命令控制策略用于控制用户访问资源的关键操作权限,实现Linux主机运维操作的细粒度控制。
针对SSH和Telnet字符协议主机,根据管理员配置的策略限制,云堡垒机对用户运维过程中执行的命令进行审计和过滤,并返回审计的命令、过滤结果和命令返回的内容,用于会话操作记录、拒绝使用等动作。
命令控制策略支持以下功能项:
- 支持按策略列表页策略排序区分优先级,排序越靠前优先级越高(优先级可选1-100)。
- 支持控制允许执行、拒绝执行、断开连接、动态授权四种命令动作。
- 允许:触发该策略规则后,放行命令操作。默认允许执行所有操作。
- 拒绝:触发该策略规则后,拒绝执行该命令,界面会提示您在执行命令时会得到该命令不能执行的提示。
- 警告:触发该策略规则后,警告运维用户谨慎执行该命令。
新增命令组
您在新增字符命令授权前需要进行新增命令组的操作。
1.使用“管理角色”账户登录云堡垒机(原生版)控制台。
2.在左侧导航栏选择“授权管理 > 字符命令授权”,进入“命令授权”页面。
3.在页面上面选择“命令组”页签,单击“新增”,开始新增命令组。
| 参数 | 参数说明 | 取值样例 |
|---|---|---|
| 名称 | 自定义命令组的名称。 | Test |
| 提示符正则式 | 填写命令提示符的正则表达式。 | grep "su root" filename.txt |
| 命令正则式 | 填写命令规则的正则表达式。 | en\w* |
| 风险等级 | 选择该命令组的风险等级,共可选5个等级。 | 普通 |
| 动作 | 选择该命令组中的命令触发时产生的动作: - 允许:触发该策略规则后,放行命令操作。默认允许执行所有操作。 - 拒绝:触发该策略规则后,拒绝执行该命令,界面会提示您在执行命令时会得到该命令不能执行的提示。 - 警告:触发该策略规则后,警告运维用户谨慎执行该命令。 |
拒绝 |
说明
提示符、命令采用正则表达式书写;
命令匹配上多条策略时,动作执行优先级“警告”>“允许”>“拒绝",若未匹配上任何策略则放行。
命令组后续操作
修改命令组:选择需要修改的命令组,单击“操作”列中“编辑”,按照需求进行命令组数据的修改,单击“提交”完成命令组数据更新。
删除命令组:选择需要删除的命令组,单击“操作”列中“删除”,在弹出的对话框中单击“确定”即可删除命令组。
注意删除后的命令组不可恢复,并且若命令组已绑定命令授权规则会导致该命令规则失效,请谨慎操作。
新增命令授权规则
1.使用“管理角色”账户登录云堡垒机(原生版)控制台。
2.在左侧导航栏选择“授权管理 > 字符命令授权”,进入“命令授权”页面。
3.单击“新增”,开始新增字符命令授权。
| 参数 | 参数说明 | 取值样例 |
|---|---|---|
| 授权规则名称 | 自定义资产访问授权的规则名称。 | Test |
| 启用状态 | 选择该授权规则的启用状态,默认启用。 | |
| 用户 | (可选)选择需要配置访问授权的用户。 | - |
| 用户组 | (可选)选择需要配置访问授权的用户组。 若您选择的用户和用户组存在重合,默认取最大的合集。 |
- |
| 资产 | (可选)选择需要配置访问授权的资产。 | - |
| 资产组 | (可选)选择需要配置访问授权的资产组。 若您选择的资产和资产组存在重合,默认取最大的合集。 |
- |
| 资产账号 | 选择命令授权规则生效的资产账号,添加资产账号请参见:资产账号章节。 | - |
| 敏感命令 | 选择需要进行控制的命令组,并填写优先级,优先级范围:1-100,数字越小优先级越高。 | - |
| 授权时间 | 选择该规则生效的时间段。 | - |
说明
配置时至少需要关联至少一个授权对象,否则这条命令策略不起作用,其余未关联的表示对所有生效;
以基础设施访问授权时,账号必须拥有该基础设施访问授权的访问权限策略才会生效。
后续操作
启用/禁用授权规则:可单个或批量启用/禁用授权规则,禁用的授权规则状态将更新为“无效”,启用的授权规则状态更新为“有效”,只有状态为“有效”的规则授权会生效。
编辑授权规则:选择需要修改的规则,单击“操作”列的“编辑”,按照需求进行命令授权数据的修改,单击“提交”完成命令授权数据更新。
删除授权规则:在需要删除的授权数据的“操作”列单击“删除”,在弹出的对话框中单击“确定”完成删除。
