齊治堡壘機操作手冊

1、齊治堡壘機操作手冊中國旅游集團有限公司信息共享中心2020年2月版本 <V1.0>目 錄第一章 建立用戶賬戶41.1 首次訪問與默認用戶賬號41.2 添加用戶賬號、分配用戶角色51.3建立普通用戶賬號71.4快速身份切換7第二章 添加目標設(shè)備（配置管理員）82.1 Windows設(shè)備（RDP）8 條件準備8 添加設(shè)備82.1.3 設(shè)置密碼92.2 Linux設(shè)備(SSH、X windows)11 條件準備11 添加設(shè)備11 設(shè)置密碼122.3網(wǎng)絡(luò)設(shè)備（Telnet）13 條件準備13 添加設(shè)備13 設(shè)置null賬號密碼14 設(shè)置特權(quán)模式（enbale）密碼15第三章 建立訪問控制規(guī)

2、則（配置管理員）163.1新建規(guī)則173.2關(guān)聯(lián)用戶賬戶173.3 關(guān)聯(lián)設(shè)備183.4 關(guān)聯(lián)系統(tǒng)賬號18第四章 設(shè)備訪問（普通用戶）194.1環(huán)境準備194.2圖形設(shè)備194.3 設(shè)備訪問194.4字符終端設(shè)備訪問（Telnet、SSH）234.5 Web終端234.6 第三方SSH客戶端24第五章 操作審計（審計管理員）275.1字符會話審計275.1.1 命令列表式查看285.1.2 命令回放285.1.3 命令查詢2952圖形會話審計295.2.1 會話列表305.2.2 會話審計30第一章 建立用戶賬戶1.1 首次訪問與默認用戶賬號Shterm采用加密型的Http方式進行訪問，在瀏覽器

3、地址欄中輸入堡壘機IP地址即可，如：https:/,由于采用SSL技術(shù)，首次訪問會出現(xiàn)證書錯誤提示，如下圖：此時點擊“繼續(xù)瀏覽此網(wǎng)站”，將出現(xiàn)Shterm的登錄頁面。如下圖：Shterm默認管理員賬號和密碼均為小寫“shterm”，輸入用戶名和密碼后回車即可登錄到Shterm操作界面，如下圖：1.2 添加用戶賬號、分配用戶角色使用缺省管理員帳號登錄到Shterm，并打開基本控制-用戶賬戶菜單，如下圖：點擊“新建用戶”，進入用戶帳號設(shè)置界面：這里不需要填寫全部內(nèi)容，但必須設(shè)置標有紅色*號項，其他可根據(jù)實際情況確定是否需要填寫即可：l 登錄名：登錄Shterm的用戶ID，可以使用數(shù)字、字母或 .

4、- _等符號，但不能以 . - _符號開頭作為用戶名，例如這里我們設(shè)置成admin；密碼：選擇手動輸入或自動設(shè)置，默認選擇手動輸入，依次在設(shè)置密碼和確認密碼欄中輸入兩次密碼；l 權(quán)限：系統(tǒng)默認有4類管理員，分別負責不同的角色，可以將不同的角色權(quán)限分配給不同用戶，也可以多個管理員權(quán)限分配給同一個用戶，可根據(jù)公司實際情況分配權(quán)限，例如我們這里將所有權(quán)限分配給admin這個帳號，將這四個管理員選項都勾選上。1.3建立普通用戶賬號因為“普通用戶”只有 “配置管理員”的賬戶才有權(quán)限添加，因此需要使用配置管理員重新登陸Shterm，例如剛才建立的admin，并打開基本控制-用戶帳號菜單，點擊新建用戶：與上

5、文中方法一樣，建立一個名為user的用戶賬戶，設(shè)置其權(quán)限為“普通用戶”，如下圖：建立完畢后如圖：1.4快速身份切換如果一個用戶具有多個權(quán)限，則可以在控制臺中快速切換用戶身份，例如從超級管理員切換成配置管理員，將鼠標移動到右上角下圖位置上，選擇相應(yīng)的權(quán)限用戶即可完成身份的切換：第二章 添加目標設(shè)備（配置管理員）2.1 Windows設(shè)備（RDP） 條件準備進行本章您需要有準備一臺符合以下條件的windows設(shè)備作為目標設(shè)備：l Windows 2012/2016（需開啟RDP服務(wù)）以及系統(tǒng)賬號和密碼l Windows服務(wù)器IP地址和RDP端口（IP可達，端口可訪問） 添加設(shè)備利用admin賬號登

6、陸，點擊基本控制-目標設(shè)備-新建，彈出新增設(shè)備配置頁面填寫設(shè)備名、IP地址、選擇設(shè)備類型為“Microsoft Windows”后點擊確定，如下圖：系統(tǒng)進入添加設(shè)備更多選項界面，如果RDP端口不是默認端口，請點擊服務(wù)列表，在RDP服務(wù)項上點擊編輯即可修改；如果需要啟用RDP的Console模式 或 客戶端磁盤映射，請勾選上相應(yīng)選項。在服務(wù)列表里會看到訪問該目標設(shè)備所使用的協(xié)議類型和協(xié)議名稱，需要新建訪問協(xié)議的話可以在右上角選擇相應(yīng)的協(xié)議，然后選擇新增按鈕。點擊編輯查看已有訪問協(xié)議的基本屬性，如下圖：2.1.3 設(shè)置密碼點擊密碼管理設(shè)置該設(shè)備的系統(tǒng)賬號密碼，如下圖：提示：Shterm默認僅內(nèi)置了

7、6個常用系統(tǒng)賬號，如果列表中沒有對應(yīng)的系統(tǒng)賬號，可以在基本控制-系統(tǒng)賬號中添加。找到對應(yīng)的系統(tǒng)賬號，點擊新建，輸入相應(yīng)的密碼或Domain信息，如下圖：接下來建議測試驗證一下系統(tǒng)帳號密碼和相關(guān)配置是否正確，請點擊登錄測試如果在驗證登錄過程中，彈出安全警告信息，請勾選上“始終信任此發(fā)行者的內(nèi)容(A)”，并選擇是當出現(xiàn)目標設(shè)備桌面，表示配置和密碼正確，如下圖所示：到此一臺windows設(shè)備已經(jīng)添加完畢。2.2 Linux設(shè)備(SSH、X windows) 條件準備l 設(shè)備類型，IP地址及訪問端口。l 系統(tǒng)賬號和密碼 添加設(shè)備以下以添加一臺通過SSH協(xié)議訪問的CentOS設(shè)備為例，說明具體步驟打開基

8、本控制-目標設(shè)備-新建，注意選擇設(shè)備類型為General Linux，完成后點擊確定。如下圖：特權(quán)賬號保持默認的root，點擊服務(wù)列表，確保字符終端（ssh）和圖像終端（xdmcp）在列表中。如圖： 設(shè)置密碼點擊密碼管理，為設(shè)備設(shè)置系統(tǒng)賬號密碼，如下圖：輸入賬號密碼后，點擊確定。完成后請進行登錄測試，測試結(jié)果如圖：2.3網(wǎng)絡(luò)設(shè)備（Telnet） 條件準備l 設(shè)備類型，IP地址，訪問端口。l telnet密碼和特權(quán)模式密碼（分別對應(yīng)null賬號密碼和enable賬號密碼） 添加設(shè)備以下以添加一臺Cisco路由器為例說明具體步驟，打開基本控制-目標設(shè)備-新建，如下圖：注意選擇設(shè)備類型為Cisco

9、IOS Device，完成后點擊確定。注意特權(quán)賬號為enable和服務(wù)列表中有telnet。點擊確定，如下圖： 設(shè)置null賬號密碼提示：關(guān)于null賬號 這是Shterm內(nèi)置的一種系統(tǒng)賬號，用于Cisco等無需用戶名僅需輸入密碼即可登錄的設(shè)備。點擊密碼管理，選擇null賬號新建密碼，如下圖：完成后點擊確定，并進行登錄測試，測試結(jié)果如圖： 設(shè)置特權(quán)模式（enbale）密碼在密碼管理中選擇enable并點擊新建，如下圖：設(shè)置enable切換自null，并設(shè)置密碼后點擊確定，進行登錄測試，測試結(jié)果如圖：第三章 建立訪問控制規(guī)則（配置管理員）用戶賬號，目標設(shè)備和系統(tǒng)賬號都添加好了之后，我們需要建立一

10、些訪問規(guī)則讓用戶直接通過Shterm來登陸到設(shè)備中。3.1新建規(guī)則打開權(quán)限控制-訪問控制-新建，如下圖： 設(shè)置規(guī)則名稱和選擇服務(wù)類型和協(xié)議，例如這里我們選擇RDP和FTP，完成后點擊確定。3.2關(guān)聯(lián)用戶賬戶點擊規(guī)則后的用戶，這里的用戶指的是登錄Shterm系統(tǒng)的用戶賬號（非操作系統(tǒng)帳號）。選擇需要關(guān)聯(lián)的賬號后點擊建立關(guān)聯(lián)，至此這個用戶帳號可以訪問該規(guī)則中定義的設(shè)備或設(shè)備組，如下圖中user用戶。3.3 關(guān)聯(lián)設(shè)備點擊新建規(guī)則后的設(shè)備按鈕，彈出設(shè)備選擇頁面，如下圖：選擇設(shè)備后，點擊建立關(guān)聯(lián)，即可將設(shè)備加入到該規(guī)則中。3.4 關(guān)聯(lián)系統(tǒng)賬號點擊規(guī)則后的系統(tǒng)賬號，添加需要登錄目標設(shè)備使用的系統(tǒng)帳號。如果

11、需要的系統(tǒng)帳號沒在列表中，請先在基本控制-系統(tǒng)帳號中添加相關(guān)帳號信息。勾選需要關(guān)聯(lián)的賬號，點擊建立關(guān)聯(lián)。提示：關(guān)于self，該賬號用于用戶賬戶和系統(tǒng)賬號相同時，self表示用用戶賬戶密碼登錄目標設(shè)備，一般用于windows域環(huán)境。Any帳號表示需要在目標設(shè)備登錄界面手動輸入登錄系統(tǒng)帳號和密碼，不幫助用戶代填任何帳號信息。至此，一條完整的訪問權(quán)限規(guī)則定義完成，如下圖所示：第四章 設(shè)備訪問（普通用戶）Shterm只能讓普通用戶訪問設(shè)備，所以登陸剛剛新建的user賬號。4.1環(huán)境準備l 瀏覽器：Microsoft Internet Explorer 8.0或以上（也可以是以其為內(nèi)核其他瀏覽器）、Mo

12、zilla Firefox、Google Chrome或者Netscape7.2以上版本；l JRE：安裝Java Runtime Environment，版本不低于6u5，Windows用戶可以訪問Shterm的右上角 ?-工具下載，下載并安裝。其他平臺用戶可訪問下載對應(yīng)版本；4.2圖形設(shè)備普通用戶登錄Shterm將自動打開最近訪問列表，如果是首次訪問列表將為空。4.3 設(shè)備訪問打開設(shè)備訪問，點擊左邊管理員分配給用戶具體的訪問規(guī)則，將會在右邊展示出該規(guī)則下用戶能訪問的具體設(shè)備，如下圖：點擊右邊窗口中具體設(shè)備名，將列出該設(shè)備提供的服務(wù)信息。如果直接用鼠標左鍵點擊具體服務(wù)圖標，將會以默認的參數(shù)啟

13、動鏈接相關(guān)服務(wù)；如果需要修改默認參數(shù)，可以使用鼠標右鍵點擊出現(xiàn)的小圖標，會出現(xiàn)高級菜單（如下圖），例如下圖Windows圖形界面的訪問有兩個選項可以選擇：console和mstsc，下面會進行詳細說明。Windows設(shè)備可設(shè)置訪問使用的系統(tǒng)賬號、屏幕分辨率和需要映射的本地磁盤。點擊啟動即可，訪問設(shè)備，如下圖：關(guān)于圖形設(shè)備操作更多內(nèi)容見下文。勾選console訪問目標設(shè)備，實際上就是調(diào)用windows本地的console，界面的效果就是看到windows的本地界面，如下圖(我在目標設(shè)備上已經(jīng)打開了一些窗口)：勾選mstsc則是調(diào)用本地的mstsc程序遠程會話功能。效果如下：4.4字符終端設(shè)備訪問

14、（Telnet、SSH）對于字符終端設(shè)備Shterm支持web終端方式和第三方SSH客戶端兩種方式訪問。4.5 Web終端默認的web終端是jterm，您也可以設(shè)置為putty（詳細設(shè)置參考超級管理員手冊關(guān)于系統(tǒng)策略中的相關(guān)配置）。用普通用戶登錄Shterm后，選擇左邊規(guī)則名后，將在右邊顯示具體的設(shè)備名稱，如下圖：點擊要訪問設(shè)備，將展開該設(shè)備能訪問提供的服務(wù)。在相應(yīng)字符服務(wù)圖標上右擊鼠標右鍵，在彈出窗口中可選擇系統(tǒng)賬號和終端大小，如下圖：點擊啟動，即可訪問該設(shè)備：提示：可使用Ctrl-Ins進行復制、Shift-Ins進行粘貼。4.6 第三方SSH客戶端任何支持SSH2協(xié)議的客戶端工具均可通過

15、Shterm訪問字符終端設(shè)備，如Putty、OpenSSH、SecureCRT等。我們以SecureCRT為例進行介紹。打開SecureCRT，在這里設(shè)置連接的Shterm主機的地址和登錄的用戶名。如圖：Shterm會限制訪問General Linux時的終端類型為Xterm，因此建議將該值設(shè)置為Xterm。登錄后將出現(xiàn)選擇菜單，用戶需要依次選擇訪問組、設(shè)備和系統(tǒng)賬號，如果以上三者中的某一項僅有一個選項，系統(tǒng)將自動選擇。上圖中為通過SecureCRT訪問Linux系統(tǒng)組中的CentOS設(shè)備，并以root身份登錄。第五章 操作審計（審計管理員）本章內(nèi)容需要使用審計管理員賬戶進行。5.1字符會話審

16、計依次打開會話審計-字符會話，如下圖：Shterm將自動打開當天的字符會話記錄，其中狀態(tài)欄為活動的表示這是一個活動會話，對于活動的會話可點擊中斷切斷該會話，點擊實時可實時監(jiān)控該會話。如果需要查看其它日期會話，選擇對應(yīng)日期，再根據(jù)實際情況選擇過濾條件，點擊提交即可查看選定日期的會話記錄。5.1.1 命令列表式查看點擊任何會話后的命令按鈕將顯示該會話執(zhí)行的全部命令列表，如下圖：其中最左邊有字母P表示從該命令開始回放；+表示該命令有輸出，點擊后顯示輸出，并變?yōu)?。紅色表示此條命令禁止為命令防火墻禁止的點擊右上角的全部展開可展開所以命令輸出，全部收攏可收攏。5.1.2 命令回放點擊任何會話后的回放按鈕可完整回放該會話，如下圖：回放過程中，按下空格鍵可按每鍵盤輸入回放、按下回車可按每命令輸入回放。5.1.3 命令查詢依次打開會話審計-選擇相應(yīng)會話類型-命令查詢，如下圖：根據(jù)實際需要設(shè)置過濾條件和關(guān)鍵詞后可對操作日志進行全文檢索下圖為其中一條檢索結(jié)果：52圖形會話審計依次打開會話審計-圖形會話，如下圖：5.2.1 會話列表Shterm默認顯示當天的會話列表，如果需要查看其它日期的會話可通過選擇其他時間段，按提交即可查詢，也可以設(shè)置如用戶、設(shè)備、類型等過濾條件進行查詢。5.2.2 會話審計對于活動的會話，可通過Shterm進行詳細、播放、實時