Bastionhost：配置控制策略

步驟一：建立控制策略

1. 登入Bastionhost控制台，在頂部功能表列，選擇Bastionhost所在的地區。

2. 在Bastionhost執行個體列表，定位到目標執行個體，單擊管理。

3. 在左側導覽列，單擊控制策略。

4. 在控制策略頁面，單擊建立控制策略。

5. 在建立控制策略頁面，配置以下資訊後，單擊頁面右下角的建立控制策略。

   優先順序

   • 優先順序可設定範圍：1~100。預設值為1，即最高優先順序。

   • 不同控制策略可以設定相同的優先順序。多個控制策略的優先順序相同時，最新建立的策略優先順序最高。在一條策略中，若控制命令和審批命令裡設定有相同的命令，則優先順序從高到低是：拒絕 > 允許 >審批。

   命令策略

   主機命令策略	需要控制命令列表 說明 僅適用於Linux主機。	配置在當前策略生效的使用者和主機中，允許或禁止執行的命令。 (黑名單)不允許執行以下命令：選擇黑名單後，控制命令列表可以為空白。在當前策略生效的使用者和主機，不允許執行黑名單命令列表中的命令。 (白名單)只允許執行以下命令：選擇白名單後，控制命令列表為必填項。在當前策略生效的使用者和主機，只允許執行白名單命令列表中的命令。 有關主機控制命令策略的推薦模板，請參見主機命令策略推薦模板。
   	需要審批命令列表	如果使用者執行了需要審批的命令，管理員需在Bastionhost控制台對該命令是否執行進行審批。審批允許後該命令會被執行，審批拒絕後該命令不生效。關於命令審批的更多資訊，請參見命令審批。 說明 控制命令生效的優先順序高於審批命令。
   資料庫命令策略	需要控制命令列表	(黑名單)不允許執行以下命令：選擇黑名單後，控制命令列表可以為空白。在當前策略生效的使用者和資料庫，不允許執行黑名單命令列表中的命令。 (白名單)只允許執行以下命令：選擇白名單後，命令列表為必填項。在當前策略生效的使用者和資料庫，只允許執行白名單命令列表中的命令。 匹配方式：支援SQL解析和正則匹配。

   主機命令策略推薦模板

   下表介紹主機控制命令策略推薦配置的命令以及推薦原則範本。

   命令	描述	推薦策略
   reboot	重啟	命令審批
   restart	重啟	命令審批
   shutdown	關閉系統	命令審批
   halt	關閉系統	命令審批
   poweroff	關閉系統	命令審批
   init 0	停機	命令審批
   pkill	批量殺死進程	命令審批
   kill	殺死單個進程	命令審批
   rm -rf	遞迴強制移除，忽視提示	命令審批
   mount	掛載檔案系統，有病毒拷貝危險	命令審批
   umount	卸載檔案系統	命令審批
   parted	檔案系統分區	命令審批
   format	格式化	黑名單命令
   dd if=/dev/zero of=/dev/had	硬碟清零	黑名單命令
   :(){:|:&};:	fork炸彈	黑名單命令
   (mv)(|.*)(/dev/null)	移動目錄至黑洞	黑名單命令
   (wget)(|.*)(-O- \| sh)	下載後直接執行	黑名單命令
   mkfs.ext3 *	格式化	黑名單命令
   dd if=/dev/random of=/dev/*	向塊裝置中隨機寫入資料	黑名單命令

   協議控制

   配置控制策略的RDP選項、SSH選項以及SFTP選項。選中協議控制項表示允許該操作，未選中表示不允許進行相應操作。例如，選中檔案上傳，表示允許執行上傳檔案操作。

   協議選項	配置項	說明
   RDP選項	鍵盤記錄	勾選後，可以針對RDP協議營運時的鍵盤操作進行審計，在映像文字介面可以查看審計具體內容。
   	磁碟機/印表機映射	管控RDP協議營運時可以對應磁碟機、印表機和磁碟。
   	磁碟映射方式下載檔案	管控RDP協議營運時可以通過磁碟映射方式下載檔案。
   	磁碟映射方式上傳檔案	管控RDP協議營運時可以通過磁碟映射方式上傳檔案。
   	粘貼板下載	管控RDP協議營運時通過粘貼板下載檔案或文字的操作。
   	粘貼板上傳	管控RDP協議營運時通過粘貼板上傳檔案或文字的操作。
   SSH選項	X11轉寄	管控SSH協議營運時是否可以進行X11轉寄。
   	遠程執行命令	管控是否可以在命令列模式下，通過SSH串連Bastionhost的指定主機並執行相應的命令。具體操作可參見Bastionhost支援遠程命令營運說明
   	SFTP通道	取消勾選本項後，將無法進行SFTP協議串連。
   	SSH通道	取消勾選本項後，將無法進行資料庫營運和通過SSH許可權登入資產賬戶。 重要 SSH通道和SFTP通道必須至少開啟一項。取消勾選SSH通道後，將無法通過SSH許可權登入資產賬戶，請謹慎配置。 若主機賬戶配置僅開啟SFTP許可權，請勿在控制策略裡為該賬戶關閉SSH通道及SFTP通道，否則將無法通過Bastionhost使用該主機賬戶訪問目標伺服器。
   	SSH正反向隧道	開啟後，即可使用VSCode、Cursor工具營運SSH賬戶。 重要 通過VSCode和Cursor工具營運時，Bastionhost無法管控和審計執行的命令，請謹慎開啟。
   SFTP選項	檔案上傳	管控SFTP協議營運檔案上傳的操作。
   	檔案下載	管控SFTP協議營運檔案下載的操作。
   	刪除檔案	管控SFTP協議營運刪除檔案的操作。
   	檔案重新命名	管控SFTP協議重新命名檔案的操作。
   	建立文件夾	管控SFTP協議建立檔案夾的操作。
   	刪除文件夾	管控SFTP協議營運刪除檔案夾的操作。

   存取控制

   配置來源IP是否可以訪問當前策略生效的主機。

   • (白名單)只允許以下IP：如果選擇白名單，IP列表為必填項。只允許白名單中的來源IP訪問當前策略生效的主機。

   • (黑名單)不允許以下IP：如果選擇黑名單，IP列表可以為空白。不允許黑名單中的來源IP訪問當前策略生效的主機。

   登入控制

   • 營運審批：開啟後，營運員登入資產時，需由管理員審批通過，才能進行營運。關於營運審批的更多資訊，請參見營運審批。

   • 登入備忘：啟用登入備忘後，營運員在網頁營運、單點登入營運以及申請營運令牌時，需先填寫備忘。通過營運門戶營運資產時的登入備忘如下圖：

     

步驟二：關聯資產及使用者

在關聯資產/使用者頁面，您需要同時為該策略關聯資產及使用者，使該策略在相應資產及使用者上生效。

1. 為該策略關聯資產。支援選擇策略針對所有資產生效或策略針對已選擇的資產生效。

   • 選擇策略針對所有資產生效，預設對所有資產賬戶生效。

   • 選擇策略針對已選擇的資產生效，在關聯資產後，可選擇關聯所有賬戶或者關聯指定賬戶。

   說明

   如果需要通過控制策略批量關聯資產或者資產賬戶，可以先將資產添加到資產組，再進行批量關聯。

2. 為該策略關聯使用者。支援選擇策略針對所有使用者生效或策略針對已選擇的使用者生效。