GLA天璣安全運維審計系統使用手冊

.Word資料GLA天璣安全運維審計系統使用手冊版本<2.0>2012年8月北京市國路安信息技術有限公司文檔介紹文檔目的本文檔編寫目的主要是介紹如何配置和使用GLA天璣安全運維審計系統（以下簡稱“運維審計系統”）。通過閱讀本文檔，讀者能夠正確地配置和使用運維審計系統，并利用該系統提供的身份鑒別訪問授權運維主機，并記錄詳細操作日志，保障被運維主機安全。為管理員能夠更快的了解本產品的功能和掌握系統使用方法，撰寫本文檔。本文檔供用戶參考。讀者對象本文檔適用于網絡管理員、系統管理員，以及所有進行設備安裝、調試的工程師、技術支持人員等。產品簡介簡介直接通過b/s界面對遠程設備、主機進行訪問，本地不需留存任何遠程設備、主機的信息。用戶與遠程設備賬戶完全脫離，用戶權限變更只需要對在運維審計系統上的用戶賬戶操作即可，不需要對遠程主機配置做任何改變。可以自動定期修改遠程設備、主機上的賬戶密碼，達到用戶的定期密碼修改需要。可以對批量主機、設備執行批量命令操作。所有操作都有可視化的錄像可供查詢。功能本系統能對登錄用戶進行鑒別，分角色予以不同操作對象，實現對被保護受主機的維護過程可控制、可審計的目標。對于系統管理員，實現對運維資源、資源組，運維用戶、用戶組，運維工具，可用命令，運維授權策略，設備賬戶、單點登錄策略，系統配置，系統管理員配置進行綜合管理；運維人員，可以查看自己可維護的所有設備，并選擇已授權運維工具對該設備進行維護。維護過程受到可用命令限制，并記錄詳細日志，以便審計管理員對其操作進行查看及回放；審計管理員，能實現對審計狀態、審計用戶、審計日志進行查看與管理；審計人員，可以查看系統管理和運維操作日志，并可對運維操作進行回放。環境配置服務器端配置要求將軟硬件一體的運維審計系統，按部署手冊正確部署。客戶端配置要求硬件要求系統要求瀏覽器要求普通PC機WinXPWin7Win2003/2008IE6IE7IE8網絡要求證書要求插件要求網絡暢通安裝國路安公司發布的證書支持flash(flash_player升級到最新版本)支持RDP協議出廠配置網口IP地址網口名稱IP/Subnet備注運維區域連接地址（eth4）10/可管理，提供GLA天璣安全運維審計系統訪問服務資源管理地址(eth5)25可管理帶外管理地址(eth7)27可管理默認用戶及口令用戶名口令證書管理方式備注admin123456系統管理員系統內置用戶auditAdm123456審計管理員系統內置用戶auditor123456審計員系統內置用戶登錄退出操作說明登錄系統在瀏覽器中輸入https://XX.XX.XX.XX（默認10）回車，選擇客戶端已安裝的數字證書，進入到GLA天璣安全運維審計系統用戶登錄界面，如下如所示：圖STYLEREF1\s5SEQ圖\*ARABIC\s11GLA堡壘主機用戶登錄界面輸入正確的用戶名和密碼，點擊【登錄】按鈕，進入堡壘主機操作界面退出系統點擊界面右上角的【退出】按鈕，即可退出。圖STYLEREF1\s5SEQ圖\*ARABIC\s12退出操作系統管理員操作說明操作界面說明一級目錄：資源管理、人員管理、授權管理、系統管理二級目錄：資源管理、運維工具圖STYLEREF1\s6SEQ圖\*ARABIC\s11一級目錄顯示界面圖STYLEREF1\s6SEQ圖\*ARABIC\s12二級目錄顯示界面資源配置該部分功能支持資源（設備）的增、刪、改并以設備為主線，根據不同設備選擇不同的運維工具（支持的協議），根據不同運維工具設置不同的可用命令策略（針對運維工具以黑名單的形式拒絕某些高危操.作的執行，如ssh連接后拒絕“rm”，ftp連接后拒絕“delete”）。資源分級管理：設備信息-運維工具（支持協議） -禁用命令；可用命令（黑名單的試運行）配置運維資源在沒有創建任何資源組的情況下，系統會提示：沒有分組，請先創建資源組，如下圖所示：圖STYLEREF1\s6SEQ圖\*ARABIC\s13沒有創建任何資源組點擊OK,進入增加資源界面，增加資源組圖STYLEREF1\s6SEQ圖\*ARABIC\s14點擊資源組后的【增加】按鈕，彈出添加資源組對話框圖STYLEREF1\s65相關操作：資源組名：輸入字符不超過限制長度和特殊字符備注：非必填項增加資源組名稱后。查看資源列表，資源組增加成功增加資源圖STYLEREF1\s66增加資源界面相關操作：帶*號的為必填項資源名稱：輸入字符不超過限制長度和特殊字符資源IP：通過堡壘主機登錄的服務器IP地址資源類型：通過下拉菜單可選擇主機類型資源組：如果已增加資源組可通過下拉菜單進行選擇審批：此選項是指運維用戶運維時是否需要管理員審批資源描述：非必填項批量導入資源按照指定格式例如：圖STYLEREF1\s67編寫excel文件，批量導入->瀏覽->選擇需要導入的excel文件，點擊導入（注意批量導入資源時，所導入資源資源組必須是存在的）圖STYLEREF1\s682.刪除資源組如果要刪除創建的資源組，光標需選中該資源組，然后點擊【刪除組】按鈕，即可刪除該資源組并且該資源組下的資源一并被刪除。如果要刪除資源，勾選需刪除資源組下的資源，點擊【刪除】按鈕，該資源即被刪除。圖STYLEREF1\s69資源列表界面配置運維工具資源管理運維工具命令列表選擇需要添加命令的工具（如：SSH），點擊右側的【增加新命令】按鈕，輸入需增加的命令和命令描述（非必填項）點擊【增加】按鈕，即可成功增加命令(此項功能是為了用戶授權工具時，設置黑名單，提醒或限制用戶使用某些重要的命令，防止誤操作)圖STYLEREF1\s610增加命令集如：在SSH工具將新增的rm命令添加到command命令集中，勾選rm命令和command命令集，點擊“添加到”，才彈出框中點擊是，就可以將rm命令添加到command命令集中。（此項功能是為了更便捷的添加更多的命令到黑名單）（黑名單作用：提醒或限制用戶使用某些重要的命令，防止誤操作)圖STYLEREF1\s611點擊更多可查看命令集中的命令并可以刪除：圖STYLEREF1\s612增加命令界面選中要刪除的命令如：ls，點擊【刪除】按鈕或【批量刪除】按鈕，即可刪除該命令（刪除此命令之后如果此命令已經加入某個命令集，命令集中同樣會刪除此命令圖STYLEREF1\s613配置運維人員人員管理運維人員列表增加組添加角色圖STYLEREF1\s614增加角色界面增加運維人員如：增加運維用戶test_01（用戶名不要太長，少于6個漢字）認證證書選擇客戶端安裝的證書圖STYLEREF1\s615增加運維人員界面相關操作：用戶名：不能有中文，不能超過限制的字符長度用戶密碼：根據系統管理員配置的密碼復雜度進行設置確認密碼：與上面的用戶密碼一致認證證書：登錄的客戶端需安裝該證書角色：通過下拉菜單進行選擇聯系方式：非必填項備注：非必填項帶*為必填項圖STYLEREF1\s616角色和運維人員列表選擇一個角色下的運維人員，點擊【刪除】按鈕，即可刪除該運維用戶，如果刪除角色，則該角色下創建的運維用戶則移動到【默認角色】下圖STYLEREF1\s617選中角色可對運維用戶采取，禁止登錄堡壘主機和禁止運維的兩種操作，也可以再次激活登錄堡壘主機和運維兩種功能配置授權給角色增加授權圖STYLEREF1\s618授權管理界面選擇資源組：所有的資源組列表指定星期：可勾選全部或其中的一天或多天，若與當前星期不一致，運維用戶則無法登錄指定時間：可勾選全部或輸入開始時間和結束時間（格式需輸入正確），若與當前時間不一致，運維用戶無法登錄成功指定地點：可勾選全部或指定IP（格式為多種形式），若客戶端與指定IP不相符，運維用戶則無法登錄是否試運行：“是”黑名單無效，“否”黑名單有效黑名單：運維工具配置的命令在用戶運維時是不可用點擊【保存權限設置】按鈕即可保存圖STYLEREF1\s619運維用戶受權限限制提示界面系統管理系統管理包括：管理員管理、系統配置、網絡配置、版本信息、系統狀態、審批管理管理員管理對GLA天璣安全運維審計系統管理員進行增、刪、改的操作圖STYLEREF1\s620系統管理員列表管理員姓名：輸入的名稱不超過30個字符用戶密碼：根據密碼復雜度的配置進行設置確認密碼：與用戶密碼輸入一致聯系方式：非必填項證書認證：選擇客戶端已安裝的證書備注：非必填項點擊右下角的【增加】按鈕，可增加多個系統管理員選擇管理員管理列表中已創建了管理員，點擊【修改】按鈕，可修改其姓名、密碼、聯系方式、證書、備注信息選擇已創建的管理員，點擊【刪除】按鈕，即刪除該管理員系統配置系統管理系統配置圖STYLEREF1\s621系統配置界面時間同步：可開啟或關閉。選擇開啟，同步服務器輸入正確的IP地址，同步服務器需開啟ntpd系統服務系統時間：如果開啟時間同步服務器，系統時間輸入框置灰，系統時間無法配置；如果關閉時間同步服務器，可對系統時間進行配置系統超時時間：輸入正整數數字，單位為秒（s）密碼復雜度：分為低、中、高三個等級（低：密碼中至少含有一類字符；中：至少含有兩類字符；高：至少含有三類字符），密碼長度通過下拉菜單進行選擇（5~15），錯誤登錄最大次數：輸入1~5之間的數字，在登錄框中輸入用戶名，連續輸入的密碼錯誤次數與錯誤登錄最大次數設置次數一致，再次登錄后，提示已超過錯誤登錄最大次數，請xx登錄網絡配置對GLA天璣安全運維審計系統服務器網口進行配置，可修改運維區域連接地址、資源管理地址、帶外管理地址圖STYLEREF1\s622網絡配置界面圖STYLEREF1\s623修改網絡配置對話框版本信息該界面顯示硬件版本、固件版本、系統版本、產品型號、產品序列號信息圖STYLEREF1\s624版本信息界面系統狀態查看GLA天璣安全運維審計系統進程數、CPU占有率、內存占有率、硬盤使用率曲線圖圖STYLEREF1\s625系統狀態界面選擇開始時間和結束時間，可查看不同時間的進程數、CPU占有率、內存占有率、硬盤使用率情況具體操作說明具體操作步驟如下：創建資源組和資源，如：資源組名稱為：resources資源：67（資源名稱：resources）、8（資源名稱：resources）圖STYLEREF1\s626資源管理列表創建角色和運維人員，如：角色：運維人員運維人員：test_01圖STYLEREF1\s627角色、運維人員管理列表給角色授權圖STYLEREF1\s628角色授權管理界面ftp工具首先保證67這臺服務器有ftp的服務操作步驟：1.給資源選擇工具。授權管理角色列表增加新授權，選擇資源resources這個資源，選擇ftp工具，保存配置即成功添加工具ftp圖STYLEREF1\s629給資源1配置ftp工具列表界面2.配置單點登錄信息。授權管理角色列表resources資源組，點擊【單點登錄】，在彈出的單點登錄配置信息界面中，選擇需配置的資源，填寫系統用戶名：root，密碼：root123，點擊“X”圖STYLEREF1\s630單點登錄配置信息3.使用運維用戶登錄GLA天璣安全運維審計系統。使用角色運維人員下的運維用戶test_01登錄，選擇67，點擊【進入運維】，(如果資源配置需要審批，會向管理員提出審批，并填寫理由，如果不需審批只需寫完運維理由就可以直接運維)登錄67這臺服務器即可進行相關的操作，在終端上輸入命令bye即可退出登錄界面圖STYLEREF1\s630運維用戶登錄后的資源列表界面圖STYLEREF1\s631登錄后的操作界面圖STYLEREF1\s632正常退出（ｅｘｉｔ）ssh工具首先保證67這臺機器允許遠程ssh連接操作步驟：1.給資源選擇工具。授權管理角色列表增加新授權，選擇資源resources這個資源，選擇ssh工具，保存配置即成功添加工具sshSTYLEREF1\s633給資源2配置ssh工具列表界面2.配置單點登錄信息。授權管理角色列表resources資源組，點擊【單點登錄】，在彈出的單點登錄配置信息界面中，選擇需配置的資源67，填寫系統用戶名：root，密碼：root123，點擊“X”STYLEREF1\s634單點登錄配置信息3.使用運維用戶登錄GLA天璣安全運維審計系統。使用角色運維人員下的運維用戶test_01登錄，選擇67，點擊【進入運維】，(如果資源配置需要審批，會向管理員提出審批，并填寫理由，如果不需審批只需寫完運維理由就可以直接運維)登錄67這臺服務器即可進行相關的操作，在終端上輸入命令exit即可正常退出登錄界面STYLEREF1\s635運維用戶登錄后的資源列表界面STYLEREF1\s636登錄后的操作界面STYLEREF1\s637正常退出rdp工具8這臺機器是windows系統操作步驟：1.給資源選擇工具。授權管理角色列表增加新授權，選擇資源resources這個資源，選擇rdp工具，保存配置即成功添加工具rdpSTYLEREF1\s638給資源3配置rdp工具列表界面2.配置單點登錄信息。授權管理角色列表resources資源組，點擊【單點登錄】，在彈出的單點登錄配置信息界面中，選擇需配置的資源8，填寫系統用戶名：root，密碼：root123，點擊“X”STYLEREF1\s639單點登錄配置信息3.使用運維用戶登錄GLA天璣安全運維審計系統。使用角色運維人員下的運維用戶user登錄，選擇資源3，點擊【進入運維】，(如果資源配置需要審批，會向管理員提出審批，并填寫理由，如果不需審批只需寫完運維理由就可以直接運維)登錄8這臺服務器即可進行相關的操作，點擊斷開，中斷連接后即可退出登錄界面STYLEREF1\s640運維用戶登錄后的資源列表界面STYLEREF1\s641登錄后的操作界面STYLEREF1\s642正常退出telnet工具首先保證67這臺機器啟動了telnet服務操作步驟：1.給資源選擇工具。授權管理角色列表增加新授權，選擇資源resources這個資源，選擇telnet工具，保存配置即成功添加工具telnetSTYLEREF1\s643給資源4配置telnet工具列表界面2.配置單點登錄信息。授權管理角色列表resources資源組，點擊【單點登錄】，在彈出的單點登錄配置信息界面中，選擇需配置的資源67，填寫系統用戶名：root，密碼：root123，點擊“X”STYLEREF1\s644單點登錄配置信息3.使用運維用戶登錄GLA天璣安全運維審計系統。使用角色運維人員下的運維用戶test_01登錄，選擇67，點擊【進入運維】，(如果資源配置需要審批，會向管理員提出審批，并填寫理由，如果不需審批只需寫完運維理由就可以直接運維)登錄67這臺服務器即可進行相關的操作，在終端上輸入命令exit即可正常退出登錄界面STYLEREF1\s645運維用戶登錄后的資源列表界面STYLEREF1\s646登錄后的操作界面STYLEREF1\s647正常退出（ｅｘｉｔ）rlogin工具首先保證0這臺機器允許rlogin連接操作步驟：1.給資源選擇工具。授權管理角色列表增加新授權，選擇資源resources這個資源，選擇rlogin工具，保存配置即成功添加工具rloginSTYLEREF1\s648給資源5配置rlogin工具列表界面配置單點登錄信息。授權管理角色列表resources資源組，點擊【單點登錄】，在彈出的單點登錄配置信息界面中，選擇需配置的資源，填寫系統用戶名：root，密碼：root123，點擊“X”STYLEREF1\s649圖3.使用運維用戶登錄GLA天璣安全運維審計系統。使用角色運維人員下的運維用戶test_01登錄，選擇67，點擊【進入運維】，(如果資源配置需要審批，會向管理員提出審批，并填寫理由，如果不需審批只需寫完運維理由就可以直接運維)登錄67這臺服務器即可進行相關的操作，在終端上輸入命令exit即可正常退出登錄界面STYLEREF1\s650運維用戶登錄后的資源列表界面STYLEREF1\s651登錄后的操作界面STYLEREF1\s652正常退出（ｅｘｉｔ）Firefox工具首先保證8這臺機器有8080端口的應用操作步驟：1.給資源選擇工具。授權管理角色列表增加新授權，選擇資源resources這個資源，選擇Firefox工具，保存配置即成功添加工具FirefoxSTYLEREF1\s653給資源5配置rlogin工具列表界面2.配置單點登錄信息。授權管理角色列表resources資源組，點擊【單點登錄】，Firefox不需要配置單點登錄3.使用運維用戶登錄GLA天璣安全運維審計系統。使用角色運維人員下的運維用戶test_01登錄，選擇8，點擊【進入運維】，(如果資源配置需要審批，會向管理員提出審批，并填寫理由，如果不需審批只需寫完運維理由就可以直接運維)登錄8這臺服務器即可進行相關的操作，在右上角點擊“X”關閉Firefox應用STYLEREF1\s654運維用戶登錄后的資源列表界面STYLEREF1\s655登錄后的操作界面STYLEREF1\s656正常退出（ｅｘｉｔ）審計管理員操作說明用戶管理用戶狀態管理查看審計管理員和審計員的登錄次數、登錄狀態、有效期開始日、有效期結束日、登錄時間、上次登錄時間圖STYLEREF1\s7SEQ圖\*ARABIC\s11審計用戶狀態管理界面審計用戶管理對審計管理員和審計員進行增、刪、改等操作圖STYLEREF1\s7SEQ圖\*ARABIC\s12審計用戶管理界面審計員姓名：輸入的字符長度不超過30個字符用戶密碼：根據密碼復雜度進行設置密碼確認：與上面的用戶密碼輸入一致聯系方式：非必填項審計員類型：通過下拉菜單進行選擇，有審計員和審計管理員認證認證：選擇客戶端已安裝了的證書備注：非必填項點擊備注后的【增加】按鈕即可增加成功選擇已創建的審計管理員或審計員，點擊右下角的【修改】按鈕，可修改該用戶的姓名、密碼、聯系方式、審計員類型、認證證書、備注等信息選擇已創建的審計管理員或審計員，點擊右下角的【刪除】按鈕，即可刪除該用戶審計管理狀態管理審計管理->審計狀態管理硬盤寫進的數據超過報警閾值設置的數據，數據處理方式有提示警告和覆蓋寫入圖STYLEREF1\s7SEQ圖\*ARABIC\s13審計狀態管理界面寫進日志的硬盤容量超過設置的報警閾值超過設置的值，提示信息如下：圖STYLEREF1\s7SEQ圖\*ARABIC\s14報警提示運維回放備份審計管理運維回放備份圖STYLEREF1\s7SEQ圖\*ARABIC\s15數據備份界面處理條件：選擇全部或按時間，點擊【備份】按鈕，則將所有數據備份成一個文件，點擊【刪除】按鈕，則刪除該備份文件，點擊【下載】按鈕，則將備份下載到本地。運維回放回復審計管理運維回放回復圖STYLEREF1\s7SEQ圖\*ARABIC\s16備份恢復界面點擊【瀏覽】按鈕，確認上傳后，可恢復已刪除視頻文件數據導入審計管理－＞數據導入圖STYLEREF1\s77數據導入界面選擇以前導出的數據表如：用戶訪控信息表，選擇導入的數據表的名稱tb_log_res數據導出審計管理－＞數據導出圖STYLEREF1\s78數據導出界面選擇需要導出的數據表、選擇excel格式導出審計員操作說明審計管理系統操作日志審計管理系統操作日志圖STYLEREF1\s8SEQ圖\*ARABIC\s11用戶操作審計管理信息界面可對用戶操作審計日志的操作名稱（可模糊查詢）、操作者（可模糊查詢）、用戶類型、時間、操作狀態進行查詢，并可將日志導出到Excel表，保存在本地運維操作日志審計管理->運維操作日志圖STYLEREF1\s82運維操作日志界面可對運維操作審計管理信息的操作名稱（可模糊查詢）、操作者（可模糊查詢）、用戶類型、時間、操作狀態進行查詢，并可將日志導出到Excel表，保存在本地運維頁面配置審計管理->運維頁面配置功能：配置系統操作日志和運維操作日志顯示列表例如配置運維操作日志頁面的列表：“用戶操作審計管理頁面”->更改配置圖STYLEREF1\s83用戶操作審計管理頁面設置只顯示操作者，點擊“保存”圖STYLEREF1\s84顯示列名只有“操作者”圖STYLEREF1\s85系統操作日志頁面顯示只有“操作者”圖STYLEREF1\s86運維統計報表審計管理->運維審計報表報表類型選擇會話概要數量時間默認點擊“查詢”（已有3次ftp運維2次telnet運維1次SSH運維登錄1次rlogin運維登錄）圖STYLEREF1\s87運維審計報表報表類型還可以選擇“主機會話數量”、“用戶會話數量”、“用戶登陸次數”圖STYLEREF1\s88選擇：主機會話數量圖STYLEREF1\s89主機會話數量選擇：用戶會話數量圖STYLEREF1\s810用戶會話數量選擇：用戶登陸次數圖STYLEREF1\s811用戶登陸次數運維回放回話審計審計管理回話審計可對運維操作審人員的用戶名（可模糊查詢）、資源IP、操作時間查詢圖STYLEREF1\s812運維操作日志界面點擊查看指令會顯示運維用戶所使用的運維指令圖STYLEREF1\s813視頻回放視頻