运维管理员办法

1、运维安全审计系统（AC）运维治理员手册广州江南科友科技股份有限公司2012年3月版权声明本手册中涉及的任何文字叙述、文档格式、插图、照片、方法、过程等所有内容的版权属于广州江南科友科技股份有限公司所有。未经广州江南科友科技股份有限公司许可,不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。本手册中的信息受中国知识产权法和国际公约爱护。版权所有，翻版必究目 录 TOC o1-3 h z u HYPERLINK N:整理后1前言PAGER_Toc320964734 h 3HYPRNK l _Toc30935 .1概述 PAEREF_Toc3206735 h3HYPERLINK N:整理后

2、 l _Tc3209647312阅读讲明PAEREF_T32096476 h 3HYPERLINK N:整理后l1.3适用版本 PGEE _o964737 h 3 HYPERLI l _Toc32096738 1.4使用环境 PEREToc206438 3HYPRIK l_Tc3209479 2预备工作 PAGEREF _To320963h HYPERLINK N:整理后l2.1确定用户 PGEREF _Toc309640 h HYPERLNKloc3209441 .2确定访问服务器的协议PGERF Tc32441 h 4HYPERLINK N:整理后l.3确定自动登录帐户 PGRF _To3

3、2096474h 5HYPERLINK N:整理后l3首次登陆 ARF _Toc32096443 h 6 HYRLINK l _c3209644 4用户治理 PAERE_o264744h HYPERLINK N:整理后5用户组治理 PGREF Toc3296474 h 1HYPERLIN l _T209476 6资源治理 PAGEE _Toc32064746h14 HPERLINK l _Tc20447 .1资源治理PGE_Tc3647 h14HYPERLINK N:整理后62操作系统配置GERE _T32648h HYPRLI l _Toc9679 .3A域资源配置 PAGEREF Toc3

4、096749 20 HYPERINKl _To09670 7资源组治理 AGEREF c320964750 h 2 HERLNKl _Tc32064 8授权治理 PREF To32951 h6 HYPERLINK l_T20652.授权 GEEF _Toc2972 26HYPERLINK N:整理后8.2设备帐户分配 PERF _oc3096475h 28HYPERLINK N:整理后8.3告警 AGRE _To32096475 h29HYPERLINK N:整理后 l Toc09647559规则治理 GEREF _Tc320964755 h 33HYPERLINK N:整理后l1应用公布 A

5、GEREF _Toc3204756 35 YPRLINK l_oc945 10VDH添加、删除 PAGER _Toc20645 h35 HPRLK l _Toc32964758 0.2VDH监控PAEREF _c3209758 h 36YPERLIN l Toc3296459 10.VDH应用安装 PAGEREToc3206475 3HYPERLINK N:整理后l10.4VH应用配置 PAGEREF Tc320960h 38HYPERLINK N:整理后11运维配置 AGERE_Toc32094761 42 HYPERK l _Toc3206476212技术支持 PAEEF _Toc3209

6、6472 h 4前言概述本文档为运维安全审计系统的运维治理员使用手册，是运维治理员使用C的操作指南。阅读讲明本手册包含运维治理员的全部日常操作,要紧是与运维相关的操作。包含如何添加用户（组）,如何添加资源（组),如何样给用户进行授权,同时分配该用户能自动登录使用的帐户,以及定义应用公布，如何对运维方面的配置进行设置。适用版本本手册,适用于3.6E的公布版。使用环境HC的运维治理员使用WE登录方式作为用户界面。HAC的运维治理员,能够使用Mirosot nternt xpoe或以其为内核的其他扫瞄器，因部分控件的兼容问题,假如您使用的是IE扫瞄器,请在兼容模式下进行运行。预备工作确定用户 即确定

7、运维人员的用户名、授权信息(要紧是指某运维人员能够通过哪些协议访问哪些核心服务器或网络设备)。确定访问服务器的协议 该内容是预备工作的重点,要紧是确定核心服务器提供何种类型的运维协议供运维终端访问，即确定运维终端使用Telnet、S、TP、SFTP、RDP、TTP、HTTPS、AS400、WIN和VNC的哪些协议、端口去访问核心服务器进行日常运行维护操作。运维协议C P及服务端口真实主机P及服务端口备注Tene3:3:23LinuS172.1.163:23:22ixFT1726.6.163:210.10.:21WinwsSFTP172.6.3：210.0.123:2inudp

8、：38910.1.11:339WindowNC172.166.163:5901100.1.29:5901iuxXIN1216.6163:709：700LnuHTT172.16.16:80LnuTTPS172.1.63:443713.24inuxPsql172.16.16:00141WinwS40017.16.163:2319.84.45110Oters确定自动登录帐户该内容是为运维用户进行自动登录(S）做配置，要紧是确定核心服务器提供的后台登录帐户能够由哪个运维用户使用。假如，您所在的公司有独立的口令治理员,则帐户分配的工作需要在其为设备创建设备帐户后再进行

9、帐户分配。首次登陆用IE扫瞄器访问:http:/HCI/admin；访问过程中,假如是IE7/8，会出现证书安全警告等信息：选择“接着扫瞄此网站”,进入登陆页面。用户名和密码使用系统治理员创建的用户登录，假如是令牌模式治理员,或证书认证的治理员，请不勾选“口令认证”。以下以口令认证用户登录为例进行讲明:运维治理员登录HAC系统，以下是登录首页:首页内容为:当前日期、上次登录时刻及登录IP、最近10次操作记录。操作记录包含操作时刻、操作的客户IP、操作功能模块以及操作内容。为了安全性考虑,建议静态口令用户登录后，点击页面右上角“修改密码”，对密码进行更新。用户治理在用户治理模块中，能够对运维用户

10、的帐户进行治理,实现对其的添加、删除、修改和快速查找功能,能够实现用户的批量导入、导出功能，在后台设备差不多定义的情况下，能够为用户直接进行授权。添加用户的具体配置步骤如下：选择“运维治理用户治理”，点击“添加”按钮，出现如下配置页面:用户名:定义运维人员用户名，格式由数字、英文、下划线、中杠线、点组成，必须以数字或字母开头;(注:不支持中文）必选项认证方式：HC支持六种认证方式，包括口令认证、令牌认证、证书认证、LDP认证、A域认证、Radus认证，默认为口令认证;当认证方式为口令认证时，页面如上图所示，有口令策略、密码强度、密码、确认密码、密码有效期等项需要设置。口令策略：包括手工配置口令

11、和自动生成（邮件通知）口令；手工配置密码能够直接在下面的密码、确认密码框中输入用户密码；密码强度:系统会依照密码强度规则自动检测用户输入密码的安全强度,密码的强度由系统治理员进行全局设置;密码确认密码:不限字符，但不能设置空格PC键；必选项密码有效期：限制用户密码在有效期范围内有效；自动生成密码,要求“邮箱地址”为必填项,系统生成的密码发到该邮箱地址中。页面显示如下:注:口令策略中的“自动生成(邮件通知)”，只有在“系统治理/全局配置”中的“邮件服务器”配置了之后才会出现。当认证方式为令牌认证时,页面如下图所示:令牌认证:使用动态口令认证方式(具体参见运维安全审计系统(A)动态令牌使用手册当认

12、证方式为证书认证时，页面如下图所示,证书名为必填项，能够对证书的有效期进行设置。证书认证：使用证书认证方式(具体参见运维安全审计系统(C）科友key使用手册);L认证：使用LDAP认证方式进行认证；AD域认证：使用AD认证方式进行认证；Radius认证：使用adius认证方式进行认证;姓名：输入对应登录名的真实姓名,不限字符;必选项手机号码：即运维人员的手机号码;可选项邮箱地址：即运维人员的邮箱地址；可选项帐号密码更改、密码有效期到期、帐号激活变更通知、认证方式改变时系统会通过手机和邮箱的方式通知运维人员。备注:要紧是作为描述该用户的附加注释信息;可选项用户组:定义是否将该用户放置在一个定义好

13、的用户组中;可选项能够点击“新建用户组”打开用户组添加页面，添加用户组。状态：此状态表示此用户是否可用。A40协议的运维用户: 鉴于AS40运维的专门性，在AC中要使用AS4协议,运维用户名必须指定为运维用户的客户端IP地址,其他信息如,认证方式能够随便填写。例如:用户要在172.6.14上做AS400运维，运维用户名必须为“72.214”:授权和其他协议授权类似，具体运维过程见运维用户使用手册。用户组治理“用户组治理”与“用户治理”类似，其要紧功能是实现组授权、批量授权。可添加、编辑、删除用户组。能够按照用户组名和备注排序。选择“运维治理用户组治理”,点击“添加”后右方出现如下配置界面：用户

14、组名:填写用户组名称，可任意填写；必填项备注：要紧是作为描述该用户组的附加注释信息;可选项检索：能够检索用户,支持模糊查询；用户列表：可选择属于该用户组的用户;添加uer组，选择其中的user_a和uer_b用户，点击“添加”,如下图所示：添加完成,在用户组列表页面会有显示:资源治理 在资源治理模块中,实现对被审计的核心设备及提供的服务协议的治理,包括添加、编辑和删除，提供授权用户的入口，提供资源的批量导入和导出功能，同时也提供用户自定义操作系统的功能。资源治理进入“运维治理/资源治理”页面：可通过快速查找（设备名、操作系统、资源组、协议、IP地址)对资源进行过滤可针对设备名、操作系统、IP地

15、址对资源进行排序可添加、编辑、删除资源可通过设备导入、导出批量添加资源设备导入:即以Exce的形式导入设备配置列表。导出列表包括：设备名、操作系统、IP地址、资源列表等信息；设备导出：即以Excl的形式导出设备配置列表。导入列表包括:设备名、操作系统、IP地址、资源列表等信息。具体设置步骤如下:添加资源：点击上图的“添加”按钮,出现如下界面：设备名:定义设备名称，由格式设备名由中文、数字、字母、下划线、中杠线、点组成,长度为-6位;必选项I地址：输入服务器P地址；必选项检测：用于检查该设备与HAC是否可达。操作系统:从下拉框中选择该设备对应的操作系统；必选项（注：假如下拉菜单中的操作系统列表不

16、能满足您实际应用的需求，请进行“配置”,参见本文第6.2章节)资源:选择远程访问设备时使用的协议；必填项 （注:假如列表中默认的协议不能满足实际应用的需求，请进行“配置”，参见本文第6.2章节）备注:附加注释区域,不限字符;可选项添加资源,如定义一台eda_S：1010.1.9,协议为:tnet,如下图:可在协议对应的操作中编辑该协议的端口：其中elnet协议是否支持中文,如下;A4协议，添加如下: 此协议比较专门,需要虚拟网卡,虚拟网卡的配置由系统治理员进行配置，具体请参见运维安全审计系统（HC）_系统治理员使用手册 第7.4节。点击“保存”完成添加。编辑资源:“运维治理/资源治理”页面,点

17、击设备名进入编辑页面,可编辑除了“设备名”之外的所有信息：删除资源： “运维治理/资源治理”页面,勾选要删除的设备前面的复选框，点击“删除”完成删除。授权:完成添加，可点击操作中的“授权”,则跳转到授权页面，可进行用户和用户组授权。操作系统配置可对操作系统类型及协议做配置,进入“运维治理资源治理”，如上图,添加一个设备，再添加页面点击操作系统后面的“配置”,进入到操作系统配置页面:注：操作系统“RritanVM”,不可修改，提供给支持力登VM用户使用。通过编辑进行操作系统配置,可添加你所需要的页面上不存在的操作系统，可删除您不需要的操作系统，下面以RedadS4操作系统为例,编辑RdhadAS

18、4:操作系统名称：编辑操作系统时不可修改,添操作系统时可通过下拉列表选择您所需要的操作系统；操作系统版本:操作系统对应的版本,编辑操作系统时不可修改，添操作系统时可手动输入;权限提升:具有权限提升的操作系统，可勾选此项,例如：isco,HC等设备。那个地点以isco网络设备为例，编辑Cisco:权限提升命令：填写权限提升的命令,如:Csc为en，HC为su注意：提升权限的完整命令为：enale和ur。然而在实际应用中,通常使用简写。假如在那个地点填写en、su，那么在实际应用过程中,en/ena/enl、s/supe等命令都可匹配为权限提升。权限提升口令符:填写当输入“权限提升命令”后，操作系

19、统出现的固定提示符,如：assword:注意：应依照实际的情况，确认权限提升口令符中的“：”后,是否需要添加一个空格。讲明:对操作系统的描述讲明;协议：选择操作系统开放的协议;服务协议:TNET、FTP、FTP、SH、RD、AS0、XIN、VC、HT、HTTPS、DH应用协议;必选项点击“保存”完成编辑。AD域资源配置HAC关于A域资源的处理有专门之处,配置上与其他资源有部分不同。该部分介绍AD域操纵器、域成员以及域帐户在HAC上的配置,以下是具体配置过程：1.添加AD域操作系统因A域比较专门，默认配置中无此系统,需要手工配置此操作系统。进入“运维治理/资源治理/操作系统配置”:点击“添加”：

20、勾选rdp协议后,保存。2. 添加域操纵器进入“运维治理/资源治理设备列表”,添加域操纵器：设备名：要求是域操纵器的正确名称；必填项操作系统:选择D域; 添加域成员设备名：可自定义，符合设备名要求即可;操作系统：选择indows。4添加域帐户进入“设备口令治理/设备帐户治理帐户列表”,给域操纵器添加帐户user：添加完成,返回到“设备口令治理/设备帐户治理/帐户列表”可查看到域帐户的格式显示为:帐户名+域名:授权,过程同一般授权相同;进入“运维治理/授权治理/授权列表”页面，点击域成员设备的“帐户分配”，域成员服务器，在帐户分配中显示域操纵器的帐户名:勾选上后保存，即完成D域资源配置。 资源组

21、治理“资源组治理”即灵活定义服务器提供的运维服务协议的组合,方便批量授权。选择“运维治理/资源组治理”，页面如下:可针对资源组名对列表进行排序可通过点击各个协议名对资源组进行编辑，资源组添加，点击上图中“添加”:资源组名:必填项备注：对资源组的描述讲明。检索:可通过IP段检索您所需要的资源，也能够通过资源名模糊匹配来检索您所需的资源。资源列表:可选择的资源。点击“添加”完成资源组添加:资源组编辑，点击资源列表中的任意协议或AL,出现如下设置界面:资源组删除,在“运维治理/资源组治理”,勾选所要删除的资源前面的复选框，点击“删除”完成资源组的删除。授权治理授权治理定义了用户、用户组能够访问的资源

22、、资源组，同时指定了对应的授权规则。选择“运维治理/授权治理”,页面如下:可针对用户名、资源名、授权名对列表进行排序可创建“用户组资源/组授权规则”的授权可通过点击按钮“用户/组”“资源/组”，查看当前存在的授权可通过对资源进行过滤（不对资源组过滤）可对授权的资源进行帐户分配可对授权的资源进行告警配置授权授权的具体配置步骤如下：创建授权点击按钮“用户组”，在用户或组中切换，从列表中选择用户或用户组点击按钮“资源组”，在资源或组中切换，从列表中选择资源或资源组在授权规则列表中,选择适用于该用户的规则点击按钮“新建”，创建授权例如：新建一个“tst10.10.23_sshAN”的授权若创建“单对单

23、”或“组对单”的授权，可通过 对资源进行过滤点击 ,可弹出资源过滤窗口过滤某一设备资源在IP地址栏中，填写设备P那么在资源列表中,显示该P设备上所有的资源在协议栏中，选择任意协议，那么在资源列表中,显示所有该协议的资源。同理,在资源组栏中，选择任意资源组，那么在资源列表中，显示该资源组中所有的资源以上三种过滤条件可任意组合进行过滤查看当前存在的授权初始页面显示“用户资源”的授权,即单对单的授权点击按钮“用户/组”“资源/组”，可查看其它授权例如:若要查看“用户资源组”(即单对组的授权),只需单击一下按钮“资源组”即可设备帐户分配“帐户分配”定义了运维用户能够访问指定资源时绑定的系统帐户，具体步

24、骤为,“运维治理授权治理”。选择相应指定资源操作中的“帐户分配”,以.1.1.23_ssh为例，如下：进入帐户分配页面：资源名:主机帐户要分配给的指定的资源;用户名：主机帐户要分配给的指定的用户;添加帐户：可选帐户。讲明： o、test两个帐户处于激活状态,处于未激活状态的用户在此不显示。勾选帐户前面的复选框,点击“保存”完成帐户分配。如此,运维用户就能够使用分配的帐户进行运维了。告警进入“运维治理/授权治理/授权列表”页面，可对用户（组）和资源(组)进行授权,页面如图所示：点击“告警”按钮,则进入“告警绑定”页面:点击“添加”按钮，添加告警规则,页面如图所示：TELNET和SSH协议告警配置

25、页面FTP和ST协议告警配置页面规则名:必填项;协议:定义了此规则所适用的协议；规则类型:分为黑名单和白名单；黑名单命令：禁止执行此命令; 白名单命令:此命令以外的其他命令都禁止执行; （注： 黑名单和白名单同时存在时,黑名单命令有效，白名单命令失效)匹配命令：定义了此规则所适用的操作命令，按pc正则进行匹配。 参数:命令所附带的参数;(sh和te无此项内容）告警级不：可定义告警相应级不，包括一般、告警、严峻三种;是否阻止：定义是否阻止命令的执行;邮件列表：当发生此响应动作时,向邮件列表中的地址发送告警邮件;激活状态:当激活时告警生效。点击“保存”完成添加，添加完成后的告警列表页面如图所示:点

26、击“绑定”按钮，选择“有效帐户级不”，界面如图:点击“确定”，则实现帐户绑定,界面显示如图：ss、elnet、ft、stp绑定告警时,都存在“有效帐户级不”，“有效帐户级不”与设备帐户治理中的“帐户级不”有关，具体关联请参见运维安全审计系统（HA）_口令治理员手册.c第5.1节：设备帐户治理。黑、白名单符合正则表达式，可参考以下例子: 单个命令，黑白名单都匹配:例如:rm 匹配所有含有rm的命令多个命令,黑白名单匹配方式不一样:例如：黑名单:ct|vi|pwd匹配含有或vi或pwd的命令。白名单:pwd,ae,cd匹配含有wd或da或cd命令同个授权绑定黑、白名单，匹配方式如下：只有白名单的情

27、况例如:ca 阻断；结果:cat命令可执行，其他命令均被阻断；只有黑名单的情况例如:rm阻断；结果:r命令被阻断，其他命令可执行;黑白名单共存的情况:例如:白名单ct，黑名单r，黑名单rm阻断,白名单及其他命令放行。规则治理规则定义了一个对象,讲明访问时刻范围、会话长度、能够访问的客户IP地址，系统默认配置了一个所有权限定义。添加规则的具体配置步骤如下：选择“运维治理规则治理”，显示如下：可针对规则名、访问日期区间、会话时长、客户IP对列表进行排序可添加授权规则点击 “添加”按钮,出现如下配置页面：规则名:可任意填写;必填项访问日期区间：用于设置访问该资源的具体时刻，包含以下几个方面:年月日：

28、限制可访问该资源组的年、月、日，不填为不限制；可选项周：限制可访问该资源的一周中的某天,如周一周日（以7表示),不填为不限制；可选项时刻：限制可访问该资源的一天中的时刻段，格式为:hh:mm-hh:m，如:13:00-23：5，不填为不限制; 可选项会话时刻：限制可访问该资源持续会话时刻，以分为单位,只能为数字范围为:1-999，不填为不限制;可选项客户I：限制可访问该资源的IP地址，不填为不限制。可选项点击“添加”即可完成授权规则设置。可对规则进行编辑、删除操作,如上图，在对应规则的操作中选择“编辑”即可对规则进行编辑。勾选规则名前面的复选框,点击“删除”完成规则的删除。应用公布在此设置VD

29、H的相关信息,能够添加、删除VDH,配置应用协议。进入“运维治理应用公布”,界面如下VD名称:填写VH的名称,可随意填写；必填项IP地址：填写V的P地址;必填项应用配置：配置应用协议。DH添加、删除添加DH，输入VDH名称和I,点击后面的“添加”按钮完成添加:VDH添加成功:删除VDH，点击右侧操作下面的“删除”完成删除VH。VD监控可通过“VD监控”,来监控H服务器的性能状态。点击操作下面的“监控”,如下图;任务治理器:可查看相关的应用程序、进程等。同：Widos任务治理器；计算机治理：可对VDH主机进行治理;事件查看器：可审核系统事件和存放系统、安全及应用程序日志；性能:可查看VDH主机性

30、能；网络配置：可查看及修改网络配置：信任站点：可添加信任站点：关于:能够查看VDH的版本：VDH应用安装VDH的应用,必须在后台进行安装,具体步骤和注意事项请参见运维安全审计系统(AC)应用公布配置手册VDH应用配置对VDH应用协议进行配置，可添加、编辑、删除应用协议。进入“运维治理/应用公布”，点击右侧“应用配置”，页面如下：添加应用协议,点击“添加”进入添加页面:协议名称：填写协议名称，由字母、数字、下划线、中杠线、点组成，此名称用于资源治理中显示的协议名必填项；权限设置：可设置为一般用户、超级用户（不推举使用）;代理转发：勾选此代理则采纳数据库代理方式审计，支持Oacle、Iformix

31、、DB三种数据库类型,勾选此项审计平台可审计数据库详细信息。讲明：若“运维治理/运维配置”中若“Imperva数据库审计”为“开启”状态，应用协议不能勾选“代理转发”。程序名称：填写应用程序名称，此名称是在用户进行运维时桌面显示的图标名称;必填项程序路径：应用程序在VDH主机上的安装路径，目前所有的应用程序必须安装在C：ProramFle 或C：Windows 目录下。下面以LSQL为例，PSQL应用程序的路径，从开始菜单程序/PLSL Devlope/PLLDlper/右键属性：快捷方式中的“目标”,便是LSQ应用程序的路径。添加PSQL协议：自启动:设置定义的程序是否运维用户在登录vdh时,能自动启动;(“我的电脑”不同意设置为自动启动）启动参数:即该应用启动时，运行的参数。点击“保存”完成添加。添加完成，可在资源治理中添加该应用的资源，进入“运维治理/资源治理/操作系统