本文介绍使用堡垒机时的常见问题及解决方案。

堡垒机通过不断地进行版本升级来提供更多的功能和更好的用户体验。堡垒机实例不同版本之间存在功能差异。更多信息,请参见版本说明。功能使用常见问题按照不同版本分为以下模块:

通过SSH方式运维登录堡垒机时,能否使用密钥作为认证方式?

可以。当使用SSH方式登录堡垒机60022端口时,您可以使用密钥或密码作为认证方式。

如何设置用户使用密钥登录堡垒机,具体操作,请参见托管用户公钥

如何通过SSH方式登录堡垒机,具体操作,请参见:

购买云盾堡垒机后,是否仍然能够直接连接ECS实例的IP?

堡垒机实例本身对ECS实例的IP没有进行策略控制,如果您没有配置其他访问控制策略,仍然可以直接连接该ECS实例的IP。
说明 为了保证您服务器运维的合规性及完整性,建议您配置相关访问控制策略,仅允许通过堡垒机实例登录ECS实例进行运维操作。配置访问策略,具体操作,请参见添加控制策略

如果希望用户只能通过云盾堡垒机实例登录ECS进行运维,不允许以其他方式登录,应如何配置?

您可以通过设置该ECS实例的安全组,只允许堡垒机实例的IP访问该ECS实例;或者不要将服务器登录的凭据分发给用户,仅在堡垒机实例中保存登录凭据,实现用户只能通过堡垒机实例登录ECS云服务器。如何设置安全组,具体操作,请参见添加安全组规则

登录堡垒机实例后,单击ECS实例进行登录时,提示失败,应该如何处理?

请检查登录的ECS实例所在的安全组和ECS实例本身的防火墙设置,确认没有启用禁止堡垒机实例访问ECS服务器运维端口的任何访问控制规则。

使用WinSCP工具登录SFTP目标服务器时遇到“列出'/root'的目录项时出错”,应该如何处理?

问题现象

使用WinSCP工具登录SFTP目标服务器时遇到“列出'/root'的目录项时出错”,如下图所示:列出'/root'的目录项时出错

问题原因

可能是本地客户端存在缓存导致。

解决方案

您需要在WinSCP工具进行以下配置:
  1. 打开WinSCP工具。
  2. 在左侧导航栏,选择环境 > 目录
  3. 目录读取选项全部取消选中。WinSCP登录对话框
  4. 单击保存
  5. 在服务器列表中,单击目标服务器重新登录。

通过私钥方式登录云服务器ECS,仍然提示需要输入密码,该如何解决?

您需要通过以下方式进行排查:

1.确认您所添加的私钥类型。目前堡垒机实例仅支持通过ssh-keygen工具生成的RSA私钥(不支持带密码的私钥)登录ECS服务器。

2.确认所添加的授权组凭据是否正确。您可以通过使用私钥登录ECS云服务器的方式进行验证。V3.2版本,请参见设置账户的私钥

堡垒机实例无法连接ECS云服务器,该如何解决?

您需要通过以下方式进行排查:
  • 确保堡垒机与ECS服务器之前的网络互通。如何检查堡垒机与ECS服务器之前网络互通,具体操作,请参见网络诊断
  • 检查目标ECS服务器的相关安全组规则设置是否正确,确保堡垒机实例可以连通ECS实例的相关运维端口。
  • 检查ECS服务器自身防火墙或其他中间设备是否存在其它访问连接限制,例如iptables等。
  • 检查堡垒机实例中访问该ECS服务器的端口信息,确保所添加的相关凭据信息(服务器的账户、密钥或密码)正确。

运维人员如何修改云盾堡垒机实例的登录密码?

您可以通过以下方式修改您的云盾堡垒机实例登录密码:
  • 联系堡垒机实例管理员进行修改。
  • 登录堡垒机实例后,自行修改您的登录密码。

云盾堡垒机开放哪些端口,是否可以修改?

云盾堡垒机默认开放以下端口:
  • 443(https端口,Web管理页面)
  • 60022(SSH运维端口)
  • 63389(RDP运维端口)
说明 V2和V3.1版本不支持修改系统默认端口。V3.2版本支持修改系统默认端口。1~1024为堡垒机保留端口,自定义端口时请不要修改为保留端口。

堡垒机哪些版本的实例支持通过调用API接口使用主机、主机组、主机账户、用户、用户组和主机授权功能?

堡垒机V3.2.17及以上版本支持。如果您的堡垒机实例为3.2.17及以上版本,您可以通过调用API接口使用堡垒机提供的主机、主机组、主机账户、用户、用户组和主机授权功能。以下是堡垒机支持的API类型:

如何将堡垒机的运维日志转存到日志服务(SLS)中?

堡垒机支持将运维日志转存到日志服务对应的Logstore中。运维日志即运维人员使用堡垒机进行运维的操作记录。您配置了运维日志转存,堡垒机在接收到运维记录后,会自动将运维日志转存到日志服务中。您可以参考以下步骤配置堡垒机运维日志转存:

  1. 登录日志服务控制台,并根据页面提示开通日志服务。
  2. 日志应用区域,单击日志审计服务
  3. 全局配置页面,参考以下步骤配置审计信息。
    1. 中心项目Project所在区域下拉列表中,选择日志中心化存储的目标地域。
    2. 配置采集同步授权。
      日志审计服务支持手动授权和通过账号密钥辅助授权。您可以选择以下任一方式配置采集同步授权:
      • 通过账号密钥辅助授权:输入账号的AccessKey和AccessSecret。

        AccessKey信息不会被保存,仅临时使用。此处AccessKey信息对应的RAM用户需具备RAM读写权限(例如已被授权AliyunRAMFullAccess策略)。

      • 手动授权:具体操作,请参见自定义授权日志采集与同步
    3. 在云产品列表中,打开堡垒机操作日志开关并设置存储方式中的存储时间。
    审计配置
  4. 可选:查看堡垒机运维日志。
    1. 在左侧导航栏,单击审计查询图标。
    2. 在左侧中心化菜单下单击堡垒机
    3. 堡垒机页签下查看运维日志。

如何在ECS服务器的安全组中设置放行堡垒机出口IP的规则?

使用堡垒机对ECS服务器进行运维前,您需要在服务器的安全组中设置放行堡垒机的出口IP的规则。您的ECS服务器中配置了放行堡垒机出口IP的规则后,堡垒机才能和您的ECS服务器正常通信,进行运维审计操作。您可以执行以下步骤设置安全组规则:
  1. 登录云盾堡垒机控制台
  2. 定位到进行运维操作的堡垒机实例,将鼠标移动到出口IP上方。
  3. 复制并保存该堡垒机的公网IP地址和私网IP地址。
  4. 在ECS服务器的安全组中设置放行堡垒机公网IP和私网IP的规则。

    设置安全组规则的具体操作,请参见添加安全组规则

在云盾堡垒机实例中,如何设置通过内网IP登录ECS服务器?

您可以通过以下两种方式进行设置:
  • 通过导入ECS实例方式导入的ECS服务器,默认是使用内网IP登录。更多信息,请参见导入阿里云ECS实例
  • 资产管理 > 主机页面,选择需要修改运维连接IP的主机,并单击批量 > 修改运维连接IP。在修改运维连接IP对话框中,将主机IP类型选择为内网IP,并单击确定

目标ECS服务器使用的不是SSH、RDP等协议的标准端口,云盾堡垒机实例该如何配置?

云盾堡垒机实例支持自定义运维端口,您可以在登录堡垒机实例后,在资产管理 > 主机页面,选择目标服务器,单击批量 > 修改运维端口。在修改运维端口页面,选择使用的协议并输入自定义的运维端口号,再单击确定

堡垒机实例中的审计录像能保存多久?

V3.2版本堡垒机实例的审计录像一般可以保存半年以上,审计录像存储在OSS上,当堡垒机存储空间快满时,会自动清除最早的审计日志和录像。

使用RDP运维,如何切换主机?

在使用RDP运维过程中想切换主机,您可以通过以下方式进行切换:
  1. 单击电脑桌面左下角的开始按钮。
  2. 在弹出的开始菜单中,单击电源按钮。
  3. 电源菜单中,单击断开连接断开连接
  4. 返回主机列表界面后,选择您要运维的主机并登录,即可完成主机切换。主机列表

如何将服务器配置为HTTP和SOCKS5代理服务器?

本教程以阿里云服务器(操作系统为CentOS 8.3)为例,介绍如何将服务器配置为HTTP和SOCKS5代理服务器。

说明
  • 配置代理服务器前,请确保堡垒机与代理服务器网络互通。
  • 如果是Linux服务器,不需要配置SSH代理服务器。
  1. 登录代理服务器。
  2. 执行yum install 3proxy命令,安装3proxy代理工具。
  3. 执行vim /etc/3proxy.cfg命令,修改以下配置文件。
    • 配置代理服务器的主机账户和密码。设置用户名和密码
    • 配置权限控制参数。权限控制参数
    • 启用HTTP和SOCKS5代理,指定监听端口和访问代理服务器的来源IP。启socks和http代理
  4. 执行bin/systemctl start 3proxy.service命令,启用代理服务。
  5. 执行iptables -F命令,关闭服务器的防火墙,确保服务器可以被访问。
  6. 为该服务器添加安全组规则。具体操作,请参见添加安全组规则
    说明 在配置安全组规则时,端口范围请设置为步骤3中配置的监听端口,授权对象请设置为堡垒机实例的出口IP(堡垒机实例的出口IP可在堡垒机实例列表中,单击对应实例左上方的出口IP获取)。

    为服务器添加安全组规则后,代理服务器配置完成。