运维安全审计系统HAC运维管理员使用手册样本

运维安全审计系统（HAC）运维管理员手册广州江南科友科技股份有限公司3月版权声明本手册中涉及任何文字论述、文档格式、插图、照片、办法、过程等所有内容版权属于广州江南科友科技股份有限公司所有。未经广州江南科友科技股份有限公司允许，不得擅自拷贝、传播、复制、泄露或复写本文档所有或某些内容。本手册中信息受中华人民共和国知识产权法和国际公约保护。版权所有，翻版必究©目录1 前言 31.1 概述 31.2 阅读阐明 31.3 合用版本 31.4 使用环境 32 准备工作 42.1 拟定顾客 42.2 拟定访问服务器合同 42.3 拟定自动登录帐户 53 初次登陆 64 顾客管理 85 顾客组管理 126 资源管理 146.1 资源管理 146.2 操作系统配备 176.3 AD域资源配备 207 资源组管理 248 授权管理 268.1 授权 268.2 设备帐户分派 288.3 告警 299 规则管理 3310 应用发布 3510.1 VDH添加、删除 3510.2 VDH监控 3610.3 VDH应用安装 3810.4 VDH应用配备 3811 运维配备 4212 技术支持 44前言概述本文档为运维安全审计系统运维管理员使用手册，是运维管理员使用HAC操作指南。阅读阐明本手册包括运维管理员所有寻常操作，重要是与运维有关操作。包括如何添加顾客（组），如何添加资源（组），如何给顾客进行授权，并且分派该顾客能自动登录使用帐户，以及定义应用发布，如何对运维方面配备进行设立。合用版本本手册，合用于3.6E发布版。使用环境HAC运维管理员使用WEB登录方式作为顾客界面。HAC运维管理员，可以使用MicrosoftInternetExplore或以其为内核其她浏览器，因某些控件兼容问题，如果您使用是IE8浏览器，请在兼容模式下进行运营。准备工作拟定顾客即拟定运维人员顾客名、授权信息（重要是指某运维人员可以通过哪些合同访问哪些核心服务器或网络设备）。拟定访问服务器合同该内容是准备工作重点，重要是拟定核心服务器提供何种类型运维合同供运维终端访问，即拟定运维终端使用Telnet、SSH、FTP、SFTP、RDP、HTTP、HTTPS、AS400、XWIN和VNC哪些合同、端口去访问核心服务器进行寻常运营维护操作。运维合同HACIP及服务端口真实主机IP及服务端口备注Telnet63:233:23LinuxSSH63:23:22LinuxFTP63:2:21WindowsSFTP63:23:22LinuxRdp63:33891:3389WindowsVNC63:5909:5901LinuxXWIN63:70009:7000LinuxHTTP63:801LinuxHTTPS63:44354LinuxPlsql63:1WindowsAS40063:2310Others拟定自动登录帐户该内容是为运维顾客进行自动登录（SSO）做配备，重要是拟定核心服务器提供后台登录帐户可以由哪个运维顾客使用。如果，您所在公司有独立口令管理员，则帐户分派工作需要在其为设备创立设备帐户后再进行帐户分派。初次登陆用IE浏览器访问：https://HAC_IP/admin；访问过程中，如果是IE7/8，会浮现证书安全警告等信息：选取“继续浏览此网站”，进入登陆页面。顾客名和密码使用系统管理员创立顾客登录，如果是令牌模式管理员，或证书认证管理员，请不勾选“口令认证”。如下以口令认证顾客登录为例进行阐明：运维管理员登录HAC系统，如下是登录首页：首页内容为：当前日期、上次登录时间及登录IP、近来10次操作记录。操作记录包括操作时间、操作客户IP、操作功能模块以及操作内容。为了安全性考虑，建议静态口令顾客登录后，点击页面右上角“修改密码”，对密码进行更新。顾客管理在顾客管理模块中，可以对运维顾客帐户进行管理，实现对其添加、删除、修改和迅速查找功能，可以实现顾客批量导入、导出功能，在后台设备已经定义状况下，可觉得顾客直接进行授权。添加顾客详细配备环节如下：选取“运维管理\顾客管理”，点击“添加”按钮，浮现如下配备页面：顾客名：定义运维人员顾客名，格式由数字、英文、下划线、中杠线、点构成，必要以数字或字母开头；（注：不支持中文）[必选项]认证方式：HAC支持六种认证方式，涉及口令认证、令牌认证、证书认证、LDAP认证、AD域认证、Radius认证，默以为口令认证；当认证方式为口令认证时，页面如上图所示，有口令方略、密码强度、密码、确认密码、密码有效期等项需要设立。口令方略：涉及手工配备口令和自动生成（邮件告知）口令；手工配备密码可以直接在下面密码、确认密码框中输入顾客密码；密码强度：系统会依照密码强度规则自动检测顾客输入密码安全强度，密码强度由系统管理员进行全局设立；密码/确认密码：不限字符，但不能设立空格SPACE键；[必选项]密码有效期：限制顾客密码在有效期范畴内有效；自动生成密码，规定“邮箱地址”为必填项，系统生成密码发到该邮箱地址中。页面显示如下：注：口令方略中“自动生成（邮件告知）”，只有在“系统管理/全局配备”中“邮件服务器”配备了之后才会浮现。当认证方式为令牌认证时，页面如下图所示：令牌认证：使用动态口令认证方式（详细参见《运维安全审计系统（HAC）动态令牌使用手册》当认证方式为证书认证时，页面如下图所示，证书名为必填项，可以对证书有效期进行设立。证书认证：使用证书认证方式（详细参见《运维安全审计系统（HAC）科友key使用手册》）；LDAP认证：使用LDAP认证方式进行认证；AD域认证：使用AD认证方式进行认证；Radius认证：使用Radius认证方式进行认证；姓名：输入相应登录名真实姓名，不限字符；[必选项]手机号码：即运维人员手机号码；[可选项]邮箱地址：即运维人员邮箱地址；[可选项]帐号密码更改、密码有效期到期、帐号激活变更告知、认证方式变化时系统会通过手机和邮箱方式告知运维人员。备注：重要是作为描述该顾客附加注释信息；[可选项]顾客组：定义与否将该顾客放置在一种定义好顾客组中；[可选项]可以点击“新建顾客组”打开顾客组添加页面，添加顾客组。状态：此状态表达此顾客与否可用。AS400合同运维顾客：鉴于AS400运维特殊性，在HAC中要使用AS400合同，运维顾客名必要指定为运维顾客客户端IP地址，其她信息如，认证方式可以随便填写。 例如：顾客要在04上做AS400运维，运维顾客名必要为“04” 授权和其她合同授权类似，详细运维过程见运维顾客使用手册。顾客组管理“顾客组管理”与“顾客管理”类似，其重要功能是实现组授权、批量授权。可添加、编辑、删除顾客组。可以按照顾客组名和备注排序。选取“运维管理\顾客组管理”，点击“添加”后右方浮现如下配备界面：顾客组名：填写顾客组名称，可任意填写；[必填项]备注：重要是作为描述该顾客组附加注释信息；[可选项]检索：可以检索顾客，支持模糊查询；顾客列表：可选取属于该顾客组顾客；添加user组，选取其中user_a和user_b顾客，点击“添加”，如下图所示： 添加完毕，在顾客组列表页面会有显示：资源管理在资源管理模块中，实现对被审计核心设备及提供服务合同管理，涉及添加、编辑和删除，提供授权顾客入口，提供资源批量导入和导出功能，同步也提供顾客自定义操作系统功能。资源管理进入“运维管理/资源管理”页面：可通过迅速查找（设备名、操作系统、资源组、合同、IP地址）对资源进行过滤可针对设备名、操作系统、IP地址对资源进行排序可添加、编辑、删除资源可通过设备导入、导出批量添加资源设备导入：即以Excel形式导入设备配备列表。导出列表涉及：设备名、操作系统、IP地址、资源列表等信息；设备导出：即以Excel形式导出设备配备列表。导入列表涉及：设备名、操作系统、IP地址、资源列表等信息。详细设立环节如下：添加资源：点击上图“添加”按钮，浮现如下界面：设备名：定义设备名称，由格式设备名由中文、数字、字母、下划线、中杠线、点构成，长度为3-64位；[必选项]IP地址：输入服务器IP地址；[必选项]检测： 用于检查该设备与HAC与否可达。操作系统：从下拉框中选取该设备相应操作系统；[必选项]（注：如果下拉菜单中操作系统列表不能满足您实际应用需求，请进行“配备”，参见本文第6.2章节）资源：选取远程访问设备时使用合同；[必填项]（注：如果列表中默认合同不能满足实际应用需求，请进行“配备”，参见本文第6.2章节）备注：附加注释区域，不限字符；[可选项]添加资源，如定义一台Redhad_AS4：9，合同为：telnet，如下图： 可在合同相应操作中编辑该合同端口：其中telnet合同与否支持中文，如下；AS400合同，添加如下：此合同比较特殊，需要虚拟网卡，虚拟网卡配备由系统管理员进行配备，详细请参见《运维安全审计系统（HAC）_系统管理员使用手册》第7.4节。 点击“保存”完毕添加。编辑资源：“运维管理/资源管理”页面，点击设备名进入编辑页面，可编辑除了“设备名”之外所有信息：删除资源：“运维管理/资源管理”页面，勾选要删除设备前面复选框，点击“删除”完毕删除。授权：完毕添加，可点击操作中“授权”，则跳转到授权页面，可进行顾客和顾客组授权。操作系统配备可对操作系统类型及合同做配备，进入“运维管理/资源管理”，如上图，添加一种设备，再添加页面点击操作系统背面“配备”，进入到操作系统配备页面：注：操作系统“RaritanKVM”，不可修改，提供应支持力登KVM顾客使用。 通过编辑进行操作系统配备，可添加你所需要页面上不存在操作系统，可删除您不需要操作系统，下面以Redhad_AS4操作系统为例，编辑Redhad_AS4： 操作系统名称：编辑操作系统时不可修改，添操作系统时可通过下拉列表选取您所需要操作系统； 操作系统版本：操作系统相应版本，编辑操作系统时不可修改，添操作系统时可手动输入； 权限提高：具备权限提高操作系统，可勾选此项，例如：Cisco，H3C等设备。这里以Cisco网络设备为例，编辑Cisco： 权限提高命令：填写权限提高命令，如：Cisco为en，H3C为su注意：提高权限完整命令为：enable和super。但是在实际应用中，普通使用简写。如果在这里填写en、su，那么在实际应用过程中，en/ena/enable、su/super等命令都可匹配为权限提高。权限提高口令符：填写当输入“权限提高命令”后，操作系统浮现固定提示符，如：Password：注意：应依照实际状况，确认权限提高口令符中“：”后，与否需要添加一种空格。 阐明：对操作系统描述阐明； 合同：选取操作系统开放合同；服务合同：TELNET、FTP、SFTP、SSH、RDP、AS400、XWIN、VNC、HTTP、HTTPS、VDH应用合同；[必选项] 点击“保存”完毕编辑。AD域资源配备HAC对于AD域资源解决有特殊之处，配备上与其她资源有某些不同。该某些简介AD域控制器、域成员以及域帐户在HAC上配备，如下是详细配备过程：1.添加AD域操作系统因AD域比较特殊，默认配备中无此系统，需要手工配备此操作系统。进入“运维管理/资源管理/操作系统配备”：点击“添加”：勾选rdp合同后，保存。2.添加域控制器进入“运维管理/资源管理/设备列表”，添加域控制器： 设备名：规定是域控制器对的名称；[必填项] 操作系统：选取AD域；3.添加域成员 设备名：可自定义，符合设备名规定即可； 操作系统：选取windows。4.添加域帐户进入“设备口令管理/设备帐户管理/帐户列表”，给域控制器添加帐户user：添加完毕，返回到“设备口令管理/设备帐户管理/帐户列表”可查看到域帐户格式显示为：帐户名+@+域名：授权，过程同普通授权相似；进入“运维管理/授权管理/授权列表”页面，点击域成员设备“帐户分派”，域成员服务器，在帐户分派中显示域控制器帐户名：勾选上后保存，即完毕AD域资源配备。资源组管理“资源组管理”即灵活定义服务器提供运维服务合同组合，以便批量授权。选取“运维管理/资源组管理”，页面如下：可针对资源组名对列表进行排序可通过点击各个合同名对资源组进行编辑，资源组添加，点击上图中“添加”： 资源组名：[必填项] 备注：对资源组描述阐明。 检索：可通过IP段检索您所需要资源，也可以通过资源名模糊匹配来检索您所需资源。 资源列表：可选取资源。点击“添加”完毕资源组添加：资源组编辑，点击资源列表中任意合同或ALL，浮现如下设立界面：资源组删除，在“运维管理/资源组管理”，勾选所要删除资源前面复选框，点击“删除”完毕资源组删除。授权管理授权管理定义了顾客、顾客组可以访问资源、资源组，并且指定了相应授权规则。选取“运维管理/授权管理”，页面如下：可针对顾客名、资源名、授权名对列表进行排序可创立“顾客/组——资源/组——授权规则”授权可通过点击按钮“顾客/组”“资源/组”，查看当前存在授权可通过对资源进行过滤（不对资源组过滤）可对授权资源进行帐户分派可对授权资源进行告警配备授权授权详细配备环节如下：创立授权点击按钮“顾客/组”，在顾客或组中切换，从列表中选取顾客或顾客组点击按钮“资源/组”，在资源或组中切换，从列表中选取资源或资源组在授权规则列表中，选取合用于该顾客规则点击按钮“新建”，创立授权例如：新建一种“test——3_ssh——ANY”授权若创立“单对单”或“组对单”授权，可通过对资源进行过滤点击，可弹出资源过滤窗口过滤某一设备资源在IP地址栏中，填写设备IP那么在资源列表中，显示该IP设备上所有资源在合同栏中，选取任意合同，那么在资源列表中，显示所有该合同资源。同理，在资源组栏中，选取任意资源组，那么在资源列表中，显示该资源组中所有资源以上三种过滤条件可任意组合进行过滤查看当前存在授权初始页面显示“顾客——资源”授权，即单对单授权点击按钮“顾客/组”“资源/组”，可查看其他授权例如：若要查看“顾客——资源组”（即单对组授权），只需单击一下按钮“资源/组”即可设备帐户分派“帐户分派”定义了运维顾客可以访问指定资源时绑定系统帐户，详细环节为，“运维管理/授权管理”。选取相应指定资源操作中“帐户分派”，以3_ssh为例，如下：进入帐户分派页面： 资源名：主机帐户要分派给指定资源； 顾客名：主机帐户要分派给指定顾客； 添加帐户：可选帐户。阐明：root、test两个帐户处在激活状态，处在未激活状态顾客在此不显示。勾选帐户前面复选框，点击“保存”完毕帐户分派。这样，运维顾客就可以使用分派帐户进行运维了。告警进入“运维管理/授权管理/授权列表”页面，可对顾客(组)和资源（组）进行授权，页面如图所示： 点击“告警”按钮，则进入“告警绑定”页面： 点击“添加”按钮，添加告警规则，页面如图所示：TELNET和SSH合同告警配备页面FTP和SFTP合同告警配备页面 规则名：[必填项]； 合同：定义了此规则所合用合同；规则类型：分为黑名单和白名单；黑名单命令：禁止执行此命令；白名单命令：此命令以外其她命令都禁止执行；（注：黑名单和白名单同步存在时，黑名单命令有效，白名单命令失效） 匹配命令：定义了此规则所合用操作命令，按pcre正则进行匹配。参数：命令所附带参数；（ssh和telnet无此项内容） 告警级别：可定义告警相应级别，涉及普通、告警、严重三种； 与否制止：定义与否制止命令执行； 邮件列表：当发生此响应动作时，向邮件列表中地址发送告警邮件； 激活状态：当激活时告警生效。 点击“保存”完毕添加，添加完毕后告警列表页面如图所示： 点击“绑定”按钮，选取“有效帐户级别”，界面如图： 点击“拟定”，则实现帐户绑定，界面显示如图： ssh、telnet、ftp、sftp绑定告警时，都存在“有效帐户级别”，“有效帐户级别”与设备帐户管理中“帐户级别”关于，详细关联请参见《运维安全审计系统（HAC）_口令管理员手册.doc》第5.1节：设备帐户管理。黑、白名单符合正则表达式，可参照如下例子：单个命令，黑白名单都匹配：例如：rm匹配所有具有rm命令各种命令，黑白名单匹配方式不同样：例如：黑名单：cat|vi|pwd匹配具有cat或vi或pwd命令。白名单：pwd,date,cd匹配具有pwd或date或cd命令同个授权绑定黑、白名单，匹配方式如下：只有白名单状况例如：cat阻断；成果：cat命令可执行，其她命令均被阻断；只有黑名单状况例如：rm阻断；成果：rm命令被阻断，其她命令可执行；黑白名单共存状况：例如：白名单cat，黑名单rm，黑名单rm阻断，白名单及其她命令放行。规则管理规则定义了一种对象，阐明访问时间范畴、会话长度、可以访问客户IP地址，系统默认配备了一种所有权限定义。添加规则详细配备环节如下：选取“运维管理\规则管理”，显示如下：可针对规则名、访问日期区间、会话时长、客户IP对列表进行排序可添加授权规则点击“添加”按钮，浮现如下配备页面： 规则名：可任意填写；[必填项]访问日期区间：用于设立访问该资源详细时间，包括如下几种方面： 年/月/日：限制可访问该资源组年、月、日，不填为不限制；[可选项]周：限制可访问该资源一周中某天，如周一~周日（以1~7表达），不填为不限制；[可选项]时间：限制可访问该资源一天中时间段，格式为：hh:mm-hh:mm，如：13:00-23:59，不填为不限制；[可选项] 会话时间：限制可访问该资源持续会话时间，以分为单位，只能为数字范畴为：1-9999，不填为不限制；[可选项] 客户IP：限制可访问该资源IP地址，不填为不限制。[可选项]点击“添加”即可完毕授权规则设立。 可对规则进行编辑、删除操作，如上图，在相应规则操作中选取“编辑”即可对规则进行编辑。勾选规则名前面复选框，点击“删除”完毕规则删除。应用发布在此设立VDH有关信息，可以添加、删除VDH，配备应用合同。进入“运维管理/应用发布”，界面如下VDH名称：填写VDH名称，可随意填写；[必填项]IP地址：填写VDHIP地址；[必填项]应用配备：配备应用合同。VDH添加、删除添加VDH，输入VDH名称和IP，点击背面“添加”按钮完毕添加： VDH添加成功：删除VDH，点击右侧操作下面“删除”完毕删除VDH。VDH监控可通过“VDH监控”，来监控VDH服务器性能状态。点击操作下面“监控”，如下图;任务管理器：可查看有关应用程序、进程等。同：Windows任务管理器；计算机管理：可对VDH主机进行管理；事件查看器：可审核系统事件和存储系统、安全及应用程序日记；性能：可查看VDH主机性能；网络配备：可查看及修改网络配备：信任站点：可添加信任站点：关于：可以查看VDH版本：VDH应用安装VDH应用，必要在后台进行安装，详细环节和注意事项请参见《运维安全审计系统（HAC）_应用发布配备手册》VDH应用配备对VDH应用合同进行配备，可添加、编辑、删除应用合同。进入“运维管理/应用发布”，点击右侧“应用配备”，页面如下：添加应用合同，点击“添加”进入添加页面：合同名称：填写合同名称，由字母、数字、下划线、中杠线、点构成，此名称用于资源管理中显示合同名[必填项]；权限设立：可设立为普通顾客、超级顾客（不推荐使用）；代理转发：勾选此代理则采用数据库代理方式审计，支持Oracle、Informix、DB2三种数据库类型，勾选此项审计平台可审计数据库详细信息。阐明：若“运维管理/运维配备”中若“Imperva数据库审计”为“启动”状态，应用合同不能勾选“代理转发”。程序名称：填写应用程序名称，此名称是在顾客进行运维时桌面显示图标名称；[必填项]程序途径：应用程序在VDH主机上安装途径，当前所有应用程序必要安装在C:\ProgramFiles或C:\Windows目录下。下面以PLSQL为例，PLSQL应用程序途径，从开始菜单/程序/PLSQLDeveloper/PLSQLDeveloper/右键属性：快捷方式中“目的”，便是PLSQL应用程序途径。添加PLSQL合同：自启动：设立定义程序与否运维顾客在登录vdh时，能自动启动；（“我电脑”不容许设立为自动启动）启动参数：即该应用启动时，运营参数。点击“保存”完毕添加。添加完毕，可在资源管理中添加该应用资源，进入“运维管理/资源管理/操作系统配备”。可添加PLSQL合同。运维配备“运维配备”提供运维有关设立，涉及