云堡垒机 CBH
云堡垒机 CBH
- 最新动态
- 功能总览
- 服务公告
- 产品介绍
- 计费说明
- 快速入门
- 用户指南
- 最佳实践
- API参考
- 场景代码示例
-
常见问题
- 高频常见问题
- 产品咨询
- 区域和可用区
- 购买
- License相关
- 备份/变更规格/升级
- 文件传输类
- 计费、到期续费与退订
- CBH系统登录
- 系统用户、资源及策略配置
- 运维资源
- 审计运维日志
-
故障排除
- 登录系统故障
-
登录资源故障
- 通过云堡垒机登录资源异常怎么办?
- 通过Web浏览器登录资源,报Code:T_514错误怎么办?
- 通过Web浏览器登录资源,报Code:T_1006错误怎么办?
- 通过Web浏览器登录资源,报Code:C_515错误怎么办?
- 通过Web浏览器登录资源,报Code:C_519错误怎么办?
- 通过Web浏览器登录主机资源,报Code:C_769错误怎么办?
- 运维资源列表可登录资源不可见怎么办?
- 通过Web浏览器登录资源,不弹出会话界面怎么办?
- 应用运维异常,调用程序失败怎么办?
- SSO工具异常,不能登录数据库资源怎么办?
- 通过堡垒机登录服务器资源,报“并发会话超出许可限制”怎么办?
- 如何解决“mstsc客户端访问服务器资源时,移动界面应用有黑屏”的问题?
- 如何解决“mstsc客户端访问服务器资源时鼠标出现黑块”的问题?
- 访问Windows应用发布器,提示“创建用户失败”怎么办?
-
运维故障
- 登录云堡垒机实例时,收不到短信验证码怎么办?
- 无法添加资源,提示“资源超出许可限制”怎么办?
- 主机资源账户验证不通过怎么办?
- 打开系统数据文件显示乱码怎么办?
- 运维会话经常提示登录超时,断开连接怎么办?
- 应用运维调用PL/SQL客户端,文本乱码了怎么办?
- 登录主机资源后,提示“拒绝请求的会话访问”怎么办?
- 云堡垒机带宽超限了怎么办?
- 通过Web浏览器运维,不能复制文本怎么办?
- 资源运维过程有哪些常见报错?
- 如何解决“运维Windows服务器时使用WPS软件输入中文异常”的问题?
- 堡垒机IP绑定域名,再将域名添加到WAF中进行防护,添加完成后访问不成功怎么处理?
- 云堡垒机配置LTS后状态依然为禁用该怎么处理?
- 应用运维登录后显示本次链接已断开怎么处理?
- 跨版本升级之后证书状态异常怎么处理?
-
SSO运维故障
- DBeaver配置自定义驱动连接GaussDB数据库
- 配置DBeaver连接GaussDB数据库
- mysql协议访问数据库,执行备份数据库表提示1251-lost connection to mysql server during query
- mysql主机运维失败,提示:1251-Client does not support authentication protocol requested by server
- 访问mysql协议主机失败,提示:“2013-Lost connection to MySQL server at ‘waiting for initial communicationpacket system error0”
- Oracle协议访问数据库提示:ORA-12537_TNS_连接关闭
- Oracle协议访问数据提示:ORA-12637_包接收失败
- 主机运维Oracle失败,提示:ora 12170 TNS 连接超时
- 主机运维调用DBeaver连接Postgres数据库失败
- SSO拉起客户端失败,主机运维后提示:运行环境缺少jre
- 视频帮助
- 文档下载
- 通用参考
链接复制成功!
新建命令控制策略
命令控制策略用于控制用户访问资源的关键操作权限,实现Linux主机运维操作的细粒度控制。
针对SSH和Telnet字符协议主机,根据管理员配置的策略限制,Guacd代理对用户运维过程中执行的命令进行审计和过滤,并返回审计的命令、过滤结果和命令返回的内容,用于会话操作记录、动态授权、断开连接等动作。
命令控制策略支持以下功能项:
- 支持按策略列表页策略排序区分优先级,排序越靠前优先级越高。
- 支持控制允许执行、拒绝执行、断开连接、动态授权四种命令动作。
- 允许执行:触发该策略规则后,放行命令操作。默认允许执行所有操作。
- 拒绝执行:触发该策略规则后,拒绝执行该命令,界面提示“命令“xxx”已被拦截”。
- 断开连接:触发该策略规则后,拒绝执行该命令,断开会话连接,界面提示“本次连接已被管理员强制断开!”
- 动态授权:触发该策略规则后,拒绝执行该命令,界面提示“命令“xxx”已被拦截,请提交命令授权工单申请动态授权”,同时生成命令授权工单。用户需提交工单,并审核通过后,才能继续执行该命令。
约束限制
仅SSH和Telnet协议类型的Linux主机,支持命令控制策略设置操作细粒度控制。
前提条件
已获取“命令控制策略”模块操作权限。
新建命令控制策略
- 登录堡垒机系统。
- 选择“策略 > 命令控制策略 > 策略列表”,进入命令控制策略列表页面。
图1 策略列表页面
- 单击“新建”,弹出新建策略窗口。
说明:
选择一个策略,单击“更多 > 插入”,亦可新建命令控制策略。配置完成后,在已创建的策略前新建一个策略。
- 配置策略基本信息。
图2 配置策略基本信息
表1 策略基本信息参数说明 参数
说明
策略名称
自定义的命令控制策略名称,系统内“策略名称”不能重复。
执行动作
选择策略控制用户的执行动作。
包括“断开连接”、“拒绝执行”、“动态授权”、“允许执行”。
- 断开连接:当会话执行策略生效的命令时,直接断开会话。
- 拒绝执行:当会话执行策略生效的命令时,直接拒绝命令的执行。
- 动态授权:当会话执行策略生效的命令时,直接拒绝命令的执行,需要向管理员提交审批,管理员通过之后才能执行。
- 允许执行:当会话执行策略生效的命令时,允许执行。
有效期
策略生效时间和策略的失效时间。
时段限制
限制策略的生效时间段。
- 单击“下一步”,关联命令或命令集。
- 单击“下一步”,关联用户或用户组。
- 当用户组关联策略后,新用户加入到用户组中会自动继承用户组的策略权限。
- 关联资源账户或账户组,选择已创建资源账户或账户组。
- 当账户组关联策略后,新账户加入到账户组中会自动赋予账户组的策略权限。
- 单击“确定”,返回策略列表页面,查看新建的命令控制策略。
用户在运维过程中,触发策略规则,即会被限制相关操作。
说明:
“关联用户”和“关联用户组”中用户需提交命令授权工单权限,即已配置拥有命令授权工单权限的“角色”。否则用户登录系统后无法查看命令授权工单模块,不能提交工单获取权限。
后续管理
命令控制策略创建完成后,可在策略列表页面,管理已创建策略,包括管理关联用户或资源、删除策略、启停策略、策略排序等。
- 若需补充关联用户或资源,可单击“关联”,快速关联用户、用户组、资源账户、账户组。
- 若需删除策略,可选择目标策略,单击“删除”,立即删除策略。
- 若需禁用策略授权,可勾选一个或多个“已启用”状态的策略,单击“禁用”,策略状态变更为“已禁用”,策略授权立即失效。
- 若需排序策略优先等级,可选中策略行上下拖动策略,改变策略排序。
父主题: 命令控制策略