GLA天玑安全运维审计系统
使用手册
版本 <2.0〉
2012年8月
北京市国路安信息技术有限公司
1 文档介绍
1.1 文档目的
本文档编写目的主要是介绍如何配置和使用GLA天玑安全运维审计系统(以下简称“运维审计系统”)。通过阅读本文档,读者能够正确地配置和使用运维审计系统,并利用该系统提供的身份鉴别访问授权运维主机,并记录详细操作日志,保障被运维主机安全。
为管理员能够更快的了解本产品的功能和掌握系统使用方法,撰写本文档. 本文档供用户参考。
1.2 读者对象
本文档适用于网络管理员、系统管理员,以及所有进行设备安装、调试的工程师、技术支持人员等.
2 产品简介
2.1 简介
直接通过b/s界面对远程设备、主机进行访问,本地不需留存任何远程设备、主机的信息。
用户与远程设备账户完全脱离,用户权限变更只需要对在运维审计系统上的用户账户操作即可,不需要对远程主机配置做任何改变。
可以自动定期修改远程设备、主机上的账户密码,达到用户的定期密码修改需要.
可以对批量主机、设备执行批量命令操作。 所有操作都有可视化的录像可供查询。
2.2 功能
本系统能对登录用户进行鉴别,分角色予以不同操作对象,实现对被保护受主机的维护过程可控制、可审计的目标。
对于系统管理员,实现对运维资源、资源组,运维用户、用户组,运维工具,可用命令,运维授权策略,设备账户、单点登录策略,系统配置,系统管理员配置进行综合管理;
运维人员,可以查看自己可维护的所有设备,并选择已授权运维工具对该设备进行维护。维护过程受到可用命令,并记录详细日志,以便审计管理员对其操作进行查看及回放;
审计管理员,能实现对审计状态、审计用户、审计日志进行查看与管理; 审计人员,可以查看系统管理和运维操作日志,并可对运维操作进行回放。
3 环境配置
3.1 服务器端配置要求
将软硬件一体的运维审计系统,按部署手册正确部署。
3.2 客户端配置要求
硬件要求 普通PC机 系统要求 Win XP Win 7 Win 2003/2008 证书要求 安装国路安公司发布的证书 浏览器要求 IE 6 IE7 IE8 网络要求 网络畅通 插件要求 支持flash(flash_player升级到最新版本) 支持RDP协议 4 出厂配置
4.1 网口IP地址
网口名称 运维区域连接地址 (eth4) 资源管理地址(eth5) IP/Subnet 备注 192.168.10.110/255.255.255.0 可管理,提供GLA天玑安全运维审计系统访问服务 192。168.125.125 可管理 带外管理地址(eth7) 192。168.127.127 可管理 4.2 默认用户及口令
用户名 admin auditAdm auditor 口令 123456 123456 123456 证书 192.168.2。7 192。168。2.7 192.168。2。7 管理方式 系统管理员 审计管理员 审计员 备注 系统内置用户 系统内置用户 系统内置用户 5 登录退出操作说明
5.1 登录系统
在浏览器中输入https://XX。XX。XX。XX (默认https://192。168。10。110)回车,选择客户端已安装的数字证书,进入到GLA天玑安全运维审计系统用户登录界面,如下如所示:
图 5-错误!未定义书签。GLA堡垒主机用户登录界面
输入正确的用户名和密码,点击【登录】按钮,进入堡垒主机操作界面
5.2 退出系统
点击界面右上角的【退出】按钮,即可退出。
图 5-1 退出操作
6 系统管理员操作说明
6.1 操作界面说明
一级目录:资源管理、人员管理、授权管理、系统管理 二级目录:资源管理、运维工具
图 6-1一级目录显示界面
图 6-错误!未定义书签。 二级目录显示界面
6.2 资源配置
该部分功能支持资源(设备)的增、删、改并以设备为主线,根据不同设备选择不同的运维工具(支持的协议),根据不同运维工具设置不同的可用命令策
略(针对运维工具以黑名单的形式拒绝某些高危操
.
作的执行,如ssh连接后拒绝“rm”,ftp连接后拒绝“delete”)。 资源分级管理:
设备信息
-运维工具(支持协议)
—禁用命令;可用命令(黑名单的试运行)
6.2.1 配置运维资源
在没有创建任何资源组的情况下,系统会提示:没有分组,请先创建资源组,如下图所示:
图 6-错误!未定义书签。没有创建任何资源组
点击OK,进入增加资源界面,增加资源组
图 6-2
点击资源组后的【增加】按钮,弹出添加资源组对话框
图 6-5
相关操作:
资源组名:输入字符不超过长度和特殊字符 备注:非必填项
增加资源组名称后.查看资源列表,资源组增加成功
1. 增加资源
图 6-6增加资源界面
相关操作:
带*号的为必填项
资源名称:输入字符不超过长度和特殊字符 资源IP:通过堡垒主机登录的服务器IP地址 资源类型:通过下拉菜单可选择主机类型
资源组:如果已增加资源组可通过下拉菜单进行选择 审批:此选项是指运维用户运维时是否需要管理员审批 资源描述:非必填项
批量导入资源
按照指定格式例如:
图 6-7
编写excel文件,批量导入—〉浏览-〉选择需要导入的excel文件,点击导入(注意批量导入资源时,所导入资源资源组必须是存在的)
图 6-8
2。删除资源组
如果要删除创建的资源组,光标需选中该资源组,然后点击【删除组】按钮,即可删除该资源组并且该资源组下的资源一并被删除.
如果要删除资源,勾选需删除资源组下的资源,点击【删除】按钮,该资源即被删除.
图 6-9资源列表界面
6.2.2 配置运维工具
资源管理运维工具命令列表 选择需要添加命令的工具(如:SSH),点击右侧的【增加新命令】按钮,输入需增加的命令和命令描述(非必填项)点击【增加】按钮,即可成功增加命令 (此项功能是为了用户授权工具时,设置黑名单,提醒或用户使用某些重要的命令,防止误操作)
图 6-10
增加命令集如:
在SSH工具将新增的rm命令添加到command命令集中,勾选rm命令和command命令集,点击“添加到”,才弹出框中点击是,就可以将rm命令添加到command命令集中。(此项功能是为了更便捷的添加更多的命令到黑名单)(黑名单作用:提醒或用户使用某些重要的命令,防止误操作)
图 6-11
点击更多可查看命令集中的命令并可以删除:
图 6-12增加命令界面
选中要删除的命令如:ls,点击【删除】按钮或【批量删除】按钮,即可删除该命令(删除此命令之后如果此命令已经加入某个命令集,命令集中同样会删除此
命令
图 6-13
6.3 配置运维人员
人员管理运维人员列表增加组 添加角色
图 6-14增加角色界面
增加运维人员如:
增加运维用户test_01 (用户名不要太长,少于6个汉字)认证证书选择客户端安装的证书
图 6-15 增加运维人员界面
相关操作:
用户名:不能有中文,不能超过的字符长度
用户密码:根据系统管理员配置的密码复杂度进行设置 确认密码:与上面的用户密码一致
认证证书:登录的客户端需安装该证书 角色:通过下拉菜单进行选择 联系方式:非必填项 备注:非必填项 带*为必填项
图 6-16角色和运维人员列表
选择一个角色下的运维人员,点击【删除】按钮,即可删除该运维用户,如果删除角色,则该角色下创建的运维用户则移动到【默认角色】下
图 6-17
选中角色可对运维用户采取,禁止登录堡垒主机和禁止运维的两种操作,也可以再次激活登录堡垒主机和运维两种功能
6.4 配置授权
给角色增加授权
图 6-18授权管理界面
选择资源组:所有的资源组列表
指定星期:可勾选全部或其中的一天或多天,若与当前星期不一致,运维用户则无法登录
指定时间:可勾选全部或输入开始时间和结束时间(格式需输入正确),若与当前时间不一致,运维用户无法登录成功
指定地点:可勾选全部或指定IP(格式为多种形式),若客户端与指定IP不相符,运维用户则无法登录 是否试运行:“是” 黑名单无效 ,“否” 黑名单有效 黑名单:运维工具配置的命令在用户运维时是不可用 点击【保存权限设置】按钮即可保存
图 6-19运维用户受权限提示界面
6.5 系统管理
系统管理包括:管理员管理、系统配置、网络配置、版本信息、系统状态、审批管理
6.5.1.1 管理员管理
对GLA天玑安全运维审计系统管理员进行增、删、改的操作
图 6-20系统管理员列表
管理员姓名:输入的名称不超过30个字符 用户密码:根据密码复杂度的配置进行设置 确认密码:与用户密码输入一致 联系方式:非必填项
证书认证:选择客户端已安装的证书 备注:非必填项
点击右下角的【增加】按钮,可增加多个系统管理员
选择管理员管理列表中已创建了管理员,点击【修改】按钮,可修改其姓名、密码、联系方式、证书、备注信息
选择已创建的管理员,点击【删除】按钮,即删除该管理员
6.5.1.2 系统配置
系统管理系统配置
图 6-21系统配置界面
时间同步:可开启或关闭。选择开启,同步服务器输入正确的IP地址,同步服务器需开启ntpd系统服务
系统时间:如果开启时间同步服务器,系
统时间输入框置灰,系统时间无法配置;如果关闭时间同步服务器,可对系统时间进行配置
系统超时时间:输入正整数数字,单位为秒(s)
密码复杂度:分为低、中、高三个等级(低:密码中至少含有一类字符;中:至少含有两类字符;高:至少含有三类字符),密码长度通过下拉菜单进行选择(5~15),
错误登录最大次数:输入1~5之间的数字,在登录框中输入用户名,连续输入的密码错误次数与错误登录最大次数设置次数一致,再次登录后,提示已超过错误登录最大次数,请xx登录
6.5.1.3 网络配置
对GLA天玑安全运维审计系统服务器网口进行配置,可修改运维区域连接地 址、资源管理地址、带外管理地址
图 6-22网络配置界面
图 6-23修改网络配置对话框
6.5.1.4 版本信息
该界面显示硬件版本、固件版本、系统版本、产品型号、产品序列号信息
图 6-24版本信息界面
6.5.1.5 系统状态
查看GLA天玑安全运维审计系统进程数、CPU占有率、内存占有率、硬盘使用率曲线图
图 6-25 系统状态界面
选择开始时间和结束时间,可查看不同时间的进程数、CPU占有率、内存占有率、硬盘使用率情况
6.6 具体操作说明
具体操作步骤如下:
1. 创建资源组和资源,如:
资源组名称为:resources 资源:192.168.1。167(资源名称:resources)、192.168.1.68(资源名称:resources)
图 6-26资源管理列表
2. 创建角色和运维人员,如: 角色:运维人员 运维人员:test_01
图 6-27角色、运维人员管理列表
3. 给角色授权
图 6-28角色授权管理界面
6.6.1 ftp工具
首先保证192。168.1。167这台服务器有ftp的服务
操作步骤:
1。给资源选择工具。授权管理角色列表增加新授权,选择资源resources这个资源,选择ftp工具,保存配置即成功添加工具ftp
图 6-29给资源1配置ftp工具列表界面
2。配置单点登录信息。授权管理角色列表resources资源组,点击【单点登录】,在弹出的单点登录配置信息界面中,选择需配置的资源,填写系统用户名:root,密码:root123,点击“X”
图 6-30单点登录配置信息
3。使用运维用户登录GLA天玑安全运维审计系统。使用角色运维人员下的运维用户test_01登录,选择192。168.1。167,点击【进入运维】,(如果资源配置需
要审批,会向管理员提出审批,并填写理由,如果不需审批只需写完运维理由就可以直接运维)登录192.168。1。167这台服务器即可进行相关的操作,在终端上输入命令bye即可退出登录界面
图 6-30运维用户登录后的资源列表界面
图 6-31登录后的操作界面
图 6-32正常退出(exit)
6.6.2 ssh工具
首先保证192.168.1.167这台机器允许远程ssh连接 操作步骤:
1.给资源选择工具。授权管理角色列表增加新授权,选择资源resources这个资源,选择ssh工具,保存配置即成功添加工具ssh
6-33给资源2配置ssh工具列表界面
2。配置单点登录信息。授权管理角色列表resources资源组,点击【单点登录】,在弹出的单点登录配置信息界面中,选择需配置的资源192.168.1。167,填写系统用户名:root,密码:root123,点击“X”
6-34单点登录配置信息
3。 使用运维用户登录GLA天玑安全运维审计系统.使用角色运维人员下的运维用户test_01登录,选择192.168.1.167,点击【进入运维】,(如果资源配置需要审批,会向管理员提出审批,并填写理由,如果不需审批只需写完运维理由就可以直接运维)登录192.168.1.167这台服务器即可进行相关的操作,在终端上输入命令exit即可正常退出登录界面
6-35运维用户登录后的资源列表界面
6-36登录后的操作界面
6-37正常退出
6.6.3 rdp工具
192。168.1。68这台机器是windows 系统 操作步骤:
1。 给资源选择工具。授权管理角色列表增加新授权,选择资源resources这个资源,选择rdp工具,保存配置即成功添加工具rdp
6-38给资源3配置rdp工具列表界面
2. 配置单点登录信息。授权管理角色列表resources资源组,点击【单点登录】,在弹出的单点登录配置信息界面中,选择需配置的资源192。168.1。68,填写系统用户名:root,密码:root123,点击“X”
6-39单点登录配置信息
3.使用运维用户登录GLA天玑安全运维审计系统。使用角色运维人员下的运维用户user登录,选择资源3,点击【进入运维】,(如果资源配置需要审批,会向管理员提出审批,并填写理由,如果不需审批只需写完运维理由就可以直接运维)登录192.168。1。68这台服务器即可进行相关的操作,点击断开,中断连接后 即可退出登录界面
6-40运维用户登录后的资源列表界面
6-41登录后的操作界面
6-42正常退出
6.6.4 telnet工具
首先保证192。168.1。167这台机器启动了telnet服务 操作步骤:
1. 给资源选择工具。授权管理角色列表增加新授权,选择资源resources这个资源,选择telnet工具,保存配置即成功添加工具telnet
6-43给资源4配置telnet工具列表界面
2。 配置单点登录信息。授权管理角色列表resources资源组,点击【单点登录】,在弹出的单点登录配置信息界面中,选择需配置的资源192。168.1.167,填写系统用户名:root,密码:root123,点击“X”
6-44单点登录配置信息
3. 使用运维用户登录GLA天玑安全运维审计系统。使用角色运维人员下的运维用户test_01登录,选择192。168.1。167,点击【进入运维】,(如果资源配置需要审批,会向管理员提出审批,并填写理由,如果不需审批只需写完运维理由就可以直接运维)登录192。168.1.167这台服务器即可进行相关的操作,在终端上输入命令exit即可正常退出登录界面
6-45运维用户登录后的资源列表界面
6-46登录后的操作界面
6-47正常退出(exit)
6.6.5 rlogin工具
首先保证192。168。2.60这台机器允许rlogin连接 操作步骤:
1. 给资源选择工具。授权管理角色列表增加新授权,选择资源resources这个资源,选择rlogin工具,保存配置即成功添加工具rlogin
6-48给资源5配置rlogin工具列表界面
2. 配置单点登录信息。授权管理角色列表resources资源组,点击【单点登录】,在弹出的单点登录配置信息界面中,选择需配置的资源,填写系统用户名:root,密码:root123,点击“X”
6-49 图
3。 使用运维用户登录GLA天玑安全运维审计系统。使用角色运维人员下的运维用户test_01登录,选择192.168。1。167,点击【进入运维】,(如果资源配置需要审批,会向管理员提出审批,并填写理由,如果不需审批只需写完运维理由就可以直接运维)登录192.168。1.167这台服务器即可进行相关的操作,在终端上输入命令exit即可正常退出登录界面
6-50运维用户登录后的资源列表界面
6-51登录后的操作界面
6-52正常退出(exit)
6.6.6 Firefox工具
首先保证192.168。2。68这台机器有8080端口的应用 操作步骤:
1。 给资源选择工具。授权管理角色列表增加新授权,选择资源resources这个资源,选择Firefox工具,保存配置即成功添加工具Firefox
6-53给资源5配置rlogin工具列表界面
2. 配置单点登录信息。授权管理角色列表resources资源组,点击【单点登录】,Firefox不需要配置单点登录
3。 使用运维用户登录GLA天玑安全运维审计系统。使用角色运维人员下的运维用户test_01登录,选择192.168。2。68,点击【进入运维】,(如果资源配置需要审批,会向管理员提出审批,并填写理由,如果不需审批只需写完运维理由就可以直接运维)登录192.168。2。68这台服务器即可进行相关的操作,在右上角点击“X”关闭Firefox应用
6-运维用户登录后的资源列表界面
6-55登录后的操作界面
6-56正常退出(exit)
7 审计管理员操作说明
7.1 用户管理 7.1.1 用户状态管理
查看审计管理员和审计员的登录次数、登录状态、有效期开始日、有效期结束日、登录时间、上次登录时间
图 7-1审计用户状态管理界面
7.1.2 审计用户管理
对审计管理员和审计员进行增、删、改等操作
图 7-错误!未定义书签。审计用户管理界面
审计员姓名:输入的字符长度不超过30个字符 用户密码:根据密码复杂度进行设置 密码确认:与上面的用户密码输入一致 联系方式:非必填项
审计员类型:通过下拉菜单进行选择,有审计员和审计管理员 认证认证:选择客户端已安装了的证书 备注:非必填项
点击备注后的【增加】按钮即可增加成功
选择已创建的审计管理员或审计员,点击右下角的【修改】按钮,可修改该用户的姓名、密码、联系方式、审计员类型、认证证书、备注等信息
选择已创建的审计管理员或审计员,点击右下角的【删除】按钮,即可删除该用户
7.2 审计管理 7.2.1 状态管理
审计管理-〉审计状态管理
硬盘写进的数据超过报警阈值设置的数据,数据处理方式有提示警告和覆盖写入
图 7-2 审计状态管理界面
写进日志的硬盘容量超过设置的报警阈值超过设置的值,提示信息如下:
图 7-错误!未定义书签。报警提示
7.2.2 运维回放备份
审计管理运维回放备份
图 7-错误!未定义书签。数据备份界面
处理条件:选择全部或按时间,点击【备份】按钮,则将所有数据备份成一个文件,点击【删除】按钮,则删除该备份文件,点击【下载】按钮,则将备份下载到本地。
7.2.3 运维回放回复
审计管理运维回放回复
图 7-错误!未定义书签。备份恢复界面
点击【浏览】按钮,确认上传后,可恢复已删除视频文件
7.2.4 数据导入
审计管理->数据导入
图 7-7数据导入界面
选择以前导出的数据表如:用户访控信息表,选择导入的数据表的名称tb_log_res
7.2.5 数据导出
审计管理->数据导出
图 7-8数据导出界面
选择需要导出的数据表、选择excel格式导出
8 审计员操作说明
8.1 审计管理 8.1.1 系统操作日志
审计管理系统操作日志
图 8-错误!未定义书签。用户操作审计管理信息界面
可对用户操作审计日志的操作名称(可模糊查询)、操作者(可模糊查询)、用户类型、时间、操作状态进行查询,并可将日志导出到Excel表,保存在本地
8.1.2 运维操作日志
审计管理—〉运维操作日志
图 8-2运维操作日志界面
可对运维操作审计管理信息的操作名称(可模糊查询)、操作者(可模糊查询)、用户类型、时间、操作状态进行查询,并可将日志导出到Excel表,保存在本地
8.1.3 运维页面配置
审计管理—〉运维页面配置
功能:配置系统操作日志和运维操作日志显示列表例如配置运维操作日志页面的列表:
“用户操作审计管理页面”—>更改配置
图 8-3用户操作审计管理页面
设置只显示操作者,点击“保存”
图 8-4
显示列名只有“操作者”
图 8-5
系统操作日志页面显示只有“操作者”
图 8-6
8.1.4 运维统计报表
审计管理—〉运维审计报表
报表类型选择会话概要数量时间默认点击“查询”(已有3次ftp运维2次telnet运维1次SSH运维登录1次rlogin运维登录)
图 8-7运维审计报表
报表类型还可以选择“主机会话数量”、“用户会话数量”、“用户登陆次数”
图 8-8
选择:主机会话数量
图 8-9主机会话数量
选择:用户会话数量
图 8-10用户会话数量
选择:用户登陆次数
图 8-11用户登陆次数
8.2 运维回放 8.2.1 回话审计
审计管理回话审计
可对运维操作审人员的用户名(可模糊查询)、资源IP、操作时间查询
图 8-12运维操作日志界面
点击查看指令会显示运维用户所使用的运维指令
图 8-13
8.2.2 视频回放
视频回放只是针对rdp和Firefox工具的视屏录制
选择需播放视屏所在行点击【播放】按钮,弹出视频播放窗口,可查看运维人员进行的具体操作
图 8-14
点击“查看”显示键盘的输入
图 8-15
9 故障判断
9.1 安装完服务器后客户端所需操作
1、 安装国路安公司发布的证书 2、 将服务器地址加入可信站点
图 9—1可信站点
图 9—2可信站点
图 9-3可信站点
3、 更新flash
4、 如果浏览器是ie8,访问时会首先提示:
图 9—4选择证书
然后出现日下提示,点击继续浏览此网站
图 9—5安全提示
之后会提示再次选择证书,选择安装的证书后点击确定
图 9—6 选择证书
9.2 运维不成功或报错
可能原因:
1、 应用和服务器不在同一个网段,保证应用和服务器在同一网络
中.
2、 配好应用以后,运维不成功出现白屏(嵌在网页中)可能是没有
添加可信任站点导致如下图:
图 9-7 运维不成功
或者是系统管理的网络配置中运维区域链接地址配置不正确
解决方法:添加可信站点,检查网络配置 3、 Rdp加载项
有些客户端不能使用RDP协议,该情况下,将mstscax。dll和mstscax.dll。
mui两个文件覆盖本地C:\\WINDOWS\\system32对应的两个文件,在【运行】里注册该插件,命令为: regsvr32 C:\\WINDOWS\\system32\\mstscax。dll,重启浏览器.
4、 出现以下报错flash版本低
图 9—8 flsh错误提示
解决方法:更新flash
5、 运维用户没有视频记录,可能是用户没有正常退出 6、 运维用户没有操作日志,可能没有正常退出 7、 更新IP无法操作,系统重启,稍等
8、 用户录制的视频在播放时突然中断或退出,可能是录制的视屏质
量问题,如果出现花屏,可能是用户长时间离开没有操作,用户客户端系统启动保护程序(黑屏)
9、 黑名单当前版本只作提醒未作
10、 导入已存在(或重复导入数据表)会出现以下错误
图 9-9 错误提示
提示“导入异常,请检查您导入的数据,与数据库字段是否冲突” 点击确定查看(运维人员查看运维回放的回话审计内容)是否已存在刚刚导入的数据
图 9—10回话审计
如果用户防控信息表被导出,回话审计将不会查询到记录
11、 运维单点登录密码配置错误会有重新输入密码的提示:如下图
图 9—11单点登录配置密码错误
用户可以直接输入正确密码登录或请求管理员重新配置正确密码
12、 出现如下图的错误提示(NO route to host),可能是后台的应用
服务器没有启动或安全运维系统的网络和后台服务器的网络不通
解决方法检查后台应用服务器是否启动;检查网络是否通畅。
因篇幅问题不能全部显示,请点此查看更多更全内容
Copyright © 2019- huatuo0.cn 版权所有 湘ICP备2023017654号-2
违法及侵权请联系:TEL:199 1889 7713 E-MAIL:2724546146@qq.com
本站由北京市万商天勤律师事务所王兴未律师提供法律服务