网路游侠：试用运维安全审计系统（内控堡垒主机）-阿里云开发者社区

网路游侠：试用运维安全审计系统（内控堡垒主机）

2017-11-14 2005

简介：

+关注继续查看

测试时间：2011年7月13日
测试机构：游侠安全网（www.youxia.org）
测试人：张百川（网路游侠）

　　相信游侠安全网的很多朋友了解过单点登录系统（Single Sign On），如果您没了解过，那也不难，游侠简单说几句：通过一个页面，可以让你一次性登录多个系统，比如打开浏览器，只需要1个页面就可以同步登录你的E-Mail、OA、CAPP、ERP等，无需多次输入帐号、密码，对于业务系统繁多的单位，很多人会喜欢SSO，因为其节约了输入业务系统地址、帐号、密码的时间，非常方便。

　　当然，今天要说的产品不仅仅具备SSO的功能，还具有4A的功能（认证、授权、审计、账户管理），您可以对如下设备进行统一管理。

　　作为网络管理员，如果您管理着一个大型网络，一定会有如下烦恼：
　　1）交换机、路由器数量太多，有时候无法记住所有的IP地址，或者设备放在什么地方；
　　2）服务器（Windows、Linux等）数量过多，帐号、密码管理任务重，特别是遵照等级保护等的要求，需要定期修改，并且要符合一定复杂程度，让惜时如金的您郁闷不已；
　　3）对安全设备或存储设备的操作，没有一定的审计记录，虽然本身有一定的审计功能，却记录方式不直观，不好用。
　　4）帐号混用问题严重，如多人共用Administrator或root帐号，出现问题后无法确认到人；
　　5）对交换机、服务器的危险操作无法进行实时阻断，如monitor、rm等；
　　6）希望对远程对数据库的操作进行审计，并可以对危险命令如drop等实时阻断
　　7）当然，今天既然提到了SSO，那么你也一定会对上图中提到的所有设备的单点登录感兴趣！

　　OK，说这么多，你一定对这么一套系统感兴趣了吧，Let's Go !

　　今天的主角来自思福迪，产品名称是LogBase运维安全审计系统，有的厂家称其为“内控堡垒主机”，仅仅是说法不同而已，其实都是一类产品。

　　运维安全审计如何使用呢？说下流程：
　　a）添加运维帐号，就是维护设备的人的帐号，网络中心有10个人就增加10个人
　　b）增加设备，如交换机、服务器等
　　c）添加授权，允许某个人访问某几台设备，当然亦可制定某个帐号！亦可以添加访问计算机IP、时间控制、命令集等权限
　　增加完毕就可以使用咯！当然口说无凭，下面进入“有图有真相”环节！

　　增加运维账号，这里增加youxia这个帐号

　　除了这些，还可以写入部门、电话等信息。

　　现在既然有了运维账号，下一步就是给运维账号增加设备了

　　我们可以看到，如果选择的是Windows，则会显示RDP（远程桌面）、telnet、PCAnyWhere、RAdmin等运维方式，如果选择了Linux，则会自动切换成telnet、SSH、VNC等，如果选择网络设备，则可以用SSH、telnet、B/S等方式，如果选择数据库，则可以选择Oracle、MS SQL等。

　　现在开始给运维账号、设备加授权

　　这里游侠仅选择最简单的方式，给“youxia”这个运维账号加授权。可以选择能管理哪一台设备，亦可选择强迫这个帐号只允许用某台主机的某个帐号（惊喜？没想到可以做到这么细致吧？）

　　经过简单的配置，运维安全审计系统（内控堡垒主机）已经可以实现最简单的单点登录、身份认证、操作授权、行为审计、账号管理功能了。下面我们用youxia这个帐号登录运维安全审计系统。看看主界面！

　　只需要点主机名，然后选择帐号（如果有多个帐号的话，或者，如果您有多个帐号的登录权限的话）点“连接”就可以登录系统了！无需输入主机帐号和密码！省时省力！
　　管理方式，可以是SSH（putty、SecureCRT等）、RDP、RAdmin、PCAnyWhere等，也可以是FTP/SFTP、数据库客户端。

　　现在我们测试下阻断功能，设置访问权限，给Linux下面的rm做阻断。

　　登录到运维账号看看！

　　我输入rm命令，直接就给断掉了！

　　通过管理界面，可以对现在的运维状况进行实时观察。

　　可以做：阻断、监控、回放、指令查看。监控可以实时查看对方操作屏幕，回放则可以以录像形式展现操作过程，非常直观。

　　作为运维安全产品，审计功能也是必须的

　　再看看报表功能：

　　其实本系统内置了一些报告，我这里选择了自定义，功能非常强大，所有的记录项目都可以自定义，并且可以选择统计报告、明细报告、柱形图、饼形图、折线图等多种图表类型，无论是做详细分析还是给领导做工作汇报都非常合适。
　　下面是个饼图，效果还不错

　　运维安全审计系统可以批量自动设置设备密码，可以设置的设备包括路由器、交换机、防火墙、Windows服务器、Linux服务器等（惊讶？），不仅如此，还可以遵照密码要求进行自动修改！

　　好了，运维安全审计系统就暂时给大家介绍到这里，有问题可以随时登录“游侠安全网”（www.youxia.org）和游侠沟通！游侠的邮件是：175589438@qq.com，欢迎来信！

本文转自网路游侠 51CTO博客，原文链接:http://blog.51cto.com/youxia/610166