- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecPath A2000运维审计系统
用户FAQ
|
Copyright © 2023新华三技术有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部, 并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。 |
|
是否支持统计多少个用户在线、多少个会话在线、多少主机在运维?
是否支持telnet和ssh协议登录交换机/路由器的二次登录认证?
是否支持rdp协议的映射功能:磁盘映射、智能卡、剪贴板、打印机?
使用谷歌浏览器时,安装了单点登录但是还是提示单点登陆器不受信任。
使用谷歌浏览器时,安装了CA证书后还是在浏览器的地址栏中显示不信任
如何在unix/linux系统上登录堡垒机进行目标主机运维?
通过堡垒机使用FileZilla工具传文件时总是提示要输密码
license是否对资产数、连接数(字符会话、图形会话)有限制?
堡垒机上传rdp文件时提示“上传文件失败:error#2038”报错的问题处理办法
H3C SecPath 运维审计系统用户FAQ
本文档介绍H3C SecPath 运维审计系统产品的用户常见问题及解答。
无。
支持。
支持。
进入[控制板]页面中,可以在系统运行状态中看到系统的版本信息。
部门可以实现对用户、主机、授权、审计的数据进行隔离。
例如:A部门的部门管理员只能管理当前部门及下级部门的用户、主机、授权和审计
支持,在[用户/用户管理]页面中,编辑某个用户时,可以配置用户只能使用某种认证方式。
支持,在[用户/用户管理]页面中,编辑某个用户时,可以配置用户只能使用某个IP或某个IP段访问堡垒机。
Admin、部门管理员、运维管理员、审计管理员、系统管理员、审计员、运维员。
在新建用户时,可以在页面中看到各个用户角色的权限范围。
支持。进入[用户/用户管理]页面中,在页面右上角有导入按钮、在页面右下角有导出按钮。
· 超级用户(admin)密码忘记了怎么办?
向相关人员申请临时登录密码,密码有效期有30分钟。
· 普通用户密码忘记了怎么办?
可以用超级管理员或者其他对应的管理员进行密码重置。
当忘掉系统的管理IP地址时,要找到设备IP地址可以按照以下办法处理。
步骤1:通过Console口登录设备,输入admin和密码进入管理视窗界面,如下图所示:
步骤2:登录进去之后选择1,查看网络配置或修改网络配置.
如果同步失败,则有2种原因造成的:1、子OU或父OU设置不对;2、默认AD域服务器只允许同步1000个用户以下。
如何修改允许同步超过1000个AD域用户?
步骤1:进入AD域服务中。
步骤2:在[开始/运行]中输入“ntdsutil”;进入CMD界面。
图1 CMD示意图
步骤3:输入“ldap policies”后,回车。
图2 CMD示意图
步骤4:输入“connections”后,回车。
步骤5:再次输入“connect to domain baoleijiyu.com”之后,回车。
图3 CMD示意图
步骤6:提示连接成功之后,输入“quit”后,回车。
步骤7:再输入“show values”回车之后,可以查看AD域的策略信息。
可以看到maxpagesize显示的数量默认是1000个。
图4 CMD示意图
步骤8:输入“set maxpagesize to 2000”回车后,即可将同步用户的数量进行修改。
然后使用show values查看即将修改的数量。
图5 CMD示意图
步骤9:输入“commit changes”回车后即可生效。
再使用show values查看已修改的数量。
图6 CMD示意图
步骤10:输入“quit”退出配置界面。
图7 CMD示意图
支持。
支持telnet、ssh、rdp方式的自动改密,密码发送方式支持Email、ftp和sftp三种方式,同时也支持密码恢复。
如果是密码托管的资产,可以导出资产密码文件即可查看到。
支持。
解决办法:
在堡垒机的[资产/应用管理]页面中发布谷歌浏览器时,在“运行参数”中,填写 --allow-no-sandbox-job %Target,如下图:
解决办法:
(1) 在应用服务器中新建若干个windows2008的账户(给需要使用谷歌浏览器的运维人员各自建立一个),并且加入到远程桌面用户组中;
(2) 然后在堡垒机的[资产/主机管理]页面中找到应用服务器,将新建的windows账户添加进去;
(3) 再到[资产/应用管理]页面中复制谷歌浏览器应用,然后编辑选择刚才新添加的windows账户即可;
(4) 最后将应用授权给相关的运维人员即可。
原因:每个windows账户只能打开一次,这个与堡垒机无关,是谷歌浏览器的特性决定的:只能单用户单进程。
支持ssh、telnet、ftp、sftp、rdp、vnc方式的自动登录及手工登录。
支持。
结合应用服务器(windows2008的remoteapp服务)实现。
(1) 进入[资产/应用管理]页面里。
(2) 然后新建应用,可以新建IE代填和自定义。
IE代填:表示代填https/http主机的账户和密码。
自定义:添加IE浏览器的绝对路径,然后自己手工输入账户和密码。
(1) 认证模式:VNC_password。
(2) 加密方式:Prefer off。
· “X:root”表示VNC的帐户。如果VNC服务器只启用了一个5900端口,那就是0:root;如果VNC服务器同时启用了8个桌面号(即5901-5908),那就是1:root~8:root。
· 如果主机是unix类平台,则帐户名称的格式为X:root(X表示桌面号,从0开始)。
· 如果主机是windows平台,则账户名称的格式为X:root(X表示桌面号,从0开始).
· 仅支持VNC服务端的“VNC password”模式。
· “X”是为了实现VNC服务会启动多个桌面,且用户之间互不干扰地使用各自的桌面;所以VNC服务使用的端口号与桌面号相关,VNC服务使用的端口从5900开始,例如桌面号是“::1”,则使用的端口是5901;桌面号是“::2”,则使用的端口是5902,依次类推;基于Java的VNC客户程序Web服务端口从5800开始,它也与桌面号相关。
IE代填不支持动态登录页面、不支持基于java/flash等嵌入式登录窗口。
注意:
1、在做IE代填时,请填写登录页面地址栏里完整的URL,如https://1.1.1.1/login.html。
2、如果不做IE代填(即不代填账号和密码),就使用自定义应用发布方式发布IE浏览器。
支持。
支持。
支持,依靠“未授权登录”功能实现自动授权。
支持。
支持。
支持手工下载单个会话审计日志,支持自动备份审计日志。
支持,通过安装运维审计系统提供播放器查看。
支持。
支持,通过审计规则实现。
支持,在[系统/系统配置/安全配置]页面中开启允许未授权登录功能,然后在[运维/主机运维]页面中的右上角就有个“未授权登录”按钮。
支持,在[运维/主机运维]页面的右上角有个“web运维配置”按钮,进入后可以配置RDP的映射功能。
在[运维/主机运维]页面的右上角有个“web运维配置”按钮,进入后可以配置并指定各个协议的运维客户端工具。
复制系统调试日志和系统诊断日志即可,如果是具体功能请导出对应的日志即可。
图8 系统诊断界面
如下图所示红色区域,然后选择关于即可查看对应的版本。
图9 远程登录对话框
图10 RDP客户端版本信息对话框
支持,通过二次审批方式实现。
已经支持,通过应用中心即可实现。
(1) 在本地PC机上做如下配置:
开始-运行-gpedit.msc
打开组策略
然后找到:计算机配置-管理模板-系统-Internet通信管理-Internet通信设置-在右边找“关闭自动根证书更新”改成启用。
(2) 在应用服务器中做如下配置:
开始-运行-gpedit.msc,打开组策略,然后找到:计算机配置-管理模板-系统-Internet通信管理-Internet通信设置-在右边找“关闭自动根证书更新”改成启用。
原因:是因为windows操作系统会自动寻找ssl根证书信息,寻找过程中需要耗费一点时间。
(1) 在登录框中,输入登录格式:堡垒机IP:63389。
(2) 进入登录界面后,输入堡垒机用户名和密码
打开终端程序,然后输入登录格式:ssh 堡垒用户名@堡垒IP -p60022;密码输入堡垒用户的密码。
问题现象:
解决办法:
(1) 打开谷歌浏览器,在地址栏中输入:chrome://flags/#enable-npapi。
(2) 重启浏览器后:就没有提示了。
解决办法:
(1) 点击Chrome浏览器右侧设置菜单,选择设置。
(2) 将页面拖动到下载,点击打开高级设置。
(3) 点击高级设置中的HTTPS/SSL管理证书。
(4) 弹出框点击导入。
(5) 点击浏览-选择堡垒机CA证书的存放目录文件。
(6) 默认存储方式为将所有的证书都放入下列存储-个人,点击下一步。
(7) 提示证书导入成功,点击确定关闭窗口。
注意事项:导入成功后建议重启Chrome浏览器。
(8) 再去登陆堡垒机页面。
在命令行中输入登录格式:ssh 堡垒机用户名@堡垒机IP -p60022。
现象,如下图:
解决办法:把设置里的“不要保存密码”的钩取消掉。如下图:
原因:浏览器没有识别到单点登录器。
解决办法:单击<选择>找到单点登录器程序的绝对路径,指定单点登录器程序。
(1) 进入用户个人信息页面,设置FTP口令,此密码用于C/S方式登录堡垒机再连FTP主机。
(2) 使用FTP工具,如winSCP/flashFXP/xftp等工具登录堡垒机的60021(默认)端口。
(3) 双击要登录的FTP账户即可进入。
在xshell工具中勾选“显示终端标题”即可。
进入[系统/系统维护/系统状态]页面中,可以查看系统的CPU、内存、网络流量、磁盘读写的使用率。
进入[系统/系统维护/系统管理]页面中,可以通过<上传文件>对系统进行升级;升级包由供应商提供。
进入[系统/系统日志]页面中,可以系统的自审日志详情,可以过滤搜索,并且可以导出查看。
各协议下开放的端口如下表所示。
|
端口号 |
用途 |
策略方向 |
|
443 |
web管理端 |
客户端到运维审计系统 |
|
60021 |
ftp协议代理端口 |
客户端到运维审计系统 |
|
60022 |
ssh、sftp协议代理端口 |
客户端到运维审计系统 |
|
60023 |
telnet协议代理端口 |
客户端到运维审计系统 |
|
63389 |
rdp协议代理端口 |
客户端到运维审计系统 |
|
5900 |
vnc协议代理端口 |
客户端到运维审计系统 |
|
21 |
ftp协议代理 |
运维审计系统到目标资产服务器 |
|
22 |
ssh、sftp协议代理 |
运维审计系统到目标资产服务器 |
|
23 |
telnet协议代理 |
运维审计系统到目标资产服务器 |
|
3389 |
rdp协议代理 |
运维审计系统到目标资产服务器 |
|
5900 |
vnc协议代理 |
运维审计系统到目标资产服务器 |
|
25 |
邮件告警 |
运维审计系统到邮件服务器 |
|
123 |
ntp时间同步 |
运维审计系统到ntp服务器 |
|
161 |
snmp网管协议端口 |
网管机到运维审计系统 |
|
514 |
syslog日志外送 |
运维审计系统到syslog服务器 |
支持IE(9、10、11)、google、firefox三种浏览器常用版本,其他国产浏览器由于没有经过测试可能支持也可能不支持,建议使用以上三种浏览器。IE7、IE8会有应用中心导入RDP文件等部分功能受到影响,主要功能都可以支持。
具体信息见如下截图:
图11 许可证信息
这里显示license允许最多100个并发会话,30个资产,实际上license只控制资产的数量,对并发的会话连接(字符会话、图形会话)数量并没有实际限制,不同型号设备中license中显示的连接数量,其实是根据型号对应硬件测试确定的设备稳定工作的最大性能值,当实际连接会话超出这个限制时,系统并不会阻止创建新的会话连接。
当系统新添加的资产数量超过license所显示的数量时,系统会禁止添加新的资产,会提示"主机数量超出许可的最大主机数"。
license对应用中心授权的资产数目前并没有任何限制,不限制应用中心的应用数量。
支持,方案:结合双机热备,再部署一台远程灾备。
仅支持SNMP v1和v2c两个版本。
支持。
支持,前提需要确保堡垒机的版本必须一致,然后将旧堡垒机的系统配置导出来,再将配置文件导入至新堡垒机里。
支持部分硬件型号,详细查看对应型号的硬件参数。
已经支持,需要在设备上配置静态路由,将两个隔离网络打通。
支持旁路部署,不支持串联部署。
· 根据运维会话总的流量选型
单台设备支持的最高并发会话总流量如上表所述,客户根据并发会话总数量计算总流量。
参考数据:
一般字符会话只要不下载上传文件、不恶意刷屏一般会话流量都在20KByte/s之内。
图形会话也是一样,不看电影、不做快速刷屏行为,一般每个会话流量在100-200KByte/s内。
· 根据运维管理人员数量选型
一般每个人并发按照6-10个会话计算,然后乘以人数计算总会话数,选择对应型号的设备
其他性能估算的一些参考数据,常见的行为会话流量:
· 字符会话只有普通敲敲命令,按照每天工作10个小时,一个会话大约占用磁盘空间5-10MB。
· 字符会话做连续ping操作,平均一小时的流量大约是300KB左右。
· 在设备管理口执行抓包刷屏操作。如:tcpdump -i eth0 –s 0 –nn,大约每小时最大占用磁盘空间9-10G(前提是网卡没有其他流量占用)。
· 下载文件、上传文件需要视情况而言,一般内网下载目标资产服务器上的文件,传输速度大约10-15MByte/s。
· 数据库审计主要是面向数据库协议(Oracle、db2、sqlserver、informix、sybase、mysql、cache及其他国产数据库),可以审计数据库所有操作,但是不能审计ssh、rdp、telnet、vnc、http、https等运维协议。
· 运维审计系统主要是审计内部运维开发人员使用telnet、ssh、rdp、vnc、sftp、ftp、xwindow、rdp方式的运维协议进行审计,也可以通过应用中心完成一部分数据库的审计。
也就是数据库审计是以数据库为中心的审计设备,而运维审计系统是以人为中心的审计设备。
· 数据库审计可以审计出一个行为的sip、dip、sport、dport、smac、dmac、数据库用户名、客户端工具名、操作系统用户名、操作系统主机名、SQL执行结果、返回行数、SQL返回结果、SQL语句等等要素,结果以文本字符形式展示。
· 运维审计系统审计到的东西大部分是只有录像没有文本记录,不能直观的展示以上各要素,展示的只能是录像,只能人工的分析视频观察是否有具体的操作行为。
· 数据库审计结果基本是字符型结果,支持审计各维度各种条件的查询,而且搜索很快速,能很快的分析到某个操作是哪个人员操作。
· 运维审计系统仅支持IP地址、用户名等仅有的几个字段查询到具体的会话操作录像,但是对实际会话操作的内容很难查询(尤其是rdp、vnc等图形化的访问,不支持关键字搜索),如果要查询必须在海量的会话视频中一个个查看,很难快速的定位到具体的操作人员。
· 数据库审计支持各种维度制定精细化规则,及时发现不合规的访问行为。
· 运维审计系统只能控制某个用户是否访问某个资产,但是具体访问的内容不能制定规则(ssh、ftp、telnet等字符协议支持更具关键字配置规则除外)。
· 数据库审计可以根据审计的细粒度从不同角度统计数据库的运行状况。
· 运维审计系统只能根据访问的用户及IP地址制作报表,很有限,不能做到内容级别的控制。
· 数据库审计不支持加密协议的审计,比如通过ssh、rdp直接访问数据库的行为进行审计。
· 运维审计系统支持加密协议的审计,最大的优势就是可以审计通过ssh、rdp等加密协议对服务器的访问,这是运维审计系统和数据库审计最大的一个紧密结合点。
· 数据库审计不能做访问控制,不能阻断,只能做事后告警。
· 运维审计系统是可以根据某些维度(sip、dip、账号、协议)进行实时访问控制、阻断、及告警。
· 数据库审计一般采用旁路部署监听进行审计。
· 运维审计系统一般采用物理旁路逻辑串联的模式。
· 数据库审计可以对数据库的所有操作进行审计(除加密协议外及本地操作)。
· 运维审计系统只能审计运维开发管理人员对数据库服务器的部分请求进行审计,不能审计应用服务器对数据库的访问。
问题排错需要检查三个地方:
(1) 检查客户端主机能否连接到运维审计系统数据端口,运维审计系统能否正常连接到资产主机的服务端口,最简单的办法是在资产主机上Telnet连接运维审计系统数据端口。
(2) 检查资产主机的协议用户名和密码是否正确。
(3) 检查运维审计系统的资产配置IP、端口是否正确。
如果通过以上检查仍不能确定原因,请抓包进行分析。
在已经安装单点登录客户端的情况下,点击单点登录客户端图标没有反应,可能是在浏览器弹出单点登录启动程序提示框时误操作,让浏览器禁止单点登录的启动,并选择了记住以后同类启动采用同样方式。
Internet Explorer浏览器和Chrome浏览器解决办法:
· 建议卸载单点登录器,然后在单点登录页面下载重新安装单点登录器。
· 在已经安装单点登录客户端的情况下,Firefox浏览器点击单点登录客户端图标弹出错误或无响应,可能是将单点登录启动关联了非系统的单点登录程序。
Firefox浏览器解决办法:
选择[工具]-[选项]-[应用程序],将“dasusm”关联程序选择“使用运维审计系统”。
注意:除以上情况外还有三种特殊情况:
(1) 针对通过rdp协议访问windows服务器,由于客户端mstsc版本低于6.0,可能是5.0或者5.2导致,如果是这种升级客户端mstsc版本即可。
(2) IE浏览器版本为64位浏览器,是由于目前单点登录器版本暂时不支持64位IE浏览器导致,请使用系统自带的32位IE浏览器。
(3) 谷歌浏览器最新版本默认不加载安全脚本,导致不能执行单点登录器程序,只需要在登录的时候点击谷歌地址栏最右边的小盾牌,选择加载不安全脚本即可。
可能有四个原因需要检查:
(1) 浏览器是IE x64位,目前不支持IE 64位浏览器,只需要在系统中使用默认的32位IE浏览器即可,系统默认32位IE浏览器路径为:C:\Program Files (x86)\Internet Explorer\iexplore.exe。
(2) 单点登录器安装完了之后需要关闭浏览器重新打开,否则一直提示未安装。
(3) 系统一些安全控件干扰导致,请使用谷歌浏览器尝试是否解决。
(4) 尝试使用其他浏览器,如谷歌或者firefox。
SSH协议支持多种认证方式,包括:Password,PublicKey,Keyboard Interactive,GSSAPI。
目前我们的SSH代理模块仅支持Password方式认证,如果目标服务器不支持Password方式,则登录失败。
使用CRT工具通过ssh协议访问目标资产 时提示如下图所示错误:
图2 CRT工具访问ssh协议资产错误提示图
主要是由于单点登录器需要实现一些高级功能低版本CRT工具不支持导致,请安装CRT6.7之后版本即可,下载地址详见本FAQ前提供的客户端工具下载地址。
登录失败:指的是无法完成帐号和密码的自动登录,比如Telnet自动登录失败,RDP自动登录失败,SSH自动登录失败。
连接失败:指的是网络层无法连接目标机器。
Telnet/SSH/RDP的登录失败客户端均有明显提示。
Telnet/SSH的连接失败客户端均有明显提示。
RDP的连接失败,客户端没有明显提示,一般表现为“很长一段时间黑屏,然后一闪而过”。
现象:
使用浏览器登录堡垒机之后,上传rdp文件时提示“上传文件失败:error#2038”报错。如下图:
原因:因为浏览器没有识别到flash插件,所以造成无法上传。一般是因为不是使用IE9/10/11浏览器或不是使用谷歌浏览器,而是使用火狐或其他浏览器造成的。
办法:请使用IE9/10/11浏览器或谷歌浏览器!如果使用火狐浏览器,则需要安装CA证书。
支持
