新建命令控制策略
命令控制策略用于控制用户访问资源的关键操作权限,实现Linux主机运维操作的细粒度控制。
针对SSH和Telnet字符协议主机,根据管理员配置的策略限制,Guacd代理对用户运维过程中执行的命令进行审计和过滤,并返回审计的命令、过滤结果和命令返回的内容,用于会话操作记录、动态授权、断开连接等动作。
命令控制策略支持以下功能项:
- 支持按策略列表页策略排序区分优先级,排序越靠前优先级越高。
- 支持控制允许执行、拒绝执行、断开连接、动态授权四种命令动作。
- 允许执行:触发该策略规则后,放行命令操作。默认允许执行所有操作。
- 拒绝执行:触发该策略规则后,拒绝执行该命令,界面提示“命令“xxx”已被拦截”。
- 断开连接:触发该策略规则后,拒绝执行该命令,断开会话连接,界面提示“本次连接已被管理员强制断开!”
- 动态授权:触发该策略规则后,拒绝执行该命令,界面提示“命令“xxx”已被拦截,请提交命令授权工单申请动态授权”,同时生成命令授权工单。用户需提交工单,并审核通过后,才能继续执行该命令。
约束限制
仅SSH和Telnet协议类型的Linux主机,支持命令控制策略设置操作细粒度控制。
前提条件
已获取“命令控制策略”模块操作权限。
新建命令控制策略
- 登录堡垒机系统。
- 选择
,进入命令控制策略列表页面。图1 策略列表页面
- 单击“新建”,弹出新建策略窗口。
选择一个策略,单击
,亦可新建命令控制策略。配置完成后,在已创建的策略前新建一个策略。 - 配置策略基本信息。
图2 配置策略基本信息
表1 策略基本信息参数说明 参数
说明
策略名称
自定义的命令控制策略名称,系统内“策略名称”不能重复。
执行动作
选择策略控制用户的执行动作。
包括“断开连接”、“拒绝执行”、“动态授权”、“允许执行”。
- 断开连接:当会话执行策略生效的命令时,直接断开会话。
- 拒绝执行:当会话执行策略生效的命令时,直接拒绝命令的执行。
- 动态授权:当会话执行策略生效的命令时,直接拒绝命令的执行,需要向管理员提交审批,管理员通过之后才能执行。
- 允许执行:当会话执行策略生效的命令时,允许执行。
有效期
策略生效时间和策略的失效时间。
时段限制
限制策略的生效时间段。
- 单击“下一步”,关联命令或命令集。
- 单击“下一步”,关联用户或用户组。
- 当用户组关联策略后,新用户加入到用户组中会自动继承用户组的策略权限。
- 关联资源账户或账户组,选择已创建资源账户或账户组。
- 当账户组关联策略后,新账户加入到账户组中会自动赋予账户组的策略权限。
- 单击“确定”,返回策略列表页面,查看新建的命令控制策略。
用户在运维过程中,触发策略规则,即会被限制相关操作。
“关联用户”和“关联用户组”中用户需提交命令授权工单权限,即已配置拥有命令授权工单权限的“角色”。否则用户登录系统后无法查看命令授权工单模块,不能提交工单获取权限。
后续管理
命令控制策略创建完成后,可在策略列表页面,管理已创建策略,包括管理关联用户或资源、删除策略、启停策略、策略排序等。
- 若需补充关联用户或资源,可单击“关联”,快速关联用户、用户组、资源账户、账户组。
- 若需删除策略,可选择目标策略,单击“删除”,立即删除策略。
- 若需禁用策略授权,可勾选一个或多个“已启用”状态的策略,单击“禁用”,策略状态变更为“已禁用”,策略授权立即失效。
- 若需排序策略优先等级,可选中策略行上下拖动策略,改变策略排序。