运维安全审计系统HAC运维用户使用手册.docx

运维安全审计系统（HAC）运维用户使用手册广州江南科友科技股份有限公司2012年3月版权声明本手册中涉及的任何文字叙述、文档格式、插图、照片、方法、过程等所有内容的版权属于广州江南科友科技股份有限公司所有。未经广州江南科友科技股份有限公司许可，不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。本手册中的信息受中国知识产权法和国际公约保护。版权所有，翻版必究©目 录1.前言31.1概述31.2阅读说明31.3适用版本31.4使用环境32.首次登录42.1首页42.2浏览器设置52.3运维客户端安装72.4常用运维设置73.运维访问过程84.最近访问105.基本操作115.1双人复核115.2复核事例126.运维协议分类186.1全部协议186.2文本协议196.3图形协议206.4文件传输206.5应用发布207.运维事例227.1文本类运维事例227.2文件传输类运维事例247.3图形类运维事例257.4VNC运维事例267.5应用发布运维事例277.6变更工单运维事件307.7其他帐户运维307.8AS400运维事例328. 运维管理368.1参数设置368.2工具下载378.3Portal客户端安装379.技术支持411. 前言1.1 概述本文档为运维安全审计系统的运维用户的使用手册，作为运维用户的操作指南。1.2 阅读说明本手册包含运维用户的全部日常操作。首次阅读此文档时，建议您重点阅读第2章节。1.3 适用版本本手册，适用于3.6P的发布版。1.4 使用环境HAC的运维用户主要使用WEB登录方式作为用户界面（AS400除外，需要使用专用客户端工具）。HAC的运维用户，可以使用Microsoft Internet Explore或以其为内核的其他浏览器，因部分控件的兼容问题，如果您使用的是IE 8浏览器，请在兼容模式下进行运行。2. 首次登录2.1 首页用IE浏览器访问：https:/HAC_IP/，访问过程中，如果是IE7/8，会出现证书安全警告等信息：选择“继续浏览此网站”，进入登陆页面。用户名和密码使用运维管理员创建的用户登录，如果是令牌模式管理员，其他外部认证的用户，请不勾选“口令认证”，直接输入用户名后“登录”。本文以口令认证用户test登录过程为例进行讲解，登录成功后首页如下：首页内容为：当前日期、上次登录时间及登录IP、最近10次运维记录。操作记录包含操作时间、操作的客户IP、运维过的资源名称和使用的设备帐户名。为了安全性考虑，首次登录后建议静态口令用户，点击页面右上角“修改密码”，对密码进行更新。2.2 浏览器设置因为运维过程中，需要调用某些控件，因此需要对浏览器的安全属性进行部分调整。增加对HAC地址的信任，以及允许ActiveX控件的运行。按照以下步骤：1) 添加可信任站点：IE浏览器/“工具”/Internet选项/ 安全/可信站点2) 针对可信站点，启用ActiveX控件的选项：启用“对未标记为可安全执行脚本的ActiveX控件初始化和脚本运行；启用“下载未签名的ActiveX控件”；启用“下载已签名的ActiveX控件”；启用“运行ActiveX控件和插件”。2.3 运维客户端安装登录页面中，运维管理/工具下载/Portal客户端工具，下载后进行安装，具体操作参见本文的第8.2章节。2.4 常用运维设置HAC提供了根据用户喜好，使用频率高的个性化设置，可以方便用户进行快速执行。比如图形化运维时，通常使用的后台服务器帐户，是否经常全屏显示或其他分辨率，显示的颜色深度。具体设置，参见本文的8.1节。3. 运维访问过程1) 运维拓扑图：2) 非自动登录访问过程：Ø 运维用户登录运维平台；Ø 选择需要访问的资源；Ø 文本协议和文件传输直接输入设备帐户名及密码登录进行实际操作；Ø 图形协议和应用发布可对屏幕分辨率和RDP设置做设置，然后再输入设备帐户名及密码登录进行实际操作。3) 自动登录访问过程，与非自动登录的区别在于，不用手动输入设备帐户名和密码，运维管理员已分配可用的后台帐户，直接选择帐户即可自动登录。4) VNC应用，比较特殊，因登录时不需要用户名，不存在托管功能，运维过程简单，只需输入密码。5) http（S）和应用发布，这两种类型应用，HAC会自动根据运维用户名创建自动登录用户，运维管理员无需手动创建帐户，也省去了运维用户手动选择用户登录的过程。VDH应用发布访问过程登录运维用户操作界面选择需要访问的资源，登录VDH服务器：在VDH服务器上运行发布的应用登录应用主机，进行实际操作6) AS400协议的特殊性，一般使用IBM专用的客户端工具，本文也对运维过程进行了说明。4. 最近访问运维协议/“最近访问”页面，显示最近访问的20个资源，按照访问时间的先后顺序倒序排列。您可以从此页面快速的找到常用的资源，进行运维，页面如下：5. 基本操作5.1双人复核双人复核是指运维用户在做一条会话时，若需要放行告警阻断命令，必须要求其他运维用户进行审核。复核员实时监控活动会话，控制阻断命令最终是否被执行。仅ssh和telnet协议的Portal运维支持双人复核功能。运维平台/基本操作/双人复核，进入双人复核页面：检索方式：有标准和定制两种，对活动中的会话进行检索。u 标准检索，以ssh协议为例，协议下拉列表选择ssh，检索结果如下：u 定制检索：支持资源名、IP地址、运维人员和姓名模糊检索，也可以组合查询，下面以IP地址“10.10.1.23”模糊检索为例：5.2复核事例以下以ssh为例，介绍双人复核相关操作。运维用户登录运维平台，选择“全部协议/文本协议”：点击“执行”，具体页面如下：复核员的下拉列表中包括全部复核员和其他运维用户Ø 全部复核员：所有运维用户如果复核员选择“全部复核员”，所有的运维用户登录运维平台后均能看到复核申请，若其中一个用户执行复核操作，其他用户不用再复核。Ø 复核员：指定复核员登录运维平台后可看到此复核申请点击“继续”进行运维操作，如图所示：注：若点击“快速执行”，默认的复核员为全部复核员。下面以运维会话指定复核员为111用户为例，介绍复核相关操作。5.2.1未复核会话执行运维会话，指定的复核员未执行复核会话。当运维会话输入阻断命令时（注：若协议配置了告警，则会按照配置的黑白名单规则执行阻断或放行命令），会直接阻断命令，具体如下图所示：创建阻断告警会话，输入阻断命令时，指定复核员未复核该会话，命令被阻断。如下：回车后可以继续会话操作。5.2.2复核会话基本操作/双人复核，显示该复核员可以复核的活动会话，具体页面如下：点击“复核”，进入复核窗口，当运维会话输入阻断命令，如：ls，则提示等待复核员的批准，如图所示：图表 1会话终端同时，复核员会收到是否允许运维人员执行当前命令的提示，图表 2复核终端Ø 若复核员输入“y”，则表示允许执行该命令，运维会话端显示复核结果并执行命令，同时复核端显示命令执行结果；Ø 若复核员输入“n”，则表示阻断命令，运维会话端显示复核结果，并告警阻断。同时复核端显示阻断结果；Ø 若复核员在超过120秒的时间内仍未做出复核操作，则运维会话端阻断当前命令，同时复核端显示阻断结果。具体页面可参见下图所示：图表 3复核终端图表 4会话终端5.2.3多次复核 当运维会话结束时，复核也结束。复核员结束复核会话不会影响运维操作，复核员可对会话进行多次复核操作，但所有复核操作只能是同一复核员。6. 运维协议分类6.1全部协议运维协议/“全部协议”页面显示所有用户可以运维的资源。可检索您要运维的资源，可运维资源，页面如下：检索方式：标准检索和定制检索；默认标准检索。1）标准检索，以ssh协议为例，在“协议”下拉框选择ssh，检索的结果如下：2）定制检索，检索方式选择“定制”之后，页面如下：输入要搜索的资源名或IP，支持迷糊搜索和组合搜索，以模糊匹配IP“172.16”为点击“搜索”搜索如下：执行：点击“执行”后，可设置登录参数，并进行登录。快速执行：点击“快速执行”，可按照“参数设置”中的参数，直接进行登录。参数设置详见8.1节。6.2文本协议运维协议/文本协议包含：TELNET、SSH协议类型的资源6.3图形协议运维协议/“图形协议”包含：RDP、XWIN、VNC、HTTP、HTTPS等协议类型的资源6.4文件传输运维协议/ “文件传输”包括：FTP、SFTP两个协议类型的资源 6.5应用发布运维协议/ “文件传输”包括由运维管理员定义，由VDH设备支持的应用发布程序。如pcanywhere，plsql应用。7. 运维事例因统一使用Portal进行运维，各协议运维的过程大致相同，所以会介绍比较典型的几个例子。7.1文本类运维事例 1） 登录运维平台，选择“协议运维/文本协议”，以telnet运维为例，ssh运维类似： 2） 点击“执行”：3） 选择可选的设备帐户root，点击“继续”：这样，就进入了运维界面。 如果需要支持telnet中文输入，登录以上界面后，鼠标右键该工具的标题栏，在弹出的以下窗口中，将字符集更改为GB2312，apply后即可生效。如果还不能支持，请联系运维管理员确认此telnet资源为“支持中文”。7.2文件传输类运维事例1） 运维用户登录运维平台，选择“协议运维/图形协议”以ftp为例：2） 点击“执行”：3） 点击“继续”，验证通过，进入真实主机可以进行实际操作：7.3图形类运维事例RDP的访问过程与XWIN运维类似，登录时，选择服务器帐户。选择RDP资源：点击“执行”：设置相关参数后，点击“继续”进入真实服务器进行操作：7.4VNC运维事例登录运维平台后，选择VNC资源：点击“执行”：点击“继续”登录到服务器进行操作：7.5应用发布运维事例应用发布主要是VDH上添加的应用。以下以PL/SQL的应用为示例：访问过程拓扑图：1) 运维用户登录运维平台，选择“协议运维/应用发布”，如下图：2) 点击“执行”进行运维，如下图：3) 设置登录参数，点击“继续”登录，如下图：4) 成功登陆，可以通过PLSQl对Oracle数据库进行操作，输入资源数据库的用户名密码，以及数据源，如下图：7.6变更工单运维事件 HAC支持变更工单与运维事件结合，也即运维用户在进行运维操作前，要输入变更工单和变更事由后方可进行运维。由运维管理员进行全局设置。运维界面类似下图：输入变更工单号、变更事由之后可进入运维界面：7.7其他帐户运维 运维用户可以使用“其他帐户”进行运维，有两种情况：1) 运维管理员开启了“托管登录开关”，允许用户使用其他帐户运维；2) HAC授权为非自动登录版本，运维用户必须自行输入核心后台服务器的用户名和密码。非自动登录版本，登录运维页面，选择资源执行：继续：输入设备用户名、密码，通过验证后进入服务器进行操作：7.8AS400运维事例AS400协议比较特殊，所以单独对访问过程图进行讲解，IBM CA客户端的使用方法在此不再赘述。其具体的访问过程如下：AS400虚拟网卡IP地址AS400用户标识、AS400密码CA客户端：具体过程如下：1) 启动CA客户端，系统名称为HAC虚拟网卡的IP地址，确定。2) 输入AS400真实服务器的用户标识和密码，点击“确定”：3) 再次输入用户标识和密码，Enter键确认：4) 真实主机认证通过后，就可以进行操作：如果使用Windows自带的cmd终端访问，则需在cmd中直接运行“telnet 虚拟网卡IP”即可。8. 运维管理“运维管理”模块提供设置快速执行参数以及相关软件下载等功能。8.1 参数设置设置快速执行时运维的参数。资源帐户：设备帐户名，只在帐户已经分配给对应的资源和运维用户的前提下，快速执行时不用再选择帐户，直接运维。颜色深度：设置屏幕颜色深度，可选增强色（16位）（默认）、256色、增强色（15位）、真彩色（24位）；见下图：（仅对图形协议生效）屏幕分辨率：设置屏幕分辨率，默认1028*768，可选其他方案，见下图：（仅对图形协议生效）8.2 工具下载提供HAC运维用户配套使用的软件，可直接下载：Portal客户端：  telnet/ssh/ftp/sftp安全运维工具。注：进行telnet/ssh/ftp/sftp运维操作前，务必安装此工具。江南科友证书key驱动：证书认证用户需安装此工具。安装过程详见HAC keyou_key使用手册8.3 Portal客户端安装从工具下载页面把Portal客户端下载下来，双击PortalClients_setup.exe开始安装： 点击“下一步”：接受条款：选择安装路径，默认安装到C:Program FilesUnion HAC下：点击“安装”：点击“完成”结束安装。9.技术支持HAC技术支持联系方式如下：广州总部：地址：广州市萝岗区科学城科学大道162号创意大厦B3区主楼2层邮编：510663电话：(0086)-020-28068388 传真：(0086)-020-28068389北京分公司：地址：北京上地东路5-3号烽火科技大厦七层邮编：100085电话：(0086)-010-62960909传真：(0086)-010-82890044上海分公司：地址：上海市徐汇区田林路140号徐汇创意新天地28号楼3楼336-338室邮编：200233电话：(0086)-021-51863066传真：(0086)-021-33677026重庆分公司：地址：重庆市九龙坡区石桥铺科园一路2号大西洋国际1901邮编：400039电话：(0086)- 023-68794361传真：(0086)-023- 68794362