配置用户登录安全锁
为保障云堡垒机系统用户登录安全,在用户登录云堡垒机时,输入密码错误次数超过系统设置的次数限制后,用户“来源IP”或“用户”帐号将被锁定。
本小节主要介绍如何配置用户登录安全锁,包括修改锁定方式、锁定时长、可尝试密码次数等。
前提条件
用户已获取“系统”模块管理权限。
操作步骤
- 登录云堡垒机系统。
- 选择“系统 > 系统配置 > 安全配置”,进入系统安全配置管理页面。
- 在“用户锁定配置”区域,单击“编辑”,弹出用户锁定配置窗口。
根据界面提示配置系统用户登录安全锁。
用户锁定配置参数说明
| 参数 | 说明 |
|---|---|
| 锁定方式 | 选择用户锁定方式,可选择“用户”或“来源IP”两种方式。 “用户”,输入密码错误次数超过次数限制后,禁止使用该登录名的用户登录。 “来源IP”,输入密码错误次数超过次数限制后,禁止该来源IP的用户登录。 |
| 尝试密码次数 | 连续输入密码错误的最大次数。 默认为5次。 取值范围为0~999。 设置为0,表示密码错误后不锁定用户登录。 |
| 锁定时长 | 因密码错误锁定用户登录的时长。 默认为30分钟。 取值范围为0~10080,单位为分钟。 设置为0,表示除非管理员解除锁定,用户登录帐号或来源IP将一直被锁定。 |
| 重置计数器时长 | 用户登录失败后,登录失败次数计数器重置为0的时长。 默认值为5分钟。 取值范围为1~10080,单位为分钟。 |
- 单击“确定”,返回安全配置管理页面,查看当前系统用户锁定配置。
系统用户安全锁
配置登录密码策略
本小节主要介绍如何配置用户密码策略,包括配置密码安全强度、密码验证次数、密码修改周期等。
前提条件
用户已获取“系统”模块管理权限。
操作步骤
- 登录云堡垒机系统。
- 选择“系统 > 系统配置 > 安全配置”,进入系统安全配置管理页面。
系统安全配置
- 在“密码策略配置”区域,单击“编辑”,弹出密码策略配置窗口。
根据界面提示配置系统用户密码策略。
密码策略配置参数说明
| 参数 | 说明 |
|---|---|
| 密码强度校验 | 选择开启或关闭强制系统用户强密码验证,默认开启。 关闭,表示关闭强密码校验。 开启,表示启用强密码校验,系统用户密码校验必须达到要求。密码长度必须为8~32个字符,且包含大小写字母、数字和特殊字符,不支持空格。 |
| 新用户强制改密 | 选择开启或关闭强制系统新用户首次登录修改密码,默认开启。 关闭,表示系统新用户首次登录无需修改密码。 开启,表示强制系统新用户首次登录必须修改密码。 |
| 密码相同校验 | 校验修改后新密码与前N次设置的密码重复性。 系统用户首次登录的密码不计算在内。 默认次数为5。 取值范围为1~30。 |
| 密码修改周期 | 校验系统用户密码的修改周期,密码超过修改周期后强制修改密码。 默认周期为30天。 取值范围为0~90,单位为天。 若设置为0,表示密码永不过期。 |
- 单击“确定”,返回安全配置管理页面,查看当前系统用户密码策略配置。
系统用户密码策略
配置登录超时和登录验证
本小节主要介绍如何配置通过Web页面和客户端的登录系统,包括配置登录超时时间、短信验证码过期时间、图形验证码启用、SSH公钥登录、SSH密码登录等。
前提条件
用户已获取“系统”模块管理权限。
操作步骤
- 登录云堡垒机系统。
- 选择“系统 > 系统配置 > 安全配置”,进入系统安全配置管理页面。
- 在“Web登录配置”区域,单击“编辑”,弹出Web登录配置窗口,根据界面提示配置系统Web登录参数。
Web登录配置参数说明
| 参数 | 说明 |
|---|---|
| 登录超时 | 用户在系统管理界面或运维会话界面,无操作退出登录的限定时间。 即用户通过Web浏览器登录系统后,在系统管理界面或运维会话界面,无操作时长超过设定的值,将退出登录,运维会话断开连接。 默认超时时间为30分钟。 取值范围为1~43200,单位为分钟。 |
| 短信验证码过期时间 | 登录系统短信验证码的过期时间。 默认过期时间为60秒 取值范围为15~3600,单位为秒。 若设置为0,表示短息验证不过期。 |
| 图形验证码 | 选择启用、禁用或自动启用登录系统图形验证码。 选择“启用”,登录系统时必须图形验证码验证。 选择“禁用”,登录系统时无需图形验证码验证。 选择“自动”,登录系统时,根据密码错误次数,自动启用图形验证码。 |
| 登录尝试次数 | 登录密码错误次数超过限制,将自动启用图形验证码。 “图形验证码”配置为“自动”时,必须配置登录尝试次数。 默认尝试次数为3。 取值范围为1~30。 |
| 图形验证码过期时长 | 图形验证码的过期时间。 默认过期时间为60秒。 取值范围为15~3600,单位为秒。 若设置为0,表示图形验证码不过期。 |
| 域控校验 | 选择开启或禁用域控校验,默认关闭。 表示当系统配置“域控校验”,且用户选择AD域认证时,该用户需下载SSO登录工具,并在登录名相同的域服务器中才能成功登录系统。关闭,表示禁用域控校验。 |
- 单击“确定”,返回安全配置管理页面,查看当前系统Web登录配置。
客户端登录配置
- 登录云堡垒机系统。
- 选择“系统 > 系统配置 > 安全配置”,进入系统安全配置管理页面。
- 在“客户端登录配置”区域,单击“编辑”,弹出客户端登录配置窗口,根据界面提示配置系统客户端登录参数。
| 参数 | 说明 |
|---|---|
| 登录超时 | 用户登录SSH客户端后,无操作退出登录的限定时间。 默认超时时间为30分钟。 取值范围为1~43200,单位为分钟。 |
| SSH公钥登录 | 选择开启或关闭SSH公钥登录,默认 。 |
| SSH密码登录 | 选择开启或关闭SSH密码登录,默认 。若同时开启了“公钥登录”和“密码登录”,优先验证公钥登录方式。 |
- 单击“确定”,返回安全配置管理页面,查看当前系统客户端登录配置。
更新系统Web证书
云堡垒机Web证书是验证系统网站身份和安全的SSL(Secure Sockets Layer)证书,遵守SSL协议的服务器数字证书,并由受信任的根证书颁发机构颁发。
云堡垒机系统默认配置安全的自签发证书,但受限于自签发证书的认证保护范围和认证保护时间,用户可替换证书。
本小节主要介绍在证书过期或安全扫描不通过时,用户如何更新证书,确保CBH系统安全。
前提条件
已获取证书,并下载签发证书。
上传证书绑定的域名已解析到绑定云堡垒机实例的弹性公网IP。
用户已获取“系统”模块管理权限。
约束限制
目前云堡垒机系统只适配Tomcat的Java Keystore格式证书文件,即后缀为jks的证书文件。
上传的证书文件大小不超过20KB,且证书文件包含证书密码。
无证书密码将不能验证上传证书,SSL证书文件无法上传到系统。
操作步骤
- 登录云堡垒机系统。
- 选择“系统 > 系统配置 > 安全配置”,进入系统安全配置管理页面。
- 在“Web证书配置”区域,单击“编辑”,弹出Web证书更新窗口。
- 上传下载到本地的证书文件。
- 证书文件上传成功后,输入keystore密码,证书密码验证文件。
- 单击“确定”,返回安全配置管理页面,查看当前系统Web证书信息。
- 证书信息更新后,为了使证书生效,需要重启堡垒机系统。
配置手机令牌类型
手机令牌可用来生成动态口令的手机客户端软件。云堡垒机系统支持通过绑定手机令牌,对用户登录进行多因子身份认证,用户配置“手机令牌”多因子认证后,需同时输入用户密码和6位手机令牌验证码,才能登录云堡垒机系统。
本小节主要介绍如何设置系统手机令牌类型。
约束限制
目前仅支持两种手机令牌类型:
- 内置手机令牌:微信小程序手机令牌。
- RADIUS手机令牌:APP版手机令牌,包括Google Authenticator和FreeOTP。
系统手机令牌类型,需与实际绑定手机令牌类型一致。
前提条件
用户已获取“系统”模块管理权限。
操作步骤
- 登录云堡垒机系统。
- 选择“系统 > 系统配置 > 安全配置”,进入系统安全配置管理页面。
- 在“手机令牌配置”区域,单击“编辑”,弹出手机令牌类型配置窗口。
- 选择系统手机令牌类型。
- 单击“确定”,返回安全配置管理页面,查看当前系统手机令牌类型。
配置USB Key厂商
本小节主要介绍如何配置系统USB Key厂商。
约束限制
目前仅支持北京CA、龙脉科技和吉大正元三家厂商的USB Key。
更改USBKey厂商配置后,已签发的其他厂商USB Key将不能被识别。
前提条件
用户已获取“系统”模块管理权限。
操作步骤
- 登录云堡垒机系统。
- 选择“系统 > 系统配置 > 安全配置”,进入系统安全配置管理页面。
- 在“USB Key配置”区域,单击“编辑”,弹出系统USB Key厂商配置窗口。
- 选择USBKey厂商。
- 单击“确定”,返回安全配置管理页面,查看当前系统USB Key厂商。
配置僵尸用户禁用策略(V3.3.30.0及以上版本)
僵尸用户策略功能,支持对僵尸用户进行判定并自定义设置判定时间,即超过判定时间未登录的用户会被判定为僵尸用户,系统将自动禁用这些用户,至到管理员解除禁用。默认判定时间为30天,如果时间设置为0,则所有用户会立即被禁用。
前提条件
用户已获取“系统”模块管理权限。
操作步骤
- 登录云堡垒机系统。
- 选择“系统 > 系统配置 > 安全配置”,进入系统安全配置管理页面。
- 在“用户禁用配置”模块的右侧,单击“编辑”,进入“用户禁用配置”页面。
- 禁用僵尸用户:默认为关闭状态,打开后的状态为
。 - 僵尸用户判定时间:有效值0~10080,默认为30天,如果设置为0,则所有用户会立即被禁用,直到管理员解除禁用。解除禁用的相关操作请参考6.2.2 启停用户章节。
- 单击“确定”。
配置RDP资源客户端代理(3.3.26.0及以上版本)
本小节主要介绍如何配置RDP资源客户端代理。
前提条件
用户已获取“系统”模块管理权限。
操作步骤
- 登录云堡垒机系统。
- 选择“系统 > 系统配置 > 安全配置”,进入系统安全配置管理页面。
- 在“RDP资源客户端代理配置”模块的右侧,单击“编辑”,进入“RDP资源客户端代理配置”页面。
- 在“安全层”下拉框中,选择客户端代理,然后单击“确定”。
支持选择的安全层:RDP、TLS、协商。
