员已分配可用的后台帐户，直接选择帐户即可自动登录。 4)VNC 应用，比较特殊，因登录时不需要用户名，不存在托管功能，运维过程简单，只需 输入密码。 5)http（S）和应用发布，这两种类型应用，HAC 会自动根据运维用户名创建自动登录用 户，运维管理员无需手动创建帐户，也省去了运维用户手动选择用户登录的过程。 VDH 应用发布访问过程应用发布访问过程 登录运维用户操作界面登录运维用户操作界面 选择需要访问的资源，登录选择需要访问的资源，登录VDH服务器：服务器： 在在 VDH 服务器上运行发布的应用服务器上运行发布的应用 登录应用主机，进行实际操作登录应用主机，进行实际操作 6)AS400 协议的特殊性，一般使用 IBM 专用的客户端工具，本文也对运维过程进行了说 明。 4.4.最近访问最近访问 运维协议/“最近访问”页面，显示最近访问的 20 个资源，按照访问时间的先后顺序倒 序排列。您可以从此页面快速的找到常用的资源，进行运维，页面如下： 5.5.基本操作基本操作 5.1 双人复核双人复核 双人复核是指运维用户在做一条会话时，若需要放行告警阻断命令，必须要求其他运 维用户进行审核。复核员实时监控活动会话，控制阻断命令阻断命令最终是否被执行。仅 ssh 和 telnet 协议的 Portal 运维支持双人复核功能。 运维平台/基本操作/双人复核，进入双人复核页面： 检索方式：检索方式：有标准和定制两种，对活动中的会话进行检索。 标准检索，以 ssh 协议为例，协议下拉列表选择 ssh，检索结果如下： 定制检索：支持资源名、IP 地址、运维人员和姓名模糊检索，也可以组合查询， 下面以 IP 地址“3”模糊检索为例： 5.2 复核事例复核事例 以下以 ssh 为例，介绍双人复核相关操作。 运维用户登录运维平台，选择“全部协议/文本协议”： 点击“执行” ，具体页面如下： 复核员的下拉列表中包括全部复核员和其他运维用户 全部复核员：所有运维用户 如果复核员选择“全部复核员” ，所有的运维用户登录运维平台后均能看到复核 申请，若其中一个用户执行复核操作，其他用户不用再复核。 复核员：指定复核员登录运维平台后可看到此复核申请 点击“继续”进行运维操作，如图所示： 注：若点击注：若点击“快速执行快速执行” ，默认的复核员为全部复核员。，默认的复核员为全部复核员。 下面以运维会话指定复核员为 111 用户为例，介绍复核相关操作。 5.2.1 未复核会话未复核会话 执行运维会话，指定的复核员未执行复核会话。当运维会话输入阻断命令时（注：若协 议配置了告警，则会按照配置的黑白名单规则执行阻断或放行命令） ，会直接阻断命令，具 体如下图所示： 创建阻断告警会话，输入阻断命令时，指定复核员未复核该会话，命令被阻断。如下： 回车后可以继续会话操作。 5.2.2 复核会话复核会话 基本操作/双人复核，显示该复核员可以复核的活动会话，具体页面如下： 点击“复核” ，进入复核窗口，当运维会话输入阻断命令，如：ls，则提示等待复核员的 批准，如图所示： 图表 1 会话终端 同时，复核员会收到是否允许运维人员执行当前命令的提示， 图表 2 复核终端 若复核员输入“y” ，则表示允许执行该命令，运维会话端显示复核结果并执行命令，同 时复核端显示命令执行结果； 若复核员输入“n” ，则表示阻断命令，运维会话端显示复核结果，并告警阻断。同时复 核端显示阻断结果； 若复核员在超过 120 秒的时间内仍未做出复核操作，则运维会话端阻断当前命令，同时 复核端显示阻断结果。 具体页面可参见下图所示： 图表 3 复核终端 图表 4 会话终端 5.2.3 多次复核多次复核 当运维会话结束时，复核也结束。复核员结束复核会话不会影响运维操作，复核员可对 会话进行多次复核操作，但所有复核操作只能是同一复核员。 6.6. 运维协议分类运维协议分类 6.1 全部协议全部协议 运维协议/“全部协议”页面显示所有用户可以运维的资源。可检索您要运维的资源，可 运维资源，页面如下： 检索方式：检索方式：标准检索和定制检索；默认标准检索。 1）标准检索，以 ssh 协议为例，在“协议”下拉框选择 ssh，检索的结果如下： 2）定制检索，检索方式选择“定制”之后，页面如下： 输入要搜索的资源名或 IP，支持迷糊搜索和组合搜索，以模糊匹配 IP“172.16”为 点击“搜索”搜索如下： 执行：执行：点击“执行”后，可设置登录参数，并进行登录。 快速执行：快速执行：点击“快速执行”，可按照“参数设置”中的参数，直接进行登录。 参数设置详见 8.1 节。 6.2 文本协议文本协议 运维协议/文本协议包含：TELNET、SSH 协议类型的资源 6.3 图形协议图形协议 运维协议/“图形协议”包含：RDP、XWIN、VNC、HTTP、HTTPS 等协议类型的资源 6.4 文件传输文件传输 运维协议/ “文件传输”包括：FTP、SFTP 两个协议类型的资源 6.5 应用发布应用发布 运维协议/ “文件传输”包括由运维管理员定义，由 VDH 设备支持的应用发布程序。如 pcanywhere，plsql 应用。 7.7.运维事例运维事例 因统一使用 Portal 进行运维，各协议运维的过程大致相同，所以会介绍比较典型的几个例子。 7.1 文本类运维事例文本类运维事例 1）登录运维平台，选择“协议运维/文本协议” ，以 telnet 运维为例，ssh 运维类似： 2）点击“执行”： 3）选择可选的设备帐户 root，点击“继续”： 这样，就进入了运维界面。 如果需要支持 telnet 中文输入，登录以上界面后，鼠标右键该工具的标题栏，在弹出的以 下窗口中，将字符集更改为 GB2312，apply 后即可生效。如果还不能支持，请联系运维管理 员确认此 telnet 资源为“支持中文” 。 7.2 文件传输类运维事例文件传输类运维事例 1）运维用户登录运维平台，选择“协议运维/图形协议”以 ftp 为例： 2）点击“执行”： 3）点击“继续”，验证通过，进入真实主机可以进行实际操作： 7.3 图形类运维事例图形类运维事例 RDP 的访问过程与 XWIN 运维类似，登录时，选择服务器帐户。 选择 RDP 资源： 点击“执行”： 设置相关参数后，点击“继续”进入真实服务器进行操作： 7.4VNC 运维事例运维事例 登录运维平台后，选择 VNC 资源： 点击“执行”： 点击“继续”登录到服务器进行操作： 7.5 应用发布运维事例应用发布运维事例 应用发布主要是 VDH 上添加的应用。以下以 PL/SQL 的应用为示例： 访问过程拓扑图： 1)运维用户登录运维平台，选择“协议运维/应用发布” ，如下图： 2)点击“执行”进行运维，如下图： 3)设置登录参数，点击“继续”登录，如下图： 4)成功登陆，可以通过 PLSQl 对 Oracle 数据库进行操作，输入资源数据库的用户名密 码，以及数据源，如下图： 7.6 变更工单运维事件变更工单运维事件 HAC 支持变更工单与运维事件结合，也即运维用户在进行运维操作前，要输入变更工 单和变更事由后方可进行运维。由运维管理员进行全局设置。运维界面类似下图： 输入变更工单号、变更事由之后可进入运维界面： 7.7 其他帐户运维其他帐户运维 运维用户可以使用“其他帐户”进行运维，有两种情况： 1)运维管理员开启了“托管登录开关” ，允许用户使用其他帐户运维； 2)HAC 授权为非自动登录版本，运维用户必须自行输入核心后台服务器的用户名 和密码。 非自动登录版本，登录运维页面，选择资源执行： 继续： 输入设备用户名、密码，通过验证后进入服务器进行操作： 7.8AS400 运维事例运维事例 AS400 协议比较特殊，所以单独对访问过程图进行讲解，IBM CA 客户端的使用方法在 此不再赘述。其具体的访问过程如下： AS400虚拟网卡虚拟网卡IP地址地址 AS400用户标识、用户标识、AS400密码密码 CA 客户端：客户端： 具体过程如下： 1)启动 CA 客户端，系统名称为 HAC 虚拟网卡的 IP 地址，确定。 2)输入 AS400 真实服务器的用户标识和密码，点击“确定”： 3)再次输入用户标识和密码，Enter 键确认： 4)真实主机认证通过后，就可以进行操作： 如果使用 Windows 自带的 cmd 终端访问，则需在 cmd 中直接运行“telnet 虚拟网卡 IP”即可。 8.8. 运维管理运维管理 “运维管理”模块提供设置快速执行参数以及相关软件下载等功能。 8.1 参数设置参数设置 设置快速执行时运维的参数。 资源帐户：资源帐户：设备帐户名，只在帐户已经分配给对应的资源和运维用户的前提下，快速执 行时不用再选择帐户，直接运维。 颜色深度：颜色深度：设置屏幕颜色深度，可选增强色（16 位） （默认） 、256 色、增强色（15 位） 、 真彩色（24 位） ；见下图： （仅对图形协议生效） 屏幕分辨率：屏幕分辨率：设置屏幕分辨率，默认 1028*768，可选其他方案，见下图： （仅对图形协议生效） 8.2 工具下载工具下载 提供 HAC 运维用户配套使用的软件，可直接下载