美文网首页行云管家
0.1 运维利器之 行云管家3分钟快速实现云主机运维审计

0.1 运维利器之 行云管家3分钟快速实现云主机运维审计

作者: 陈宝佳 | 来源:发表于2018-04-26 15:34 被阅读18次

    前言

    上一篇文章我们一起使用了行云管家,快速的让我们局域网主机通过登录策略实现快捷登录并全程审计录像和高危指令的拦截审核、远程协作、文件上传下载等功能。

    这篇文章将跟大家一起使用行云管家来对云主机进行管理。

    行云管家目前支持阿里云、腾讯云、UCloud、百度云、亚马逊AWS中国、微软Azure中国、青云等七家厂商。而针对不同云厂商所能管理的云资源也有不同,详细情况请见下表:(√:支持管理、×:不支持管理,若无支持区域说明,则表示支持所有区域)

    image

    本文使用的行云管家版本: V4.1(日期:2018-03-22)

    注册、创建团队

    如已注册请跳过此步骤。

    点击查看:运维利器之 行云管家注册、创建团队

    导入云主机

    什么是云账户

    行云管家能够将各大云计算厂商中的云资源接入进来统一管理,出于云厂商隔离和业务划分的考虑,在行云管家中,以云账户作为云主机、对象存储、CDN等云资源的容器及业务隔离单元。例如,用户张三在阿里云有一个账号,里面购买了云主机、CDN等产品,那么这个账号体现在行云管家中,就是一个云账户。张三可能在腾讯云中也购买了一些云产品,那么他也可以将腾讯云的账户也导入到行云管家中,这样张三便拥有了两个云账户,分别管理他在阿里云和腾讯云的云资源。

    本文以导入云主机为例,来演示如何创建云账户。一个云账户包含有用户在云厂商的API凭证、云主机资源等信息。因此,在新增云账户时,您需要准备好云厂商的API凭证(了解如何获取阿里云的Access Key如何获取腾讯云API密钥)和确定需要导入到行云管家的主机;

    各大厂商获取 Access_key 的方式

    获取阿里云的Access Key

    获取腾讯云API密钥

    获取UCloudAPI密钥

    获取百度云Access Key

    获取亚马逊AWS访问密钥(Access Key)

    获取微软Azure API访问凭证

    获取青云API密钥

    创建云账户

    1、进入主机栏目


    image

    2、选择我们购买云主机的厂商(目前行云管家支持国内大型云厂商)如果找不到你的云厂商,我们可以通过类局域网的方式来导入到行云管家。点击这里即可查阅 0.0 运维利器之 行云管家3分钟快速实现局域网主机运维审计

    image

    3、复制 云厂商提供的Access Key,这里我是使用 Aliyun Access Key。

    填入 Acess Key Id & Access Key Secret 并点击下一步

    image

    4、勾选要导入行云管家的云主机

    image

    5、自定义云账户名称 并导入


    image

    6、导入成功


    image image

    7、查看云主机详情


    image

    7.1、查看监控项目

    image

    7.2、添加监控项目

    image image

    新版本4.1新功能:公有云主机支持行云管家Agent监控:

    受限于公有云厂商API的限制,我们在对各厂商主机监控的支持过程中,存在诸如监控项过少、监控数据丢失、监控频率过低等问题。为解决这些问题,行云管家将已获得市场验证及认可的局域网主机Agent监控方案,拓展到公有云主机之上,但这并非是强制性的,默认情况下,公有云主机采用云厂商监控,只有在已经安装了行云管家Agent时,才会提醒用户可以切换到行云管家Agent监控模式;

    如何安装阿里云监控插件

    点击查看: 如何安装阿里云监控插件

    阿里云监控是阿里云原厂为中小网站提供各种应用和服务器的第三方监控服务,任何系统异常都能及时通知到用户,及时处理异常,从而提高用户产品的可用性。

    阿里云监控插件则是上述产品的具体形态,支持Windows和Linux平台。默认情况下,阿里云主机不会安装云监控插件,此时阿里云的云监控服务仅提供云主机的CPU使用率、网络流入及流出速率、网络出入流量等监控数据,在安装云监控插件后,云主机将获得内存使用率、平均负载、磁盘IO写、磁盘使用率、TCP连接数、进程总数等监控数据。

    如果您打算在行云管家中使用阿里云监控来监控主机性能,那么必须确保已经安装了阿里云监控插件。

    FAQ:安装阿里云监控插件超时

    点击查看: FAQ:安装阿里云监控插件超时

    运维审计

    关键设备运维策略是什么?

    从安全运维的角度来看,资源授权(既某个成员可以管理某些主机的权限)满足了主机层面的安全管理需求,但是一旦登录到主机后,团队成员便可对该台主机进行任何的操作,如果出现问题,只能通过事后审计来回溯追责。所以我们还需要一种手段,对于一些安全要求更高的主机来讲,即使登录了主机,成员在其中执行的操作,依然处于安全监管之下,对其所执行的高危指令(比如 rm 命令)等进行拦截,提前防范运维风险。

    在行云管家中,把这些安全性更高的主机叫做关键设备,而将在这些主机上所执行的高危指令的定义以及相应的处理方式叫做关键设备运维策略。

    展开功能模块菜单,选择“安全审计/关键设备运维策略”,进入相应的策略功能设置。

    关键配置

    审计录像:
    访问运维策略里的关键设备时,是否强制进行审计录像。这里需要注意,在云账户中也存在该项设置,而一台主机访问时是否强制录像,同时受到它所在的云账户和运维策略的设置影响,只要其中有一个设置为“强制录像”,那么访问时即会进行强制录像;
    
    
    双因子认证:
    也叫多重身份认证,开启后,在执行重启主机、停止主机、修改主机操作系统密码、修改管理终端密码、创建主机会话、快照回滚、更换系统盘、初始化磁盘、卸载数据盘、挂载数据盘等操作时,会要求以微信或短信接收验证码的方式进行二次身份确认,确保访问者的身份合法性;
    
    
    指令审计:
    指令审计规则:您可以指定该条运维策略是启用指令白名单还是黑名单,如果是白名单,那么将只允许指令规则中的指令执行。如果是黑名单,团队成员在操作中执行的指令只要被敏感指令规则匹配,即执行相应的响应动作。
    指令审计角色:敏感指令如果触发的是审核操作,那么将推送审核消息给指令审计角色成员,由他们审核通过后,敏感指令才能在主机上执行;
    
    指令审核超时时长:敏感指令触发审核操作时,如果在超时时长内未处理,指令将因超时被取消执行。
    
    
    运维时段:
    指定运维策略中的主机,只有在规定的运维时段内才允许访问,支持多个不连续的时段。
    
    设置完以上内容后,点击“创建”即成功创建一条关键设备运维策略,但要生效,您还需要添加关键设备,只有在关键设备列表中的主机,才会受该条运维的影响。
    

    创建策略

    image

    运维策略创建成功,是否立即进行设置?--》立即设置

    image

    大家在设置策略匹配规则的时候,推荐大家使用正则匹配的方式(因为我们使用完全匹配的方式就会绕过/bin/rm等命令)

    image

    添加需应用本策略管理的主机

    image

    新增登录凭证

    这个功能类似于记住密码,登录凭证是一种保存某台主机访问凭证的访问方式, 但如果主机数量过多时,为了方便管理,一般我们会为主机设置相同的用户名密码。这种场景下, 我们就需要一种批量为主机设置访问凭证的方法;至此我们便无需重复输入密码。

    您可以在主机登录凭证中指定访问主机的用户名、密码(密钥),并关联相应的主机,同时可以指定该登录凭证是仅限自己使用还是分享给团队使用,从而约束并规范当前团队访问主机的接入方式

    1、点击主机 --》安全审计


    image

    2、创建登录凭证

    登录凭证管理 --》创建新的主机登录凭证 --》选择远程连接方式 --》自定义凭证名称 ——》在主机登录凭证中指定访问主机的用户名、密码(密钥)--》确认

    2.1、使用密码登录


    image

    2.2、使用密钥的方式登录

    方式1、从本地上传密钥对


    image

    方式2、选择使用密钥对

    点击了解更多:SSH密钥对管理

    image image

    接下来需要进行微信的绑定,因为我们在新增关键设备运维策略里设置了双因子认证(并选择的是微信认证)。

    image

    绑定完毕,再次登录,可以看到双因子验证已经生效。


    image

    打开微信(输入验证码即可登录)

    敏感指令的审计

    行云管家提供体系化的指令审计规则,尤其针对rm 等敏感指令可以进行阻断响应或触发审核操作,审核不通过的敏感指令将会被拦截,以实现安全监管的目的,保障运维操作的合规、安全、可控。

    大家在设置策略匹配规则的时候,推荐大家使用正则匹配的方式(因为我们使用完全匹配的方式就会绕过/bin/rm等命令)

    image

    如果设置成完全匹配(用户可以绕过 /bin/rm 和 /usr/bin/rm 等命令)


    image

    如果设置成正则匹配只要有 rm 就会被拦截(大家根据自己的需要来设置)

    image

    至此,我们便实现了管理不同云厂商主机并通过登录策略实现快捷登录并全程审计录像和高危指令的拦截审核、远程协作、文件上传下载。

    参考

    点击了解更多:行云管家视频课程

    点击了解更多:行云管家产品文档

    相关文章

      网友评论

        本文标题:0.1 运维利器之 行云管家3分钟快速实现云主机运维审计

        本文链接:https://www.haomeiwen.com/subject/abfmlftx.html