阿里云堡垒机搭建

最新推荐文章于 2023-08-28 13:53:46 发布
最新推荐文章于 2023-08-28 13:53:46 发布
阅读量4.4k 收藏 10
点赞数
分类专栏: Linux 文章标签: 堡垒机
本文介绍云盾堡垒机的配置与使用。购买实例后,需进行启用、接入方式选择、资产同步等配置,还可设置端口、凭据、用户、授权组等。同时支持双因子认证。此外,还说明了审计查询操作,可查看用户会话详细信息、实时会话、录像回放及指令查询。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本文介绍了如何配置、使用云盾堡垒机,帮助您快速熟悉产品。

在购买云盾堡垒机实例后,您需要进行如下配置操作:

  1. 登录云盾云堡垒机控制台,选择您已购买的堡垒机实例,单击启用 ,启用堡垒机,具体操作请参考网络配置 。

  2. 启用堡垒机实例后,单击管理

  3. 选择内网接入公网接入,即通过内网还是公网连接云盾堡垒机 Web 管理页面。

  4. 在云盾堡垒机Web管理页面中,定位到资产 > 服务器页面,单击页面右上角的同步阿里云ECS

  5. 在 同步阿里云ECS 对话框中,勾选您想要加入堡垒机实例进行管理的云服务器,单击 加入云堡垒机

    说明: 如果您的服务器使用的端口不是默认的端口(如 SSH 不是默认 22 端口,或 RDP 不是默认 3389 端口),或者您需要指定堡垒机实例连接的云服务器资产是通过公网 IP 还是内网 IP,您可通过以下两种方式进行配置:

    • 定位到资产 > 服务器页面,勾选需要修改的服务器,单击服务器列表下方的修改端口 及配置连接IP进行修改。

    • 定位到系统 > 系统设置 页面,进行运维端口及运维连接 IP 的全局设置,单击保存修改后生效。

      说明: 如果您通过此方式进行全局设置,所有服务器都将使用该配置方式,且服务器单独的配置修改不生效。

  6. 定位到资产 > 凭据页面,单击新建凭据

  7. 在新建凭据对话框中,输入名称、登录名、凭据类型、密码,单击确定

    说明: 关于凭据的作用,请参考术语介绍

  8. 定位到用户 > 用户管理页面,单击新建本地用户

    说明: 更多新建用户的操作,请参考用户管理

  9. 在新建用户对话框中,输入手机号码、密码、邮件、姓名,单击确定

    说明: 您输入的手机号码就是运维登录的用户名。

  10. 定位到授权 > 授权组页面,单击右上角的新建授权组。在弹出的对话框中,输入授权组名称,单击确定

  11. 单击已创建的授权组中服务器/服务器组用户凭据 、控制策略下方的文字,可将堡垒机的用户、服务器、凭据绑定在一起,并配置相应的控制策略。

    说明: 其中服务器和凭据要对应,否则可能导致无法登录。

  12. 如果您希望堡垒机用户在通过 SSH 或 RDP 协议方式登录堡垒机时需要使用密码 + 短信验证码的双因子认证方式,可在系统 > 系统设置页面中勾选双因子认证选项,并单击保存修改

审计查询操作 {#section_mfd_skm_xdb .section}

当用户以堡垒机用户的身份,通过 SSH、RDP、或 SFTP 协议方式登录云盾堡垒机并对已授权服务器进行运维操作时,您可在云盾堡垒机 Web 管理页面中查看该用户会话的详细信息。

说明: 用户登录云盾堡垒机时,使用的用户名即为之前设定的用户手机号码。

关于如何登录堡垒机进行系统运维,请参考:

当用户登录堡垒机后对已授权服务器进行运维操作时,您可在审计 > 实时会话页面查看该用户的实时会话情况。单击查看可以对该会话进行监控,也可以单击切断连结直接中断该实时会话。

当用户的会话连接断开后,您可在审计 > 录像回放页面查看该用户的会话情况,单击播放查看该会话执行的操作。

您也可以在审计 > 指令查询页面,查看用户会话中输入并执行了哪些指令。

说明: 此功能仅针对已授权服务器上执行的命令行操作。

本文转载于阿里云官网  

一个20人的小公司,需要上堡垒机吗?
网络技术联盟站
06-09 125
堡垒机(Bastion Host),是一种位于企业内网和外部网络之间的安全审计设备。它的核心作用,总结起来只有两句话:✅统一账号认证,防止非法登录;✅全程记录操作行为,防止“内鬼作案”和误操作。多用户统一认证(避免共享 root/管理员密码)操作命令审计(录屏+命令记录)权限细粒度分配(谁可以操作哪些服务器)自动报警(高危命令、异常行为)防止“后门账号”潜伏“堡垒机”=公司内部服务器的“监控摄像头+门禁系统+报警器”。尤其当公司内有多名运维人员、外包人员或者上资源混杂。
使用Royal TSX通过阿里云搭建属于自己的linux主机(配合Python和Anaconda的安装)
shenhao-stu的博客
08-01 1796
欢迎来到shenhao的AI +大数据技术之旅blog-Royal TSX的配置 在这一篇文章中,我讲从安装到配置使用SSH以及STFP进行详细的说明。同时,会对Linux系统上安装python以及anaconda的详细步骤进行阐述。最终将配置一个pytorch环境作为最终的案例。 安装Royal TSX 在 Windows 上好用的 shell 工具可能要数 xshell,但xshell并没有开发 mac 版本,所以想和远程服务器SSH连接可能要用macOS自带的终端 terminal 或者 iTerm2
阿里云——运维安全中心(堡垒机
aliyunduoduo的博客
12-28 1921
运维安全中心(堡垒机)用于集中管理资产权限,全程监控操作行为,实时还原运维场景,保障端运维行为身份可鉴别、权限可管控、操作可审计,解决“众多资产难管理”、“运维职责权限不清晰”以及“运维事件难追溯”等问题。作为服务器资源的统一访问入口,运维人员通过一站式登录,运维所有业务资产,便于资产统一管理。 同时,支持资产运维免登录,对账号、密码进行统一托管,解决账号、密码过多难记忆问题。细粒度的用户权限划分,在最小化权限的基础上,实现最灵活配置控制,让“正确的人”只获取“正确的权限”做“正确的事”,并对越权行为、高
堡垒机-麒麟堡垒机安装过程
weixin_33928137的博客
05-04 535
1.1系统安装1.安装条件,系统必须至少有二块网卡,系统硬件为:Intel64位CPU、4G内存(虚机与实体机都可以)2.插入光驱进行启动,到了开机界面直接在installblj处按回车即可以进行安装系统会自动完成安装。如果使用笔记本进行虚机安装,先选择installPcvm,方式使用500MSWAP,默认安装方式使用32GSWAP,这几个安装方式主要就...
阿里云堡垒机V3版重磅发布,和运维失误say no!
weixin_34232744的博客
11-05 289
近些年,网络安全事件频发,企业不仅要抵御外部攻击,还要防止内部管理员因操作失误、恶意操作、越权操作等问题而卷入数据泄露、运维事故的漩涡。 前段时间,某酒店集团数据泄露引起轩然大波,泄露的数据中包含了用户姓名、手机号、邮箱、身份证号等多项信息。卖家对这个约5亿条数据打包出售价格为8比特币或520门罗币。 而关于此次信息泄露事件的原因,未有定论。据悉,由于集...
堡垒机阿里云安装包安装手册
choubi6023的博客
07-04 439
堡垒机阿里云安装包安装手册 一.麒麟开源堡垒机安装初始步骤 在阿里云上建立CentOS 7.1版本的虚机。 如果是在自己服务器上装的centos 7.1版本,只需要用最小安装即可(不要选择其它安装包) 二.麒麟开源堡垒机安装包使用: 麒麟开源堡垒机安装包要...
堡垒服务器,服务器堡垒机
weixin_39608394的博客
07-29 200
随着企业IT系统的不断发展,网络规模和设备数量迅速扩大,日趋复杂的IT系统与不同背景的运维人员的行为,给信息系统安全带来较大风险。而堡垒机就像一个城堡的大门,城堡里的所有建筑就是你不同的业务系统,每个想进入城堡的人都必须经过城堡大门并经过大门守卫的授权。西部数码堡垒机支持通过主流web浏览器、手机APP远程运维服务器,包含主机管理、权限控制、运维审计、账号认证等功能,解决服务器管理混乱、运维...
堡垒机JumpServer(六):内网管理端服务器
我先测了
01-04 1474
背景:公司local推行运维审计系统,通过内网管理阿里云生产环境?本地已经实现jumpserver管理4台物理机、7台虚拟机的方案,并且通过hosts.allow限制规则外不可访问服务器;现在阿里云生产有10台服务器,需要统一管理,也是通过hosts规则限制,再通过阿里云内网跳板机访问其他生产服务器,如出现检查服务器或需要dump日志尤其不方便--需通过xshell等客户端通过跳板机ssh跳转、切换及密码管理;当下local已经对现有服务器进行妥善管理,现面向阿里云生产环境推行。 1、jumpser.
Centos7虚拟机安装Jumpserver堡垒机详解
weixin_40930677的博客
09-29 2981
@[Centos7虚拟机安装Jumpserver堡垒机详解] 官方文档: https://docs.jumpserver.org/zh/1.4.8/setup_by_centos7.html 1.环境声明 (真机操作可忽略此步) 虚拟机 Centos 版本(全新 centos7 虚拟机): [root@localhost ~]# cat /etc/redhat-release CentOS Li...
阿里云服务器与堡垒机搭建Oracle数据库(配置多个实例)以及数据库导入、导出
bojikeqian的博客
12-08 1527
很少配置数据库服务器吧 第一个oracle数据库安装的时候还安装成了桌面类数据库哈哈 这几次踩坑踩了也不少 个人感觉重要的就是搭配好oracle服务器之后配置本地服务与暴露端口。 首先服务器必须要去平台控制中心配置暴露端口号,其他的在配置出入站规则,记得看你的防火墙状态。 以阿里云为例 服务器ES--->安全组添加1521端口号。(我配了n遍oracle配置以及出入站规则,后来要不是看别人得博客,我顺嘴问了一句项目经理,不然还特么不知道是阿里云服务器。) oracle安装好之后,需要暴露几个
堡垒机的作用_阿里云堡垒机详解
weixin_39962675的博客
12-20 1118
阿里云堡垒机基于协议正向代理实现,对SSH、Windows远程桌面、SFTP等常见运维协议的 数据流进行全程记录,再通过协议数据流重组的方式进行录像回放,达到运维审计的目的。堡垒机优势审计合规满足《萨班斯法案》、金融监管、《等级保护》的审计要求高效易用管理界面简洁易用,可快捷同步当前帐号中的ECS列表多协议支持支持SSH、Windows远程桌面、SFTP等常见运维协议追溯回放追溯运维操作的故障,...
堡垒机阿里云双机部署方案
choubi6023的博客
07-06 973
1 概述 1.1 麒麟开源堡垒机方案背景 阿里云系统中,非VPC网络用户无法对系统IP进行修改增加,因此堡垒机双机模式无法应用在阿里云非VPC用户中。 1.2 麒麟开源堡垒机方案内容 本方案探讨使用DNS负载均衡和阿里云SLB负载均衡二种方式实现麒麟堡垒机的双机热备,并且将运维用户区分为公司...
阿里云堡垒机配置负载均衡SLB
现实分享-李现鲥的博客
07-04 1974
阿里云堡垒机配置负载均衡LSB 首先你要有一个负载均衡的实例;这个比较简单 ,有新手入门,请自行参考:https://common-buy.aliyun.com/?spm=5176.2020520102.102.d2.311d6ce2EzHrRP&commodityCode=slb#/buy 接下来就是添加后端服务器了: 打来负载均衡实例后如上图,目录点击后端
阿里云堡垒机操作
kangjyu的博客
09-01 9285
阿里云堡垒机虽然有自己的文档,但是没有从场景的角度去考虑,有些地方也说的不详细,这里以实际操作经验来说明(随着阿里平台的改变,部分界面功能可能会有变化)。 本文仅代表本人的经验和看法,读者需要对阿里云有一些操作经验。 1、首先登录阿里云管理平台,在安全()中选择堡垒机(安全管理),选择购买堡垒机。在堡垒机的购买页面,选择端服务器所在的地域、VPC、套餐。(截止本文时堡垒机不能跨地域和VP...
麒麟开源堡垒机阿里云双机部署方案
linziyuan008的博客
06-24 1684
麒麟开源 日  期: 2016-6-22     目录 1 概述 2 1.1 方案背景 2 1.2 方案内容 3 2. 阿里云SLB负载均衡方式 3 2.1 物理环境准备要求 3 2.2 阿里云SLB设置 3 2.3 使用说明 3 3. DNS负载均衡方式 5 2.1 物理环境准备要求 5 2.2 DNS设置 5 2.3 使用说明 5 4  方案比
利用阿里云虚拟机作为跳板机实现内网穿透
weixin_38638945的博客
02-19 3459
大家经常会有这样的需求,公司有一台电脑处在局域网中,没法带回家中,但是又想访问它,或者有个ipad想通过ssh协议在任何地方连上自己的电脑编程,尤其是linux用户,这样的需求经常会有,那如何实现呢?让自己的电脑有个公网ip?理论上可以,但是现实当中是不可能的,其实不难,我们只需要把自己公司的电脑连上阿里云虚拟机(或者任何具有公网ip的机器),然后利用ssh的反向端口转发(ssh -R)就可以轻松实现了。 废话不多说开干: 第一步:实现ssh的公钥登入 mycomp$ ssh-keygen #生成公钥对,三
如何一篇文章读懂阿里云-堡垒机
上善若水~的博客
12-04 1313
今天介绍阿里云重要的安全产品之一的——堡垒机 俗称“跳板机” 一堡垒机主要的功能有以下这么几个: 1高效运维:做运维的同学都知道,堡垒机就是专门给运维同学使用的,我们运维可以通过C/S(客户端服务器架构)登录进堡垒机,然后在堡垒机上再去连接我们需要运维的主机,能用的工具有很多,FTP/SFTP/SecureCRT /Putty 2操作审计:在我们运维同学使用堡垒机期间,我们如果使用的是window...
阿里云堡垒机运维使用方法及一些常用工具
♥鈺♡鉝♡錡♥
06-02 4050
最近刚接触阿里云堡垒机,一开始不熟悉,然后自己进行摸索,为了防止自己忘记和方便大家,遂写个文章。 首先,你要进行购买堡垒机,会有账号和密码。由于我是用的是已经注册好的,所以关于怎么获取报类警不做描述了。(因为我没看这部分) 首先看一下堡垒运维界面 然后进入运维界面下的主机运维界面 下面进入运维工具配置,在这个页面的右上角, 然后对运维工具进行配置, 描述:RDP是正常的远程桌面,也就是电脑自带的mstsc.exe SSH & TELNET & Rlogin:由于我操作的是ubu
IT知识百科:什么是堡垒机
网络技术联盟站
08-28 1705
堡垒机(Bastion Host)是一种位于内部网络和外部网络之间的中间服务器,用于控制和监管对内部服务器的访问。它充当了一座“堡垒”,只允许经过严格认证和授权的用户进行访问,从而确保只有合法用户能够进入内部网络环境。堡垒机通过强大的身份认证和授权机制,确保只有授权用户才能够访问内部服务器。这可以防止未经授权的访问和恶意攻击。堡垒机可以记录所有用户的操作行为,包括登录、命令执行等,以便进行后期审计和监控。这有助于发现异常活动和安全威胁。
怎么远程连接堡垒机
最新发布
03-21
### 如何远程连接堡垒机 要实现对堡垒机的远程连接,通常需要完成以下几个方面的配置和操作: #### 1. 堡垒机安装与初始化 在开始远程连接之前,需先确保堡垒机已成功安装并运行正常。以 JumpServer 和 Teleport 这两款常见的开源堡垒机为例,以下是它们的安装方法。 - **JumpServer 的安装** 使用官方脚本快速部署 JumpServer[^3]: ```bash curl -sSL https://resource.fit2cloud.com/jumpserver/jumpserver/releases/latest/download/quick_start.sh | bash cd /opt/jumpserver-installer-v3.10.3 && ./jmsctl.sh start ``` - **Teleport 的安装** Teleport 是另一款轻量级的开源堡垒机系统,支持多种协议的远程访问管理[^1]: ```bash wget https://get.gravitational.com/teleport-v14.2.7-linux-amd64-bin.tar.gz tar xvzf teleport-v14.2.7-linux-amd64-bin.tar.gz sudo mv teleport /usr/local/bin/ teleport version ``` #### 2. 配置网络环境 为了能够通过公网 IP 或域名访问堡垒机,需确认以下几点: - 确保服务器具有可被外部访问的公网 IP 地址。 - 如果使用的是服务提供商(如 AWS、阿里云),则需要开放安全组中的 SSH/RDP 等端口。 - 对于 Teleport,默认监听的 Web UI 端口号为 `3080`;而 JumpServer 默认使用的 HTTP(S) 端口分别为 `80` 和 `443`。 #### 3. 用户认证设置 无论是哪种类型的堡垒机,在首次登录前都需要创建管理员账户以及定义相应的权限策略。 - **JumpServer 用户管理** 登录到 JumpServer 的 Web 控制台后,进入【资产】-> 【用户】页面新增用户,并分配角色(超级管理员、普通用户等)。同时可以启用双因素验证提高安全性。 - **Teleport 身份验证机制** Teleport 提供了基于证书的身份验证方式,可以通过命令行工具生成客户端身份文件用于后续登陆过程: ```bash tsh login --proxy=<PROXY_HOST>:<PORT> myuser@mycompany.local ``` #### 4. 实现具体协议的支持 根据实际需求选择合适的协议来建立会话链接。 - **SSH 协议** 当目标设备仅允许通过 SSH 访问时,则可通过如下指令发起请求: ```bash ssh user@target_host -p port_number ``` 若是在 Teleport 中执行相同的操作,则替换为专用语法形式: ```bash tsh ssh --proxy=example.teleport.cluster root@db.example.net ``` - **RDP/Telnet/SFTP 等其他协议** 类似地,这些额外的服务也需要单独开启对应的功能模块,并调整参数适配业务场景下的特殊要求。 --- ### 总结 综上所述,从基础架构搭建到最后一步实施完整的远程接入流程涵盖了多个环节的工作内容。每一步都至关重要,任何一个细节上的疏忽都有可能导致整个方案失败或者存在安全隐患风险。因此建议按照既定文档指南逐步推进项目进度的同时也要注重实践积累经验教训不断优化改进现有体系结构设计思路。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值