堡垒机快速入门

前言

堡垒机旨在 为IT 审计员、IT 顾问和安全专家提供可靠的服务器和应用发布管理安全解决方案，帮助 IT 决策者应对各类法令法规（如 SOX、PCI、企业内控管理、等级保护、ISO/IEC27001 等），同时帮助 IT 运维人员更高效地执行自动化运维和资源监控操作。

本文档可以帮助用户了解系统使用、根据使用场景构建出属于自己的云计算安全管控系统。

信息完善与账号创建

Web登录方式

堡垒机web界面登录：https://堡垒机IP 默认端口：443

• 安全组开放对应端口才能访问web端，堡垒机需要开放的端口服务可参见文档第4节）
• 默认登录名：admin

完善管理员信息

首次以admin账号登录，在页面右上角，点击账号右边的下拉按钮，进入【个人中心/编辑】，显示当前个人账号信息，在页面中可以编辑。如图所示。
 

创建堡垒机用户账号

进入到【用户/用户管理】菜单栏，点击页面右边的“新建”，其中“*”标记的红色部分为必填项，登录名、密码、姓名、手机、邮箱、请参考页面上提示信息进行填写，角色和部门以及认证类型根据实际情况进行选择。如图所示。

资源录入

添加主机

进入到【资源/主机管理】菜单栏，录入主机信息分为单个录入与批量添加。如图所示。

单台录入设备时，点击页面右边的“新建”。会提示，是否需要立即添加该资源主机上的系统账号。如图所示。
 

如若需要添加，按照提示填写即可，否则选择“以后添加”

本地模版导入则点击页面右边的“导入”，提示需要下载模版，点击下载，模版如图所示。

 

添加资源主机账号

手动登录账号

进入到【资源/资源账号】菜单，点击页面右边的“新建”，出现编辑框，拉选登录方式为“手动登录”，关联相关的资源主机即可。需要注意的是，此时，资源账户这一栏并不是必填项，如果不填，添加的账号为“Empty”，即手动登录，访问资源时需要手动输入账户名和密码。如果填写了资源账号，添加的账号为填写的账号，访问资源时需要输入对应系统账号的密码。

自动登录账号

自动登录账号，其实就是已经把密码托管给了堡垒机的资源主机系统账号，因此在访问资源主机时，堡垒机会将管理员托管进去的密码自动发给对应的资源主机，以实现无需人工手动输入密码的过程。 选择登录方式为“自动登录”，关联对应的资源主机，填写需要托管密码的系统账号，然后将该账号的密码托管给堡垒机。

 

提权登录

提权登录的概念为，当一个普通用户登录到目标资源主机上时，进行一次身份切换，登录到特权账号。选择该方式时，需要先填写特权账号密码，然后选取做切换的普通账号。 

授权

访问策略

在创建完堡垒机用户以及将服务器资源信息纳入堡垒机之后，需要创建一条策略将对应的堡垒机用户与对应的资源主机进行关联起来。进入【策略/访问控制策略】，如图所示，可以查看备份记录列表。

编辑创建【访问策略】对话框，先输入一个名称，然后可以设置该访问策略的有效期与生效时间，有效期不设置时为一直生效。限制文件的上传、下载以及文件管理、RDP剪切板等功能，然后点击下一步，去关联对应的堡垒机用户和相关的资源主机与账户，支持直接关联组。

此时我们使用创建的账号去登录堡垒机，可以看到，刚才我们配置的策略已经生效。

总结

以上为堡垒机基础使用所需要满足的条件，简单来说分为4点：

• 堡垒机用户
• 资源主机
• 资源主机的系统账号
• 访问策略