运维管理员手册模板.doc_咨信网zixin.com.cn

资源描述

运维安全审计系统（HAC）运维管理员手册广州江南科友科技股份 3月版权申明本手册中包含任何文字叙述、文档格式、插图、照片、方法、过程等全部内容版权属于广州江南科友科技股份全部。未经广州江南科友科技股份许可，不得私自拷贝、传输、复制、泄露或复写本文档全部或部分内容。本手册中信息受中国知识产权法和国际条约保护。版权全部，翻版必究© 目录 1 序言 3 1.1 概述 3 1.2 阅读说明 3 1.3 适用版本 3 1.4 使用环境 3 2 准备工作 4 2.1 确定用户 4 2.2 确定访问服务器协议 4 2.3 确定自动登录帐户 5 3 首次登陆 6 4 用户管理 8 5 用户组管理 12 6 资源管理 14 6.1 资源管理 14 6.2 操作系统配置 17 6.3 AD域资源配置 20 7 资源组管理 24 8 授权管理 26 8.1 授权 26 8.2 设备帐户分配 28 8.3 告警 29 9 规则管理 33 10 应用公布 35 10.1 VDH添加、删除 35 10.2 VDH监控 36 10.3 VDH应用安装 38 10.4 VDH应用配置 38 11 运维配置 42 12 技术支持 44 1 序言 1.1 概述本文档为运维安全审计系统运维管理员使用手册，是运维管理员使用HAC操作指南。 1.2 阅读说明本手册包含运维管理员全部日常操作，关键是和运维相关操作。包含怎样添加用户（组），怎样添加资源（组），怎样给用户进行授权，而且分配该用户能自动登录使用帐户，和定义应用公布，怎样对运维方面配置进行设置。 1.3 适用版本本手册，适适用于3.6E公布版。 1.4 使用环境 HAC运维管理员使用WEB登录方法作为用户界面。HAC运维管理员，能够使用Microsoft Internet Explore或以其为内核其它浏览器，因部分控件兼容问题，假如您使用是IE 8浏览器，请在兼容模式下进行运行。 2 准备工作 2.1 确定用户即确定运维人员用户名、授权信息（关键是指某运维人员能够经过哪些协议访问哪些关键服务器或网络设备）。 2.2 确定访问服务器协议该内容是准备工作关键，关键是确定关键服务器提供何种类型运维协议供运维终端访问，即确定运维终端使用Telnet、SSH、FTP、SFTP、RDP、HTTP、HTTPS、AS400、XWIN和VNC哪些协议、端口去访问关键服务器进行日常运行维护操作。运维协议 HAC IP及服务端口真实主机IP及服务端口备注 Telnet 172.16.6.163:23 10.10.1.23:23 Linux SSH 172.16.6.163:22 10.10.1.23:22 Linux FTP 172.16.6.163:21 10.10.1.1:21 Windows SFTP 172.16.6.163:22 10.10.1.23:22 Linux Rdp 172.16.6.163:3389 10.10.1.31:3389 Windows VNC 172.16.6.163:5901 10.10.1.29:5901 Linux XWIN 172.16.6.163:7000 10.10.1.29:7000 Linux HTTP 172.16.6.163:80 172.16.4.21 Linux HTTPS 172.16.6.163:443 172.16.3.254 Linux Plsql 172.16.6.163:1 10.10.1.41 Windows AS400 172.16.6.163:23 192.84.45.110 Others 2.3 确定自动登录帐户该内容是为运维用户进行自动登录（SSO）做配置，关键是确定关键服务器提供后台登录帐户能够由哪个运维用户使用。假如，您所在企业有独立口令管理员，则帐户分配工作需要在其为设备创建设备帐户后再进行帐户分配。 3 首次登陆用IE浏览器访问：https://HAC_IP/admin；访问过程中，假如是IE7/8，会出现证书安全警告等信息：选择“继续浏览此网站”，进入登陆页面。用户名和密码使用系统管理员创建用户登录，假如是令牌模式管理员，或证书认证管理员，请不勾选“口令认证”。以下以口令认证用户登录为例进行说明：运维管理员登录HAC系统，以下是登录首页：首页内容为：目前日期、上次登录时间及登录IP、最近10次操作统计。操作统计包含操作时间、操作用户IP、操作功效模块和操作内容。为了安全性考虑，提议静态口令用户登录后，点击页面右上角“修改密码”，对密码进行更新。 4 用户管理在用户管理模块中，能够对运维用户帐户进行管理，实现对其添加、删除、修改和快速查找功效，能够实现用户批量导入、导出功效，在后台设备已经定义情况下，能够为用户直接进行授权。添加用户具体配置步骤以下： 1) 选择“运维管理\用户管理”，点击 “添加”按钮，出现以下配置页面：用户名：定义运维人员用户名，格式由数字、英文、下划线、中杠线、点组成，必需以数字或字母开头；（注：不支持汉字）[必选项] 认证方法：HAC支持六种认证方法，包含口令认证、令牌认证、证书认证、LDAP认证、AD域认证、Radius认证，默认为口令认证；当认证方法为口令认证时，页面如上图所表示，有口令策略、密码强度、密码、确定密码、密码使用期等项需要设置。口令策略：包含手工配置口令和自动生成（邮件通知）口令；手工配置密码能够直接在下面密码、确定密码框中输入用户密码；密码强度：系统会依据密码强度规则自动检测用户输入密码安全强度，密码强度由系统管理员进行全局设置；密码/确定密码：不限字符，但不能设置空格SPACE键；[必选项] 密码使用期：限制用户密码在使用期范围内有效；自动生成密码，要求“邮箱地址”为必填项，系统生成密码发到该邮箱地址中。页面显示以下：注：口令策略中“自动生成（邮件通知）”，只有在“系统管理/全局配置”中“邮件服务器”配置了以后才会出现。当认证方法为令牌认证时，页面以下图所表示：令牌认证：使用动态口令认证方法（具体参见《运维安全审计系统（HAC）动态令牌使用手册》当认证方法为证书认证时，页面以下图所表示，证书名为必填项，能够对证书使用期进行设置。证书认证：使用证书认证方法（具体参见《运维安全审计系统（HAC）科友key使用手册》）； LDAP认证：使用LDAP认证方法进行认证； AD域认证：使用AD认证方法进行认证； Radius认证：使用Radius认证方法进行认证；姓名：输入对应登录名真实姓名，不限字符；[必选项] 手机号码：即运维人员手机号码；[可选项] 邮箱地址：即运维人员邮箱地址；[可选项] 帐号密码更改、密码使用期到期、帐号激活变更通知、认证方法改变时系统会经过手机和邮箱方法通知运维人员。备注：关键是作为描述该用户附加注释信息；[可选项] 用户组：定义是否将该用户放置在一个定义好用户组中；[可选项] 能够点击“新建用户组”打开用户组添加页面，添加用户组。状态：此状态表示此用户是否可用。 AS400协议运维用户：鉴于AS400运维特殊性，在HAC中要使用AS400协议，运维用户名必需指定为运维用户用户端IP地址，其它信息如，认证方法能够随便填写。比如：用户要在172.16.2.104上做AS400运维，运维用户名必需为“172.16.2.104”：授权和其它协议授权类似，具体运维过程见运维用户使用手册。 5 用户组管理 “用户组管理”和“用户管理”类似，其关键功效是实现组授权、批量授权。可添加、编辑、删除用户组。能够根据用户组名和备注排序。选择“运维管理\用户组管理”，点击“添加”后右方出现以下配置界面： Ø 用户组名：填写用户组名称，可任意填写；[必填项] Ø 备注：关键是作为描述该用户组附加注释信息；[可选项] Ø 检索：能够检索用户，支持模糊查询； Ø 用户列表：可选择属于该用户组用户；添加user组，选择其中user_a和user_b用户，点击“添加”，以下图所表示：添加完成，在用户组列表页面会有显示： 6 资源管理在资源管理模块中，实现对被审计关键设备及提供服务协议管理，包含添加、编辑和删除，提供授权用户入口，提供资源批量导入和导出功效，同时也提供用户自定义操作系统功效。 6.1 资源管理进入“运维管理/资源管理”页面： Ø 可经过快速查找（设备名、操作系统、资源组、协议、IP地址）对资源进行过滤 Ø 可针对设备名、操作系统、IP地址对资源进行排序 Ø 可添加、编辑、删除资源 Ø 可经过设备导入、导出批量添加资源 u 设备导入：即以Excel形式导入设备配置列表。导出列表包含：设备名、操作系统、IP地址、资源列表等信息； u 设备导出：即以Excel形式导出设备配置列表。导入列表包含：设备名、操作系统、IP地址、资源列表等信息。具体设置步骤以下： 1) 添加资源：点击上图“添加”按钮，出现以下界面：设备名：定义设备名称，由格式设备名由汉字、数字、字母、下划线、中杠线、点组成，长度为3-64位；[必选项] IP地址：输入服务器IP地址；[必选项] 检测：用于检验该设备和HAC是否可达。操作系统：从下拉框中选择该设备对应操作系统；[必选项] （注：假如下拉菜单中操作系统列表不能满足您实际应用需求，请进行“配置”，参见本文第6.2章节）资源：选择远程访问设备时使用协议；[必填项] （注：假如列表中默认协议不能满足实际应用需求，请进行“配置”，参见本文第6.2章节）备注：附加注释区域，不限字符；[可选项] 2) 添加资源，如定义一台Redhad_AS4：10.10.1.29，协议为：telnet，以下图：可在协议对应操作中编辑该协议端口： Ø 其中telnet协议是否支持汉字，以下； Ø AS400协议，添加以下：此协议比较特殊，需要虚拟网卡，虚拟网卡配置由系统管理员进行配置，具体请参见《运维安全审计系统（HAC）_系统管理员使用手册》第7.4节。点击“保留”完成添加。 3) 编辑资源：“运维管理/资源管理”页面，点击设备名进入编辑页面，可编辑除了“设备名”之外全部信息： 4) 删除资源： “运维管理/资源管理”页面，勾选要删除设备前面复选框，点击“删除”完成删除。 5) 授权：完成添加，可点击操作中“授权”，则跳转到授权页面，可进行用户和用户组授权。 6.2 操作系统配置可对操作系统类型及协议做配置，进入“运维管理/资源管理”，如上图，添加一个设备，再添加页面点击操作系统后面“配置”，进入到操作系统配置页面：注：操作系统“RaritanKVM”，不可修改，提供给支持力登KVM用户使用。经过编辑进行操作系统配置，可添加你所需要页面上不存在操作系统，可删除您不需要操作系统，下面以Redhad_AS4操作系统为例，编辑Redhad_AS4：操作系统名称：编辑操作系统时不可修改，添操作系统时可经过下拉列表选择您所需要操作系统；操作系统版本：操作系统对应版本，编辑操作系统时不可修改，添操作系统时可手动输入；权限提升：含有权限提升操作系统，可勾选此项，比如：Cisco，H3C等设备。这里以Cisco网络设备为例，编辑Cisco：权限提升命令：填写权限提升命令，如：Cisco为en，H3C为su n 注意：提升权限完整命令为：enable和super。不过在实际应用中，通常使用简写。 n 假如在这里填写en、su，那么在实际应用过程中，en/ena/enable、su/super等命令全部可匹配为权限提升。权限提升口令符：填写当输入“权限提升命令”后，操作系统出现固定提醒符，如：Password： n 注意：应依据实际情况，确定权限提升口令符中“：”后，是否需要添加一个空格。说明：对操作系统描述说明；协议：选择操作系统开放协议；服务协议：TELNET、FTP、SFTP、SSH、RDP、AS400、XWIN、VNC、HTTP、HTTPS、VDH应用协议；[必选项] 点击“保留”完成编辑。 6.3 AD域资源配置 HAC对于AD域资源处理有特殊之处，配置上和其它资源有部分不一样。该部分介绍AD域控制器、域组员和域帐户在HAC上配置，以下是具体配置过程： 1. 添加AD域操作系统 Ø 因AD域比较特殊，默认配置中无此系统，需要手工配置此操作系统。进入“运维管理/资源管理/操作系统配置”：点击“添加”： Ø 勾选rdp协议后，保留。 2. 添加域控制器进入“运维管理/资源管理/设备列表”，添加域控制器：设备名：要求是域控制器正确名称；[必填项] 操作系统：选择AD域； 3. 添加域组员设备名：可自定义，符合设备名要求即可；操作系统：选择windows。 4. 添加域帐户 Ø 进入“设备口令管理/设备帐户管理/帐户列表”，给域控制器添加帐户user： Ø 添加完成，返回到“设备口令管理/设备帐户管理/帐户列表”可查看到域帐户格式显示为：帐户名+@+域名： Ø 授权，过程同一般授权相同； Ø 进入“运维管理/授权管理/授权列表”页面，点击域组员设备“帐户分配”，域组员服务器，在帐户分配中显示域控制器帐户名： Ø 勾选上后保留，即完成AD域资源配置。 7 资源组管理 “资源组管理”即灵活定义服务器提供运维服务协议组合，方便批量授权。选择“运维管理/资源组管理”，页面以下： Ø 可针对资源组名对列表进行排序 Ø 可经过点击各个协议名对资源组进行编辑， 1）资源组添加，点击上图中“添加”：资源组名：[必填项] 备注：对资源组描述说明。检索：可经过IP段检索您所需要资源，也能够经过资源名模糊匹配来检索您所需资源。资源列表：可选择资源。点击“添加”完成资源组添加： 2）资源组编辑，点击资源列表中任意协议或ALL，出现以下设置界面： 3）资源组删除，在“运维管理/资源组管理”，勾选所要删除资源前面复选框，点击“删除”完成资源组删除。 8 授权管理授权管理定义了用户、用户组能够访问资源、资源组，而且指定了对应授权规则。选择“运维管理/授权管理”，页面以下： Ø 可针对用户名、资源名、授权名对列表进行排序 Ø 可创建“用户/组——资源/组——授权规则”授权 Ø 可经过点击按钮“用户/组”“资源/组”，查看目前存在授权 Ø 可经过对资源进行过滤（不对资源组过滤） Ø 可对授权资源进行帐户分配 Ø 可对授权资源进行告警配置 8.1 授权授权具体配置步骤以下： 1) 创建授权 Ø 点击按钮“用户/组”，在用户或组中切换，从列表中选择用户或用户组 Ø 点击按钮“资源/组”，在资源或组中切换，从列表中选择资源或资源组 Ø 在授权规则列表中，选择适适用于该用户规则 Ø 点击按钮“新建”，创建授权比如：新建一个“test——10.10.1.23_ssh——ANY”授权 2) 若创建“单对单”或“组对单”授权，可经过对资源进行过滤 Ø 点击，可弹出资源过滤窗口 Ø 过滤某一设备资源 i、在IP地址栏中，填写设备IP那么在资源列表中，显示该IP设备上全部资源 ii、在协议栏中，选择任意协议，那么在资源列表中，显示全部该协议资源。 iii、同理，在资源组栏中，选择任意资源组，那么在资源列表中，显示该资源组中全部资源以上三种过滤条件可任意组合进行过滤 3) 查看目前存在授权 Ø 初始页面显示“用户——资源”授权，即单对单授权 Ø 点击按钮“用户/组”“资源/组”，可查看其它授权比如：若要查看“用户——资源组”（即单对组授权），只需单击一下按钮“资源/组”即可 8.2 设备帐户分配 “帐户分配”定义了运维用户能够访问指定资源时绑定系统帐户，具体步骤为，“运维管理/授权管理”。选择对应指定资源操作中“帐户分配”，以10.10.1.23_ssh为例，以下：进入帐户分配页面：资源名：主机帐户要分配给指定资源；用户名：主机帐户要分配给指定用户；添加帐户：可选帐户。说明： root、test两个帐户处于激活状态，处于未激活状态用户在此不显示。勾选帐户前面复选框，点击“保留”完成帐户分配。这么，运维用户就能够使用分配帐户进行运维了。 8.3 告警进入“运维管理/授权管理/授权列表”页面，可对用户(组)和资源（组）进行授权，页面图所表示：点击“告警”按钮，则进入“告警绑定”页面： 2) 点击“添加”按钮，添加告警规则，页面图所表示： TELNET和SSH协议告警配置页面 FTP和SFTP协议告警配置页面规则名：[必填项]；协议：定义了此规则所适用协议；规则类型：分为黑名单和白名单；黑名单命令：严禁实施此命令；白名单命令：此命令以外其它命令全部严禁实施；（注：黑名单和白名单同时存在时，黑名单命令有效，白名单命令失效）匹配命令：定义了此规则所适用操作命令，按pcre正则进行匹配。参数：命令所附带参数；（ssh和telnet无此项内容）告警等级：可定义告警对应等级，包含一般、告警、严重三种；是否阻止：定义是否阻止命令实施；邮件列表：当发生此响应动作时，向邮件列表中地址发送告警邮件；激活状态：当激活时告警生效。点击“保留”完成添加，添加完成后告警列表页面图所表示：点击“绑定”按钮，选择“有效帐户等级”，界面图：点击“确定”，则实现帐户绑定，界面显示图： ssh、telnet、ftp、sftp绑定告警时，全部存在“有效帐户等级”，“有效帐户等级”和设备帐户管理中“帐户等级”相关，具体关联请参见《运维安全审计系统（HAC）_口令管理员手册.doc》第5.1节：设备帐户管理。黑、白名单符合正则表示式，可参考以下例子： Ø 单个命令，黑白名单全部匹配：比如：rm 匹配全部含有rm命令 Ø 多个命令，黑白名单匹配方法不一样：比如：黑名单：cat|vi|pwd 匹配含有cat或vi或pwd命令。白名单：pwd,date,cd 匹配含有pwd或date或cd命令同个授权绑定黑、白名单，匹配方法以下： 1. 只有白名单情况比如：cat 阻断；结果：cat命令可实施，其它命令均被阻断； 2. 只有黑名单情况比如：rm阻断；结果：rm命令被阻断，其它命令可实施； 3. 黑白名单共存情况：比如：白名单cat，黑名单rm，黑名单rm阻断，白名单及其它命令放行。 9 规则管理规则定义了一个对象，说明访问时间范围、会话长度、能够访问用户IP地址，系统默认配置了一个全部权限定义。添加规则具体配置步骤以下： 1) 选择“运维管理\规则管理”，显示以下： Ø 可针对规则名、访问日期区间、会话时长、用户IP对列表进行排序 Ø 可添加授权规则 2) 点击 “添加”按钮，出现以下配置页面：规则名：可任意填写；[必填项] 访问日期区间：用于设置访问该资源具体时间，包含以下多个方面：年/月/日：限制可访问该资源组年、月、日，不填为不限制；[可选项] 周：限制可访问该资源一周中某天，如周一~周日（以1~7表示），不填为不限制；[可选项] 时间：限制可访问该资源一天中时间段，格式为：hh:mm-hh:mm，如：13:00-23:59，不填为不限制； [可选项] 会话时间：限制可访问该资源连续会话时间，以分为单位，只能为数字范围为：1-9999，不填为不限制；[可选项] 用户IP：限制可访问该资源IP地址，不填为不限制。[可选项] 3) 点击“添加”即可完成授权规则设置。可对规则进行编辑、删除操作，如上图，在对应规则操作中选择“编辑”即可对规则进行编辑。勾选规则名前面复选框，点击“删除”完成规则删除。 10 应用公布在此设置VDH相关信息，能够添加、删除VDH，配置应用协议。进入“运维管理/应用公布”，界面以下 Ø VDH名称：填写VDH名称，可随意填写；[必填项] Ø IP地址：填写VDHIP地址；[必填项] Ø 应用配置：配置应用协议。 10.1 VDH添加、删除 1）添加VDH，输入VDH名称和IP，点击后面“添加”按钮完成添加： VDH添加成功： 2）删除VDH，点击右侧操作下面“删除”完成删除VDH。 10.2 VDH监控可经过“VDH监控”，来监控VDH服务器性能状态。点击操作下面“监控”，以下图; Ø 任务管理器：可查看相关应用程序、进程等。同：Windows任务管理器； Ø 计算机管理：可对VDH主机进行管理； Ø 事件查看器：可审核系统事件和存放系统、安全及应用程序日志； Ø 性能：可查看VDH主机性能； Ø 网络配置：可查看及修改网络配置： Ø 信任站点：可添加信任站点： Ø 相关：能够查看VDH版本： 10.3 VDH应用安装 VDH应用，必需在后台进行安装，具体步骤和注意事项请参见《运维安全审计系统（HAC）_应用公布配置手册》 10.4 VDH应用配置对VDH应用协议进行配置，可添加、编辑、删除应用协议。进入“运维管理/应用公布”，点击右侧“应用配置”，页面以下：添加应用协议，点击“添加”进入添加页面： Ø 协议名称：填写协议名称，由字母、数字、下划线、中杠线、点组成，此名称用于资源管理中显示协议名[必填项]； Ø 权限设置：可设置为一般用户、超级用户（不推荐使用）； Ø 代理转发：勾选此代理则采取数据库代理方法审计，支持Oracle、Informix、DB2三种数据库类型，勾选此项审计平台可审计数据库具体信息。说明：若“运维管理/运维配置”中若“Imperva数据库审计”为“开启”状态，应用协议不能勾选“代理转发”。 Ø 程序名称：填写应用程序名称，此名称是在用户进行运维时桌面显示图标名称；[必填项] Ø 程序路径：应用程序在VDH主机上安装路径，现在全部应用程序必需安装在C:\Program Files 或C:\Windows 目录下。下面以PLSQL为例， PLSQL应用程序路径，从开始菜单/程序/PLSQL Developer/PLSQL Developer/右键属性：快捷方法中“目标”，便是PLSQL应用程序路径。添加PLSQL协议： Ø 自开启：设置定义程序是否运维用户在登录vdh时，能自动开启；（“我电脑”不许可设置为自动开启） Ø 开启参数：即该应用开启时，运行参数。点击“保留”完成添加。添加完成，可在资源管理中添加该应用资源，进入“运维管理/资源管理/操作系统配置”。可添加PLSQL协议。 11 运维配置 “运维配置”提供运维相关设置，包含帐户锁定、提醒修改密码提前天数、强制修改密码提前天数、强制修改密码延后天数、托管登录、变更工单、RDP设置、telnet设置、imperva数据库审计等。进入“运维管理/运维配置”，页面以下：帐户锁定：为了预防用户帐户密码被暴力破解，所设置登录次数限制。默认值为5次，假如超出设置值，该帐户将被锁定，变成未激活状态。死锁次数设置为零，表示不启用此功效（死锁次数对认证方法为令牌认证运维账户不起作用）；提醒修改密码提前天数：运维用户密码到期前X天进行提醒修改密码；强制修改密码提前天数：运维用户密码到期前M天要求强制修改密码；强制修改密码延后天数：运维用户密码到期后N天要求强制修改密码；托管登陆：可控制运维用户是否能够自行输入后台关键服务器设备帐户和密码，登录后台服务器；变更工单：HAC可和变更工单管理制度相结合，运维工单状态，设置开启或关闭使用运维工单； RDP设置：RDP运维过程中磁盘映射、剪贴板和Console控制设置：磁盘映射：勾选此项后，运维用户在RDP运维过程中有磁盘映射权限； RDP剪贴板：勾选此项后，运维用户在RDP运维过程中可使用当地剪贴板； RDP登录Console：勾选此项后，运维用户在RDP运维时可使用Console方法登录RDP服务器； Telnet设置：设置telnet运维时，用户端到HAC段是否为加密协议，即SSH。默认关闭。 Imperva数据库审计：设置是否应用Imperva数据库审计功效。（注：Imperva数据库审计支持Oracle、DB2、informix、mysql、Ms-sql） 12 技术支持 HAC技术支持联络方法以下：广州总部：地址：广州市萝岗区科学城科学大道162号创意大厦B3区主楼2层邮编：510663 电话：(0086)- 传真：(0086)- 北京分企业：地址：北京上地东路5-3号烽火科技大厦七层邮编：100085 电话：(0086)- 传真：(0086)- 上海分企业：地址：上海市徐汇区田林路140号徐汇创意新天地28号楼3楼336-338室邮编：33 电话：(0086)- 传真：(0086)- 重庆分企业：地址：重庆市九龙坡区石桥铺科园一路2号大西洋国际1901 邮编：400039 电话：(0086)- 传真：(0086)-023- 68794362

展开阅读全文