云堡垒机有哪些文件传输方式?
云堡垒机支持文件传输功能,以及审计传输的文件。Linux主机和Windows主机的文件传输方式有所区别。
Linux主机
Linux主机上传/下载文件,可选择Web运维和FTP/SFTP客户端运维两种方式。
- Web运维
- 需先将Linux主机配置为SSH协议主机资源。
- 通过Web运维登录目标Linux主机,可在会话窗口“文件传输”页面,执行上传/下载操作,实现本地与目标主机间文件的直接传输。也可经个人网盘“中转”,实现目标主机与其他主机间文件的间接传输。
- Web运维不支持执行 rz /sz命令上传/下载文件。
- FTP/SFTP客户端运维
- 需先将Linux主机配置为FTP、SFTP协议主机资源。
- 通过客户端工具登录目标Linux主机,可在会话窗口执行rz /sz命令传输文件。
Windows主机
Windows主机上传/下载文件,仅可选择Web运维方式。
需先将Windows主机配置为RDP协议主机资源。通过Web浏览器登录目标Windows主机,可在会话窗口“文件传输”页面,执行上传/下载操作,经个人网盘“中转”,打开Windows服务器磁盘目录,对G盘上文件进行上传下载操作,即可实现Windows主机的文件传输。
个人网盘在Windows主机上的默认路径为NetDisk G盘。
SSH协议主机,如何使用FTP/SFTP传输文件?
运维员admin_A需要利用FTP/SFTP客户端,向云堡垒机已纳管的SSH协议主机HOST_A传输文件。
配置HOST_B资源
云堡垒机管理员用户为运维员admin_A配置主机HOST_B运维的权限。
1 选择“资源 > 主机管理”。
2 单击“新建”,新建一个FTP/SFTP协议主机 HOST_B 。
“协议类型”选择FTP或SFTP。为了提高安全性,建议采用SFTP。
“主机地址”配置为HOST_A的主机地址。
其他参数值均参考HOST_A进行设置。即HOST_A和HOST_B实际指向同一台主机,只是协议类型不同。
3 选择“策略> 访问控制策略”,将新创建的主机HOST_B授权给运维员 admin_A 。
SFTP/FTP传输文件
运维员admin_A登录云堡垒机,通过HOST_B资源传输文件。
1 选择“运维 > 主机运维”。
2 单击主机HOST_B对应的“登录”。
3 打开本地FTP/SFTP客户端,参考弹出窗口填写登录信息。
4 成功登录主机 HOST_B ,即可进行文件传输。
通过Web浏览器运维,如何上传/下载文件?
通过Web运维支持“文件传输”功能,在Web浏览器会话窗口上传/下载文件。不仅可实现本地与主机之间文件的传输,同时可实现不同主机资源之间文件的相互传输。CBH系统详细记录传输文件的全过程,可实现对文件上传/下载的审计。
“主机网盘”是为CBH用户定义的系统个人网盘,可作为不同主机资源间文件的“中转站”,暂存用户上传/下载的文件,且个人网盘中文件内容对其他用户不可见。
“主机网盘”与系统用户直接匹配,删除用户后,个人网盘中文件将被清空,个人网盘空间将被释放。
约束限制
目前仅SSH、RDP协议主机,支持通过Web运维上传/下载文件。
Web运维不能通过执行 rz /sz命令等方式上传/下载文件,仅能通过“文件传输”操作上传/下载文件。
Linux主机资源支持在客户端执行命令方式传输文件,例如在SSH客户端执行 rz /sz命令上传/下载文件。但该方式不能被CBH系统记录上传/下载的具体文件,不能达到对全程安全审计的目的。
注意
支持下载一个或多个文件,不支持下载文件夹;
不支持断点续传,文件上传或下载过程请勿终止或暂停;
不支持传输超大文件,建议分批次上传/下载文件,传输的文件大小不超过1G。
前提条件
- 已获取主机资源文件上传/下载权限。
- 已获取主机资源运维的权限,能通过Web浏览器正常登录。
Linux主机中文件的上传/下载
Linux主机资源上传/下载文件不依赖个人网盘,可直接实现与本地的文件传输。个人网盘可“中转”来自其他主机资源的文件。
1 登录云堡垒机系统。
2 选择“运维 > 主机运维”,选择目标Linux主机资源。
3 单击“登录”,跳转到Linux主机资源运维界面。
4 单击“文件传输”,默认进入Linux主机文件列表。
5 上传文件到Linux主机。
单击上传图标,可选择“上传本地文件”、“上传本地文件夹”、“上传网盘文件(夹)”,可分别上传一个或多个来自本地或个人网盘的文件(夹)。
6 下载Linux主机中文件。
选中一个或多个待下载文件。
单击下载图标,可选择“下载到本地”、“保存到网盘”,可分别下载一个或多个文件到本地或个人网盘。
7 上传文件到个人网盘。
单击“云主机文件”,选择“主机网盘”,切换到个人网盘文件列表。
单击上传图标,可选择“上传本地文件”、“上传本地文件夹”,可上传一个或多个来自本地的文件或文件夹。
8 下载个人网盘中文件。
选中一个或多个待下载文件。
单击下载图标,直接下载一个或多个文件到本地。
Windows主机中文件的上传/下载
通过CBH运维Windows主机资源,个人网盘在Windows主机上的默认路径为NetDisk G盘,该磁盘即为当前用户的个人网盘。
Windows主机资源不能直接与本地进行文件传输,必须依赖于个人网盘的“中转”才能实现文件的传输。
1 登录云堡垒机系统。
2 选择“运维 > 主机运维”,选择目标Windows主机资源。
3 单击“登录”,跳转到Windows主机资源运维界面。
4 单击“文件传输”,默认进入个人网盘文件列表。
5 上传文件到Windows主机。
单击上传图标,可选择“上传本地文件”、“上传本地文件夹”,可上传一个或多个来自本地的文件或文件夹。
打开Windows主机的磁盘目录,查找G盘NetDisk。
打开NetDisk磁盘目录,鼠标右键复制目标文件(夹),并将其粘贴到Windows主机目标目录下,实现将文件上传到Windows主机。
6 下载Windows主机中文件。
打开Windows主机的磁盘目录,鼠标右键复制目标文件(夹)。
打开NetDisk磁盘目录,鼠标右键粘贴文件(夹)目录下,实现将Windows主机文件下载到个人网盘。
7 下载个人网盘中文件。
选中一个或多个待下载文件。
单击下载图标,直接下载一个或多个文件到本地。
云堡垒机的“主机网盘”是什么?
云堡垒机“主机网盘”是系统用户的个人网盘,可作为用户传输文件的“中转站”,暂存用户上传/下载的文件。
系统用户私有个人网盘空间。网盘中内容仅用户自己可见,对系统其他用户不可见。
与系统用户直接关联。用户被删除后,个人网盘中数据将被清空,个人网盘内存将被释放。
可用内存大小为系统配置的“个人网盘空间”大小。
系统所有用户的已使用个人网盘空间,不能超过系统配置的“网盘总空间”大小。
注意
不支持用户自定义个人网盘空间大小,仅能由系统管理员设置“个人网盘空间”,为系统用户分配相同大小的个人网盘空间;
不支持查询个人网盘已使用内存大小;
不支持设置定期清理,用户仅能通过手动删除文件来清理空间。
如何清理个人网盘空间?
云堡垒机“主机网盘”是系统用户的个人网盘,暂不支持设置定期清理。
管理员可通过手动删除过期或废弃的文件,来清理个人网盘空间。
删除某个用户所有的网盘空间
1 登录云堡垒机系统。
2 选择“系统 > 数据维护 > 存储配置”,进入系统存储配置管理页面。
3 展开网盘空间,即可查看设置的“个人网盘空间”和“网盘总空间”。
4 单击“详情”,进入网盘详情页面。
5 在目标网盘所在行的“操作”列,单击“删除网盘数据”,可以清理个人网盘空间。
勾选多个需要删除的网盘数据,单击“删除网盘数据”,可批量清理个人网盘数据。
删除部分网盘空间
Linux主机
1 登录云堡垒机系统。
2 选择“运维 > 主机运维”,选择目标Linux主机资源。
3 单击“登录”,跳转到Linux主机资源运维界面。
4 单击“文件传输”,默认进入Linux主机文件列表。
5 单击“云主机文件”,选择“主机网盘”,切换到个人网盘文件列表。
6 勾选一个或多个文件或文件夹,单击删除图标,可删除文件或文件夹。
Windows主机
1 登录云堡垒机系统。
2 选择“运维 > 主机运维”,选择目标Windows主机资源。
3 单击“登录”,跳转到Windows主机资源运维界面。
4 单击“文件传输”,默认进入个人网盘文件列表。
5 勾选一个或多个文件或文件夹,单击删除图标,可删除文件或文件夹。
如何配置文件管理权限?
云堡垒机支持“文件管理”,可对纳管资源中文件或文件夹进行管理。
通过开启资源和访问控制策略的“文件管理”权限,用户即可对资源文件进行增删改查操作。
若用户需要上传或下载文件,则还需同时开启访问控制策略的“上传”或“下载”权限,实现文件上传和下载功能。
约束限制
目前仅SSH、RDP和VNC协议主机资源和应用资源支持“文件管理”。
前提条件
拥有资源和访问控制策略管理权限的用户,才能配置文件管理权限。
步骤一:开启资源“文件管理”权限
主机资源和应用资源都支持“文件管理”功能,以添加主机资源ECS1的“文件管理”权限为例。
1 登录云堡垒机系统。
2 选择“主机 > 主机管理”,单击ECS1的名称或“管理”,进入ECS1详情页面。
3 单击“基本信息”区域“编辑”,进入“编辑主机基本信息”窗口。
4 在“更多选项”行勾选“文件管理”,单击“确认”完成设置。
设置主机文件管理
步骤二:授权用户“文件管理”
通过配置访问控制策略,将资源的运维操作权限授予用户,以运维用户User1获取ECS1文件管理权限为例。
1 选择“策略 > 访问控制策略”,单击“新建”,进入“新建访问控制策略”窗口。
2 配置“基本信息”,开启策略“文件管理”权限。
(可选)在“文件传输”行勾选“上传”或“下载”。
(必选)在“更多选项”行勾选“文件管理”。
配置策略中文件管理
3 单击“下一步”,依次关联用户User1和资源 ECS1 。
关联用户和资源
4 单击“确认”完成配置。
权限验证
以User1通过云堡垒机系统登录 ECS1 ,进行Web运维为例。
1 User1登录云堡垒机系统。
2 选择“运维 > 主机运维”,在ECS1行单击“登录”,跳转到ECS1运维窗口。
3 单击“文件传输”,即可查看到主机网盘或云主机上文件。
云主机是CBH纳管的资源,用户可管理资源中文件或文件夹。
主机网盘是一个系统用户的个人网盘,用户可将个人网盘作为不同主机资源间的文件“中转站”,实现纳管资源间文件的传输。
主机文件传输
4 授权了“上传”或“下载”权限的资源,单击
或
标识,可对文件进行上传或下载操作。
上传文件到云主机
下载云主机文件
云堡垒机能对上传文件进行安全检测吗?
不能。
云堡垒机是运维安全管理与审计平台,不支持对上传文件进行检测。
上传/下载文件失败怎么办?
通过Web运维上传下载失败
问题现象
下载“云主机文件”到“主机网盘”,即下载文件到用户个人主机网盘时,提示下载失败错误。
- 上传文件失败,提示“/3.0/h5FileService/upload-403:服务错误,请稍后重试”。
- 从本地上传文件到“主机网盘”,即上传到用户个人主机网盘时,提示“个人网盘空间不足,请清理网盘或联系管理员增加网盘空间”或“网盘存储空间不足”。
- 上传/下载大文件失败。
- 客户使用debian+rdp协议上传文件失败。
- 客户使用zoc客户端工具上传文件失败。
排查思路及解决办法
图 排查思路图
表 解决办法
| 排查步骤 | 可能的原因 | 解决办法 |
|---|---|---|
| 排查待上传/下载的文件是否打包成压缩文件 | 堡垒机不支持下载文件夹, 需要把文件夹打包成压缩文件才可以上传/下载。 | 把文件夹打包成压缩文件,再进行上传/下载。 |
| 排查是否配置了上传/下载权限 | 未开启资源“文件管理权限”,也未授权用户“文件管理”的上传/下载权限。 | 1. 开启资源“文件管理”权限。 2. 授权用户“文件管理”的上传/下载权限。 |
| 排查浏览器的缓存空间 | 浏览器的缓存空间不足 | 用户手动清理浏览器缓存空间后,再次上传。 |
| 排查“个人网盘空间”是否还有可存储容量 | “个人网盘空间”不支持自动定期清理,“个人网盘空间”容量小,个人网盘空间不足,甚至系统剩余可用存储空间不足。 | l 用户手动清理用户个人主机网盘文件,释放出可用空间。 l 管理员用户重新设置个人网盘空间。 |
| 排查上传/下载的文件是否太大 | 上传/下载的文件太大 | l 用户将大文件切割成1G左右的小文件,分批次上传/下载。 |
| 排查Web登录超时时间配置是否不合理 | 上传/下载大文件耗时较长,且Web登录连接超时,导致上传/下载超大文件失败。 | l 用户上传/下载过程中不定时返回上传/下载界面,保持云堡垒机在操作状态。 l 管理员用户修改Web登录超时时间。 l 管理员用户重新设置个人网盘空间。 |
| 排查客户端使用的协议和上传工具是否与云堡垒机兼容 | 云堡垒机暂不支持debian+rdp协议和zoc工具上传/下载文件。 | 使用云堡垒机支持的协议以及对应的客户端工具上传/下载文件: lSFTP 协议 :Xftp 6及以上、WinSCP 5.14.4及以上、FlashFXP 5.4及以上 lFTP 协议 :Xftp 6及以上、WinSCP 5.14.4及以上、FlashFXP 5.4及以上、FileZilla 3.46.3及以上 |
通过SSH客户端运维上传/下载失败
问题现象
在Xshell客户端上,登录云堡垒机运维SSH协议主机资源,不能正常调用Xftp客户端传输文件。
可能原因
云堡垒机SSH客户端运维限制调用工具进行文件传输,即SSH客户端运维不支持文件传输功能和审计传输的文件。
解决办法
- 重新配置一个同“主机地址”的FTP/SFTP协议主机资源,通过FTP/SFTP客户端运维进行文件传输。
例如,配置SFTP协议主机资源并授权访问控制权限后,直接在Xftp客户端上,登录云堡垒机运维配置的主机资源,即可实现上传/下载文件。
- 通过Web运维SSH协议主机资源,实现上传/下载文件操作。
通过Web浏览器运维,提示不支持文件传输怎么办?
问题现象
通过Web浏览器登录Linux主机资源,选择“文件传输”页签,提示“当前主机不支持文件传输功能”,无法查看文件目录。
可能原因
Linux主机systemd-logind服务异常,影响SSH服务正常使用,导致文件传输功能不能被识别。
解决办法
步骤 1 检查SSH服务是否正常。
在运维会话窗口,执行systemctl status sshd.service命令,查看服务状态。
- 若回显信息如下,则为systemd-logind服务异常,请执行2。
pam_systemd
sshd:session:Failed to create session :Activation of org......
- 若回显其他信息,请联系技术支持。
步骤 2 重启Linux主机systemd-logind服务。
在运维会话窗口,执行systemctl restart systemd-logind.service命令,重启登录服务。
步骤 3 重启Linux主机SSH服务。
在运维会话窗口,执行如下命令,重启SSH服务。
CentOS 6
**service
sshd restart**
CentOS 7
**systemctl
restart sshd**
步骤 4 退出登录,重新通过云堡垒机登录Linux主机资源,打开运维会话窗口。
通过Web浏览器运维,单击“文件传输”加载不出文件列表怎么办?
问题现象
Web页面登录云堡垒机实例并纳管Linux服务器后 ,单击“文件传输”,加载不出文件列表(一直转圈)。
可能的原因
Linux服务器的目录下,有特殊字符(乱码)的文件或者文件夹导致的。
解决办法
检查Linux服务器目录下是否有乱码文件或者文件夹。建议将有乱码的文件名或者文件夹名进行重命名,否则无法加载出目录列表。
