目前Linux服务器是堡垒机的主要应用场景,因为市面上大部分堡垒机厂商起步早,Linux堡垒机开发,搭建,部署等技术都已经非常成熟了。但是对于日渐普及的Windows2012服务器系统的支持,很多起步早的堡垒机厂商体验较差。本文先就Linux堡垒机重要的指令审计功能做讲解,Windows堡垒机相关知识可以关注小编其他分享。
Linux堡垒机指令审计功能分为事中和事后,事后的录像审计,指令检索功能大部分堡垒机产品都比较类似。这里主要讲一下事中的敏感指令审计,敏感指令阻断与拦截是安全审计的重要特性,可以有效避免团队成员进行违规操作,敏感操作,误操作给公司带来不必要的损失。
以行云管家堡垒机产品为例,实现敏感指令审计需要三个步骤:
一:定义Linux堡垒机指令规则。
首先点击“策略编辑”,默认情况下,指令规则列表为空,用户可按照业务情况,添加相应的规则。在定义敏感指令时,还需要指定指令匹配规则及相应的响应动作,只要在关键设备中执行的指令被匹配,既会触发指令审计策略,按照用户设定的响应动作进行处理;
定义Linux堡垒机指令规则
1,行云管家Linux堡垒机目前支持以下三种指令匹配方式:
【完全匹配】:适合匹配某条指令的全部操作,该指令所有形式的执行都会被匹配,如指令规则是百胜,使用完全匹配规则,那么用户输入百胜,yum安装、百胜删除等相关指令都会被匹配。
【通配符】:支持通配符模糊匹配,使用场景和正则表达式类似,但语法有些许差别,如同样匹配百胜安装和卸载操作,指令规则为百胜{安装,删除};
【指令审核】:对于团队管理者认为会带来一定风险的敏感指令,可以设置为“指令审核”,这类指令执行时,会被临时阻塞,待指令审核后才能执行;
【中断会话】:对于团队管理者认为会带来极大危险性的的恶意指令,建议设置为“中断会话”。
二:Linux堡垒机敏感指令审核
团队成员在触发了Linux堡垒机指令审核响应的5类动作时,相关的审核角色成员有两种方式接收审核消息:
1,站内审核消息:审核角色成员将收到站内消息,点击查看后进入“安全审计/敏感指令审核”,在“待审”批标签页里将列出当前所有待审批的敏感指令申请,只需按照实际情况选择同意执行或拒绝执行即可。查询审批历史请切换到“已完成“标签页;
