Linux堡垒机如何实现敏感指令审计?

简介: 目前Linux服务器是堡垒机的主要应用场景,因为市面上大部分堡垒机厂商起步早,linux堡垒机开发、搭建、部署等技术都已经非常成熟了。

目前Linux服务器是堡垒机的主要应用场景,因为市面上大部分堡垒机厂商起步早,linux堡垒机开发、搭建、部署等技术都已经非常成熟了。但是对于日渐普及的Windows2012服务器系统的支持,很多起步早的堡垒机厂商体验较差。本文先就Linux堡垒机重要的指令审计功能做讲解,Windows堡垒机相关知识可以关注小编其他分享。

Linux堡垒机指令审计功能分为事中和事后,事后的录像审计、指令检索功能大部分堡垒机产品都比较类似。这里主要讲一下事中的敏感指令审计,敏感指令阻断与拦截是安全审计的重要特性,可以有效避免团队成员进行违规操作、敏感操作、误操作给公司带来不必要的损失。

以行云管家堡垒机产品为例,实现敏感指令审计需要三个步骤:

一:定义Linux堡垒机指令规则。

首先点击“策略编辑”,默认情况下,指令规则列表为空,用户可按照业务情况,添加相应的规则。在定义敏感指令时,还需要指定指令匹配规则及相应的响应动作,只要在关键设备中执行的指令被匹配,既会触发指令审计策略,按照用户设定的响应动作进行处理;

定义Linux堡垒机指令规则

 

1、行云管家Linux堡垒机目前支持以下三种指令匹配方式:

【完全匹配】:适合匹配某条指令的全部操作,该指令所有形式的执行都会被匹配,如指令规则是yum,使用完全匹配规则,那么用户输入yum、yum install、yum remove等相关指令都会被匹配;

Linux堡垒机完全匹配

Linux堡垒机完全匹配

【正则表达式】:支持正则表达式模糊匹配,适合匹配某个指令的部分参数,如只需要匹配yum安装和卸载操作,指令规则为yum (install|remove),那么用户输入yum search不会被匹配,但是输入yum install、yum remove会被匹配;

Linux堡垒机正则表达式

Linux堡垒机正则表达式

【通配符】:支持通配符模糊匹配,使用场景和正则表达式类似,但语法有些许差别,如同样匹配yum安装和卸载操作,指令规则为yum {install,remove};

Linux堡垒机通配符

/club/wp-content/uploads/2018/04/4.2.png

2、行云管家Linux堡垒机目前支持以下四种响应动作:

【指令提醒】:对于团队管理者希望团队成员谨慎执行却时效性较高的一般敏感指令,可设置为“指令提醒”,在执行时,需要由成员自行确认后执行;

Linux堡垒机指令提醒

【指令审核】:对于团队管理者认为会带来一定风险的敏感指令,可以设置为“指令审核”,这类指令执行时,会被临时阻塞,待指令审核后才能执行;

Linux堡垒机指令审核

【指令阻断】:对于团队管理者认为风险较高不希望成员执行的敏感指令,会被直接阻断,不允许执行;

Linux堡垒机指令阻断

【中断会话】:对于团队管理者认为会带来极大危险性的的恶意指令,建议设置为“中断会话”。

Linux堡垒机中断会话

二:Linux堡垒机敏感指令审核

团队成员在触发了Linux堡垒机指令审核响应的5类动作时,相关的审核角色成员有两种方式接收审核消息:

1、站内审核消息:审核角色成员将收到站内消息,点击查看后进入“安全审计/敏感指令审核”,在“待审批”标签页里将列出当前所有待审批的敏感指令申请,只需按照实际情况选择同意执行或拒绝执行即可。查询审批历史请切换到“已完成”标签页;

Linux堡垒机站内审核

2、微信审核消息:审核角色成员账号如果绑定了微信,其微信将收到指令审批信息,可直接点击进入进行审批操作;

/club/wp-content/uploads/2018/04/6.2.png

需要注意的是,团队中的指令审批角色可能有多个成员,每个成员均会收到审批消息,审批操作以时间为顺序,一个申请只能被审批一次,其他成员将不再允许对该笔申请进行审批。

三:如何绕开Linux堡垒机指令黑名单拦截

Linux堡垒机指令黑名单一旦设置,所有团队成员(包括团队拥有者和团队管理员)执行的指令被认定为敏感指令时,均会执行相应的响应动作。但在某些特殊场景下,如果需要给个别成员较高的权限,在操作时不受指令黑名单的影响,可以为其赋予临时禁用指令审批规则的权限;

1、进入“团队/权限管理/角色管理”,为这类成员创建一个专门的角色,如“禁用指令审批角色”,将相应成员加入到角色中;

Linux堡垒机禁用指令

2、进入“团队/权限管理/功能授权”,找到“安全审计/禁用指令审批规则”,将上一步创建的角色“禁用指令审批角色”加入到该功能权限中;

Linux堡垒机安全审计

3、该角色中的成员在访问会话时,在会话详情中,可以看到“指令审批”,只要当前主机属于关键设备且开启了指令黑白名单,均可将指令审批设置为关闭,这样在当前会话中,所执行的指令将不受运维策略的影响。

Linux堡垒机指令审批

目录
相关文章
|
21天前
|
Linux
linux-du指令
`du`命令是Linux系统中查看磁盘使用情况的基本工具之一。通过灵活使用 `du`命令的各种选项,可以准确、高效地获取文件和目录的大小信息,有助于系统管理员进行磁盘空间管理。无论是查找大文件、分析目录结构还是排除特定类型的文件,`du`命令都提供了丰富的功能和灵活的配置。理解和掌握 `du`命令的使用,对于维护和优化Linux系统的磁盘空间至关重要。
21 4
|
2月前
|
Linux Windows
【Linux】-基本指令(下)
【Linux】-基本指令(下)
【Linux】-基本指令(下)
|
16天前
|
安全 Ubuntu Unix
【Linux】基础指令
本文介绍了Linux操作系统的基本概念及特点,强调了其开源性、多用户多任务处理能力、稳定性和安全性。文章重点讲解了多个Linux基础命令,如ls、cd、touch、mkdir、rm、man、cp、mv、cat、less、find、grep、tar等,旨在帮助初学者快速掌握Linux命令行操作,为后续深入学习奠定基础。
46 0
|
2月前
|
Linux
【Linux第一弹】- 基本指令
【Linux第一弹】- 基本指令
37 1
|
2月前
|
并行计算 Ubuntu Linux
Ubuntu学习笔记(三):Linux下操作指令大全
Ubuntu学习笔记,介绍了Linux操作系统中常用的命令和操作,如文件管理、系统信息查看、软件安装等。
47 3
|
2月前
|
Unix Linux 索引
【Linux】-基本指令(上)
【Linux】-基本指令(上)
|
2月前
|
Linux Shell Windows
Linux入门1——初识Linux指令
Linux入门1——初识Linux指令
33 0
Linux入门1——初识Linux指令
|
2月前
|
人工智能 Unix Linux
装杯 之 Linux指令
本文介绍了Linux操作系统的基本命令。首先欢迎各位进入Linux的世界,并展示了`ls`命令,用于列出目录下的文件和子目录。接着介绍了`pwd`命令,用于显示当前目录;`cd`命令,用于切换目录;`mkdir`命令,用于创建目录;`touch`命令,用于创建普通文件或修改文件时间戳;`rmdir`命令,用于删除空目录;以及`rm`命令,用于删除文件或目录。通过这些基本命令,你可以开始探索和管理Linux系统。
|
4月前
|
存储 Linux
Linux专栏08:Linux基本指令之压缩解压缩指令
Linux专栏08:Linux基本指令之压缩解压缩指令
58 4
|
4月前
|
存储 关系型数据库 MySQL
"Linux环境下MySQL数据库名及表名大小写敏感性设置详解:从配置到影响,确保数据库操作的准确与高效"
【8月更文挑战第9天】在Linux环境中,MySQL数据库名及表名的大小写敏感性是一项重要配置。默认情况下,MySQL在Linux上区分大小写,但这可通过配置文件 `/etc/my.cnf` 中的 `lower_case_table_names` 参数调整。该参数设为0时,名称存储时保持原样,查询时不区分大小写;设为1则全部转换为小写。通过编辑配置文件并重启MySQL服务,可根据需求灵活控制名称的大小写敏感性,确保数据一致性和应用兼容性。
309 3