更新时间:2024-08-27 GMT+08:00
分享

新建命令控制策略

命令控制策略用于控制用户访问资源的关键操作权限,实现Linux主机运维操作的细粒度控制。

针对SSH和Telnet字符协议主机,根据管理员配置的策略限制,Guacd代理对用户运维过程中执行的命令进行审计和过滤,并返回审计的命令、过滤结果和命令返回的内容,用于会话操作记录、动态授权、断开连接等动作。

命令控制策略支持以下功能项:

  • 支持按策略列表页策略排序区分优先级,排序越靠前优先级越高。
  • 支持控制允许执行、拒绝执行、断开连接、动态授权四种命令动作。
    • 允许执行:触发该策略规则后,放行命令操作。默认允许执行所有操作。
    • 拒绝执行:触发该策略规则后,拒绝执行该命令,界面提示“命令“xxx”已被拦截”
    • 断开连接:触发该策略规则后,拒绝执行该命令,断开会话连接,界面提示“本次连接已被管理员强制断开!”
    • 动态授权:触发该策略规则后,拒绝执行该命令,界面提示“命令“xxx”已被拦截,请提交命令授权工单申请动态授权”,同时生成命令授权工单。用户需提交工单,并审核通过后,才能继续执行该命令。

约束限制

仅SSH和Telnet协议类型的Linux主机,支持命令控制策略设置操作细粒度控制。

前提条件

已获取“命令控制策略”模块操作权限。

新建命令控制策略

  1. 登录堡垒机系统。
  2. 选择策略 > 命令控制策略 > 策略列表,进入命令控制策略列表页面。

    图1 策略列表页面

  3. 单击“新建”,弹出新建策略窗口。

    选择一个策略,单击更多 > 插入,亦可新建命令控制策略。配置完成后,在已创建的策略前新建一个策略。

  4. 配置策略基本信息。

    图2 配置策略基本信息
    表1 策略基本信息参数说明

    参数

    说明

    策略名称

    自定义的命令控制策略名称,系统内“策略名称”不能重复。

    执行动作

    选择策略控制用户的执行动作。

    包括“断开连接”“拒绝执行”“动态授权”“允许执行”

    • 断开连接:当会话执行策略生效的命令时,直接断开会话。
    • 拒绝执行:当会话执行策略生效的命令时,直接拒绝命令的执行。
    • 动态授权:当会话执行策略生效的命令时,直接拒绝命令的执行,需要向管理员提交审批,管理员通过之后才能执行。
    • 允许执行:当会话执行策略生效的命令时,允许执行。

    有效期

    策略生效时间和策略的失效时间。

    时段限制

    限制策略的生效时间段。

  5. 单击“下一步”,关联命令或命令集。

    • 关联命令:可设置多个命令,每行输入一条命令。详细设置说明请参见自定义关联命令
    • 关联命令集:关联已创建的命令集。详细命令集说明请参见管理命令集

  6. 单击“下一步”,关联用户或用户组。

    • 当用户组关联策略后,新用户加入到用户组中会自动继承用户组的策略权限。

  7. 关联资源账户或账户组,选择已创建资源账户或账户组。

    • 当账户组关联策略后,新账户加入到账户组中会自动赋予账户组的策略权限。

  8. 单击“确定”,返回策略列表页面,查看新建的命令控制策略。

    用户在运维过程中,触发策略规则,即会被限制相关操作。

    “关联用户”“关联用户组”中用户需提交命令授权工单权限,即已配置拥有命令授权工单权限的“角色”。否则用户登录系统后无法查看命令授权工单模块,不能提交工单获取权限。

后续管理

命令控制策略创建完成后,可在策略列表页面,管理已创建策略,包括管理关联用户或资源、删除策略、启停策略、策略排序等。

  • 若需补充关联用户或资源,可单击“关联”,快速关联用户、用户组、资源账户、账户组。
  • 若需删除策略,可选择目标策略,单击“删除”,立即删除策略。
  • 若需禁用策略授权,可勾选一个或多个“已启用”状态的策略,单击“禁用”,策略状态变更为“已禁用”,策略授权立即失效。
  • 若需排序策略优先等级,可选中策略行上下拖动策略,改变策略排序。

相关文档