什么是堡壘機(jī)

1. 概述

堡壘機(jī)是系統(tǒng)運(yùn)維和安全審計(jì)工具，其實(shí)例基于ECS服務(wù)器平臺(tái)運(yùn)行，使用的是CentOS操作系統(tǒng)，不支持變更操作系統(tǒng)，也不能登錄到操作系統(tǒng)。

堡壘機(jī)可實(shí)現(xiàn)不同地域的ECS實(shí)例運(yùn)維，但無法直接實(shí)現(xiàn)內(nèi)網(wǎng)互通訪問，可通過云企業(yè)網(wǎng)實(shí)現(xiàn)跨地域內(nèi)網(wǎng)訪問。

2. 如何通過堡壘機(jī)登錄并運(yùn)維服務(wù)器？

（1）資產(chǎn)管理：

堡壘機(jī)添加可管理的主機(jī)；

給主機(jī)添加主機(jī)賬戶（添加的主機(jī)賬戶是本身已經(jīng)存在主機(jī)中）；

（2）人員管理

新建用戶、授權(quán)用戶管理主機(jī)的權(quán)限、授權(quán)賬戶；

（3）通過公網(wǎng)或私網(wǎng)運(yùn)維地址，端口號(hào)60022，使用客戶端工具登錄。

3. 如何控制運(yùn)維人員的權(quán)限？

運(yùn)維人員有可能會(huì)誤刪數(shù)據(jù)或執(zhí)行高危命令，需要設(shè)置控制策略對(duì)運(yùn)維員進(jìn)行操作限制和命令審批。具體方式為：

可以執(zhí)行哪些命令（白名單）、不能執(zhí)行哪些命令（黑名單），稱為命令控制；

對(duì)于那些沒有出現(xiàn)在白名單或黑名單的命令，可以配置審批后才能執(zhí)行，稱為命令審批；

另外，也可進(jìn)行RDP、SSH、SFTP的選擇與控制。