WebRelay用户手册
目录
5 选择WebRelay的原因 [8](#选择webrelay的原因)
二. 系统运行状态说明 [11](#二.-系统运行状态说明)
2 操作失败与操作错误提示 [12](#操作失败与操作错误提示)
6用户通过vscode连接机器 [35](#用户通过vscode连接机器)
2 AD认证和LDAP认证 [66](#ad认证和ldap认证)
一、产品介绍
1 产品简介
产品名称:堡垒机企业版
堡垒机是一种用于管理和审计内部系统运维访问的安全网关设备。它位于用户与关键资产之间,通过集中认证、访问控制、会话审计、命令记录等机制,实现对服务器、数据库、网络设备等 IT 资源的统一管理与安全审计。
本产品适用于企业在运维过程中需要高安全性、高可控性和全面审计追溯能力的场景,是实现合规运维和权限最小化访问控制的重要工具。
产品介绍一张图
{width="5.763888888888889in"
height="2.827777777777778in"}
传统堡垒机vs新一代堡垒机
{width="5.763888888888889in"
height="3.365972222222222in"}
2 核心模块介绍
{width="5.762598425196851in"
height="2.7130435258092738in"}
3 产品优势
3.1 4A 安全能力全覆盖
{width="5.763888888888889in" height="1.6347222222222222in"}3.2 4A 安全能力全覆盖
{width="5.763888888888889in"
height="1.5478258967629046in"}
3.3 4A 安全能力全覆盖
{width="5.763888888888889in"
height="2.323611111111111in"}
4 典型适用场景
4.1 运维安全审计
- 统一入口、统一身份、统一日志,降低违规操作风险
- 支持命令审批、操作录像、数据库行为审计等功能
{width="4.852143482064742in"
height="2.8347058180227473in"}
.4.2 弱网环境支持
- 网络防抖和断点续连机制,保障远程办公稳定性
{width="5.310836614173228in"
height="4.164583333333334in"}
4.3 远程研发测试隔离
- 权限组控制,研发/测试/生产资源完全隔离
- 快速发布测试环境应用,提升交付效率
{width="4.721527777777778in" height="4.0951235783027125in"}
5 选择WebRelay的原因
5.1 资产全景一目了然
支持多类型资产集中纳管与可视化管理,让资源清晰可见、分类明确,全面提升运维效率与资产掌控力。
{width="5.763888888888889in"
height="3.486111111111111in"}
5.2 全方位运维安全审计
记录登录、操作和改密全程日志,支持会话回放与实时监控,帮助企业高效实现运维行为可追溯与安全管控。
{width="5.763888888888889in"
height="3.486111111111111in"}
5.3 策略集中管理
统一配置访问策略、命令策略和数据库操作策略,实现灵活、高效的权限控制与运维安全管理。
{width="5.763888888888889in"
height="3.486111111111111in"}
5.4 可视化数据库操作
通过图形化界面管理和操作数据库,支持常用命令、查询与维护,让运维操作更直观、高效且安全。
{width="5.763888888888889in"
height="3.486111111111111in"}
****
5.5 Linux命令风险管控与审批
支持对 Linux 操作命令进行禁止与限制,同时可发起工单审批,实现安全可控的运维操作与规范化流程管理。
{width="5.763888888888889in"
height="3.486111111111111in"}
6 安全策略说明
为实现系统安全防护目标,WebRelay 堡垒机在系统设计与运行过程中实施多种安全策略,对用户访问行为和运维操作进行统一管理与控制。系统通过身份认证策略、访问控制策略、运维审计策略以及安全配置策略等机制,保障系统资源访问的安全性和可追溯性。
在身份认证方面,系统支持本地账户认证以及 AD、LDAP 等外部认证方式,并可结合多因素认证机制对用户身份进行验证,防止未授权用户访问系统资源。
在访问控制方面,系统通过策略管理模块对用户访问资产、操作权限以及命令执行进行统一控制,实现对用户操作范围的精细化授权管理。
在安全审计方面,系统对用户登录行为、资产访问行为以及运维操作过程进行日志记录和会话审计,确保所有关键操作均可追踪和审计。
同时,系统提供安全配置功能,对密码策略、认证方式及相关安全参数进行统一管理,以保障系统在运行过程中的整体安全性。
二. 系统运行状态说明
1 系统运行状态说明
WebRelay
堡垒机在运行过程中会根据用户操作及系统处理结果呈现不同的运行状态。系统通过界面提示信息向用户反馈当前状态,使用户能够了解系统执行结果并进行相应处理。
系统运行过程中可能出现的状态主要包括:
- 登录成功:用户输入正确账号和密码后成功进入系统。
- 登录失败:用户输入的账号或密码错误,系统提示登录失败。
- 权限不足:用户访问未授权功能或资源时,系统提示权限不足。
- 操作成功:用户执行配置、审批或管理操作成功完成。
- 操作失败:操作执行过程中出现错误,系统提示操作失败。
- 参数错误:用户输入参数不完整或格式不正确时,系统提示参数错误。
- 会话超时:可设置token过期时间,用户长时间未操作时系统自动退出登录。
- 系统异常:系统运行过程中出现内部异常情况时进行提示。
通过上述状态提示,用户能够识别系统当前运行状态。
2 操作失败与操作错误提示
当用户在系统中执行操作失败或输入错误参数时,系统会通过界面提示信息对失败原因进行说明,例如:
- 用户名或密码错误提示
- 权限不足提示
- 参数填写不完整或格式错误提示
- 操作执行失败提示
通过上述提示信息,用户能够根据提示内容重新执行操作或修正输入参数,从而保证系统操作的正确性。
3 系统异常与处理提示
当系统运行过程中出现异常情况时,系统会通过提示信息告知用户当前系统状态,例如系统异常或服务暂时不可用等。
用户可以根据提示信息重新操作或联系系统管理员进行处理,以保证系统的正常使用。
三、三权分立管理
1 三权分立功能概述
为满足系统安全管理要求,WebRelay堡垒机系统采用
三权分立安全管理机制。
系统通过 角色权限控制(RBAC) 的方式,将系统关键管理权限划分为
系统管理员、安全管理员、审计管理员
三类角色,不同角色拥有不同的管理职责和操作权限,从而实现
权限隔离、职责分离、相互制约 的安全管理机制。
系统管理员、安全管理员、审计管理员的权限通过 用户角色绑定方式进行控制,在创建用户时为其分配对应角色即可获得相应权限。
通过该机制可以有效防止单一管理员拥有全部系统控制权限,降低内部滥用权限及安全风险。
2 角色权限管理机制
系统采用 基于角色的访问控制机制(RBAC),权限控制流程如下:
-
系统预定义三类管理角色:
- 系统管理员 账号: sysadmin 密码:Sys@Admin2026
- 安全管理员 账号:secadmin 密码:Sec@Admin2026
- 审计管理员 账号:auditadmin 密码:Audit@Admin2026
- 系统管理员在创建用户账号时,可为用户 绑定相应角色。
- 用户登录系统后,系统根据其绑定的角色自动加载对应权限。
- 用户仅能访问 角色权限范围内的功能模块。
- 超出权限范围的功能将 无法访问或操作。
3 用户绑定角色流程
具体步骤如下:
- 登录系统管理后台;
- 进入 用户管理模块;
- 点击 新建用户;
- 填写用户基本信息;
-
在 角色选择项 中选择对应角色:
- 系统管理员
- 安全管理员
- 审计管理员
- 保存用户信息完成创建。
用户创建完成后,即获得对应角色权限。
四、用户登录
登录堡垒机
{width="5.763888888888889in"
height="2.8097222222222222in"}
开启MFA二次认证
{width="5.763888888888889in"
height="3.2180555555555554in"}
绑定MFA验证器
在开启MFA二次认证功能后,用户首次登录需要手机绑定认证器,按照下图的执行顺序绑定即可。
{width="2.4814818460192476in"
height="1.8604166666666666in"}
{width="2.916434820647419in"
height="1.8595800524934383in"}
{width="3.351852580927384in" height="1.8701388888888888in"}
在手机通过扫描二维码来绑定验证器,绑定成功后会自动添加一条认证信息。
{width="2.4259262904636922in"
height="4.666666666666667in"}
{width="2.4259262904636922in"
height="4.664583333333334in"}
手机绑定成功后按照验证器,填写手机弹出的验证码即可完成登录。
{width="5.763888888888889in"
height="3.2180555555555554in"}
重置密码
1.当密码尝试次数超过管理员设定的最大尝试次数时
{width="5.763888888888889in"
height="2.7979166666666666in"}
{width="5.763888888888889in"
height="1.801388888888889in"}
{width="5.763888888888889in"
height="3.9027777777777777in"}
- 当密码尝试次数超过管理员设定的最大尝试次数时,会提示登录失败次数过多,账号已被封禁 ,请点击 重置密码
- 点击重置密码,会给用户的邮箱自动推送重置密码的邮件
- 邮件中有重置密码的链接,用户点击立即重置密码将会跳转到重置密码的页面
- 重置完密码之后用户会重新跳转到用户登录页面进行登录。
2.当用户直接点击忘记密码按钮时
{width="5.763888888888889in"
height="2.797222222222222in"}
- 用户忘记密码时,可点击忘记密码按钮
- 点击重置密码,会给用户的邮箱自动推送重置密码的邮件
- 邮件中有重置密码的链接,用户点击立即重置密码将会跳转到重置密码的页面
- 重置完密码之后用户会重新跳转到用户登录页面进行登录。
支持第三方登录方式
- 飞书
{width="5.763888888888889in"
height="2.8097222222222222in"}
{width="5.763888888888889in"
height="2.8222222222222224in"}
- 当管理员在系统设置---三方登录中启用飞书登录之后,用户便可以通过飞书扫码登录
- 登录界面---其他登录方式中可以看到飞书的logo图标
- 点击logo,跳转到飞书扫码登录界面,用户打开自己的飞书扫一扫进行登录
注意:若管理员在系统设置---三方登录中关闭飞书登录之后,其他登录方式中的飞书logo将会消失,用户便无法再通过飞书进行登录。
五、个性化设置
{width="5.763888888888889in"
height="2.8069444444444445in"}
点击开关按钮可以切换为暗黑模式,暗黑模式的好处:
- 减轻眼睛疲劳,降低蓝光辐射
- 视觉聚焦更强,增强专业性和科技感
- 满足个性化需求,提升夜间使用体验
{width="5.763888888888889in"
height="2.7736111111111112in"}
{width="5.763888888888889in"
height="2.8097222222222222in"}
增加个性化主题色设置,用户可根据自己的喜好选择不同的主题色。
控制台
六、桌面概览
仪表盘由不同的控制板组成,控制版的数据来源于对应权限的模块,当有相应控制板权限时则显示对应的控制板内容。Admin 拥有最高权限。支持展示如下内容:
- 实时在线会话数,用户数据,资产数据;
- 账号/资产活跃情况;
- 资产类型分布情况;
- 近期登录账号排名、近期资产排名;
{width="5.763888888888889in"
height="2.977777777777778in"}
七、组织管理
用于划分组织结构,可在每个部门下创建多个部门,以树状图结构展示出。如图
{width="5.763888888888889in"
height="3.2180555555555554in"}
{width="5.763888888888889in"
height="2.786111111111111in"}
注意;
- 系统默认会有一个ROOT作为根节点,无法删除,可以在根节点下创建公司组织结构。组织下可再新建下级,也可修改名字和删除。
- 管理员可以看到所有的组织节点,非管理员只能看到自己所在的组织及以下的组织节点。
八、用户管理
1 用户管理
页面展示
- 支持单个新建用户,批量导入/导出用户
- 快捷搜索支持昵称/登陆账号进行搜索,如需其他字段搜索可点击"高级搜索"
- 点击设置按钮,可选择列表显示的字段
- 批量操作,可对勾选的用户进行批量删除操作
- 点击刷新按钮,刷新页面
- 操作栏实现对用户进行编辑和删除,以及支持快速重置密码通道。
{width="5.763888888888889in"
height="2.623611111111111in"}
注意事项:
管理员账号可以看到所有的用户,非管理员账号可以看到他所在的组织以及组织以下的用户。
操作
本系统支持三种方式创建用户:默认创建、批量导入、AD和LDAP导入。
创建用户均需要为其设置基本的信息以及角色,同时为其选择组织,这样才能正常登录使用系统。
密码设置:系统设置中,若开启密码安全,设置的密码就需要按照密码安全中的密码规则进行设置,会根据这个规则进行校验,一键生成密码也会按照这个规则生成。
若关闭,则会按照系统默认的密码规则进行设置。
创建用户
{width="5.763888888888889in"
height="2.7465277777777777in"}
{width="5.763888888888889in"
height="3.2180555555555554in"}
注意事项:
- 当系统设置中开启强制启用mfa时候,新增的用户默认将强制启用MFA,已有的用户mfa状态不受影响。
邮箱和手机号属于用户的敏感信息,在创建用户填写字段时,会有一个弹窗的提示。
{width="5.763888888888889in"
height="2.6055555555555556in"}
批量导入
批量导入前,清先下载系统提供的 Excel 模板文档,在文档中填入所需的信息内容后再尝试批量上传。填写完毕后选择编辑好的文件开始上传导入,
{width="5.763888888888889in"
height="3.2180555555555554in"}
{width="5.763888888888889in"
height="3.2180555555555554in"}
AD/LDAP导入
{width="5.763888888888889in"
height="3.2180555555555554in"}
{width="5.763888888888889in"
height="3.2180555555555554in"}
{width="5.763888888888889in"
height="3.2180555555555554in"}
{width="5.763888888888889in"
height="3.2180555555555554in"}
修改用户信息
可点击编辑修改用户信息,如果只需要重置密码的话,可点击重置密码按钮,快速修改密码
{width="4.861111111111111in"
height="2.013888888888889in"}
{width="5.763888888888889in"
height="2.7736111111111112in"}
{width="5.763888888888889in"
height="2.7020833333333334in"}
2 用户组
用户组用于把用户分组后,实现批量授权功能。
页面展示
{width="5.763888888888889in"
height="2.857638888888889in"}
- 管理员账号可以看到所有的组织下的用户组,新增的用户组的所属部门默认为总部。
- 非管理员可以看到当前登录用户所在的组织及组织以下的用户组,新增的用户组的所属部门默认为当前用户所在的组织。
添加用户组
点击 "管理成员" 后,即可为该组灵活配置用户。界面分为左右两个区域:
- 左侧为"可加入用户"列表:展示所有尚未加入该组的成员,同时支持搜索与分页,方便快速定位目标用户。
- 右侧为"已加入用户"列表:展示当前已在该组内的成员。
为了在操作时一目了然,已加入的用户在左侧将以"已勾选且禁用"状态呈现,表示他们已属于该组、无需再次添加。通过中间的左右方向按钮,管理员可以便捷地完成用户的加入或移除操作。
{width="5.763888888888889in"
height="2.6777777777777776in"}
3角色管理
创建角色
用户角色管理模块基于 RBAC(Role-Based Access Control)访问控制模型,用于对系统用户的权限进行集中管理与分配。通过角色抽象权限集合,用户绑定角色以获得访问系统中资源和功能的能力,实现权限的统一控制、最小授权原则和权限复用。目前角色用于控制用户可访问菜单结构。
{width="5.763888888888889in"
height="3.2152777777777777in"}
{width="5.763888888888889in"
height="3.2180555555555554in"}
注意事项:
- 如果该角色的状态为关闭,则表示该角色不可用。在新增用户时,将不可再新增该角色的用户;在修改用户角色时,也不可将用户设置为该角色。
- 在权限管理设置以后,需要等待大约10分钟的时间方可生效。(若没有生效,可到用户管理,找到该用户,重新绑定一下用户的角色,提交后刷新页面即可)
九、远端资产管理
{width="5.763888888888889in"
height="1.8819444444444444in"}
1资产功能列表
1.1 资产列表展示
- 显示所有远端资产(表格列数据展示的是我们在创建资产时的信息,类似于资产管理)
1.3 搜索功能
- 按名称搜索:输入资产名称进行搜索
- 按主机搜索:输入主机:端口格式进行搜索(如:127.0.0.1:22)
1.4 授权用户查看
- 点击"查看"按钮显示授权用户列表
- 弹出框显示用户列表:昵称(用户名)
- 支持显示用户数量
- 默认资产是不允许直接连接的,在放权用户中选择允许连接的用户
1.5 资产操作
- 编辑:跳转到资产编辑页面
- 删除:单条删除资产(需二次确认)
- 安装:跳转到应用部署页面(flag=deploy)
- 重装:已安装状态下显示,跳转到应用部署页面
- 卸载:跳转到应用卸载页面,安装状态为未安装的时候禁用卸载按钮
2资产创建/编辑功能
{width="5.763888888888889in"
height="2.808333333333333in"}
{width="5.763888888888889in"
height="2.645138888888889in"}
- 基本信息填写创建资产相关的表单信息即可
- 资产名称:填写此资产的名称即可
特权账号:是否是特权账号?只有特权账号才可以下发安装审计程序
类型:默认remote-ssh
协议:默认ssh
用户名:用于连接的用户名
主机:用于连接的主机
端口:用于连接的端口,注意因为是远端资产,所以这里填写的是映射的端口而不是机器的真实端口。
连接字符集:默认使用 UTF-8
认证类型:认证类型默认使用的是公钥方式,公钥的填写是当前的机器的公钥,按照提示操作即可。
放权用户:默认资产是不允许直接连接的,在放权用户中选择允许连接的用户,下拉选择,支持远程搜索,默认下拉展示30条。
- 认证类型
公钥:公钥来自于系统设置------基础设置------系统公钥
密码:选择密码时需要填写密码。编辑状态不直接回显密码,有密码时显示"修改密码"按钮,支持取消密码
3安装审计程序
创建完成之后即可开始执行【安装】按钮来安装审计程序,安装后会自动检测系统状态。
{width="5.763888888888889in"
height="3.232638888888889in"}
点击安装后会展示安装的流程日志,以及上传的进度。
{width="5.763888888888889in"
height="2.8833333333333333in"}
4如何查看操作日志
在用户正常使用后,会有记录存入到平台中。具体路径:【切换】-【审计台】-【会话审计】-【历史会话】
{width="5.763888888888889in"
height="3.232638888888889in"}
5远端资产扫描能力
{width="5.763888888888889in"
height="2.5340277777777778in"}
扫描配置可以添加 ip 和具体的端口范围,执行确认后会按照设置间隔时间来自动执行。
{width="5.763888888888889in"
height="1.5659722222222223in"}
扫描的结果会体现在结果页面,包含新增的端口,现有正常使用端口以及异常端口,可以按照结果来管理现有的资产。
点击现有端口或者异常端口可以跳转到列表页,可查看是哪个机器的端口出现的问题,会自动筛选。刷新页面后列表会恢复正常。
{width="5.763888888888889in"
height="2.31875in"}
6用户通过vscode连接机器
用户不能直接连服务器了,必须先经过堡垒机"中转认证"才能进去
远端资产接入到堡垒机后,用户就无法直接连接到目标机器,连接过程需要做一次更改。
1、修改本地配置文件,先连堡垒机
修改本地机器配置文件 ~/.ssh/config,添加如下内容。
Host baige-machine
HostName 180.76.137.193
Port 8868
User {{堡垒机用户名}}#{{远端资产用户名}}#{{远端资产主机}}:{{远端资产端口}}
# 配置示例
Host baige-machine
HostName 180.76.137.193
Port 8868
User zhangyaqi#root#10.184.97.73:7135
2、使用配置连接机器,发起连接
此密码是在堡垒机平台添加用户时候创建的密码
{width="5.763888888888889in"
height="4.070138888888889in"}
3、双因素认证方案
双因素认证需要使用填写动态码以确认登录用户身份,动态码在堡垒机平台创建用户时选择开启 MFA 双因素认证即可,用户在登录平台时会引导用户安装以及绑定。
{width="4.756944444444445in"
height="9.694444444444445in"}
{width="5.763888888888889in"
height="4.070138888888889in"}
4、认证成功界面如下
{width="5.763888888888889in"
height="4.070138888888889in"}
最终实现的一个功能
1.在 VSCode 里点击连接服务器
2. VSCode 调用 SSH
3. SSH 按配置连接到堡垒机
4. 堡垒机校验账号 + MFA
5. 校验通过后帮你连到目标机器
6. VSCode 展示远程环境(就像本地一样操作)
十、资产管理
页面展示
这里展示的是组织资产。
- 资产列表默认展示资产树tab,左侧是系统组织结构树(组织结构维护需要在【组织管理】模块去维护),右侧展示的是当前选中组织名下的资产。
- tab切换为主机时,展示的是类型为windows和Linux类型的资产,
- tab切换为数据库时,展示的是类型为数据库类型的资产。支持按照名称,资产类型,地址进行搜索。
{width="5.763888888888889in"
height="2.7430555555555554in"}
{width="5.763888888888889in"
height="2.797222222222222in"}
{width="5.763888888888889in"
height="2.797222222222222in"}
操作
支持新增资产,查看资产的详细信息,编辑账号列表,设置资产的审批人,编辑和删除资产。
{width="5.763888888888889in"
height="2.6486111111111112in"}
添加资产
- 选择左侧对应的组织,然后点击新增按钮可以添加资产,(或者直接点击新增按钮选择资产节点也可)
- 输入资产名称、类型、协议、主机、端口,默认激活。点击提交
{width="5.763888888888889in"
height="2.9659722222222222in"}
2.编辑资产
编辑资产和新增资产的页面展示一样,可进行修改资产的相关信息。点击提交
3.设置审批人
可点击设置审批人按钮,勾选审批人,为该资产设置审批人权限。
{width="5.763888888888889in"
height="2.7736111111111112in"}
4.添加资产账号
-
添加资产账号
- 在账号列表栏,点击编辑,进入账号列表页面
- 点击新增,输入资产账号的基本信息,设置密码
- 也可以点击模版添加
{width="5.763888888888889in"
height="2.6034722222222224in"}
{width="5.763888888888889in"
height="2.7979166666666666in"}
- 点击编辑可修改资产账号的信息,可删除账号。
- 切换为账号模板的tab,可以新增账号模板,编辑和删除账号模板。
- 账号模板作用:新增完账号模板后,可以点击账号tab下的模板添加按钮,通过模板为资产去批量的添加账号,选择需要的模板和需要为哪些资产添加账号,点击确定
{width="5.763888888888889in"
height="2.8340277777777776in"}
{width="5.763888888888889in"
height="2.857638888888889in"}
十一、个人资产查看
页面展示
- 页面默认没有选择任何用户,所以默认展示无数据。
- 要先选择用户,若该用户名下无资产,则表格中展示暂无数据;若该用户名下有资产,则展示该用户名下的资产。
- 可通过资产名称,资产类型,账号名称简易搜索,可点击高级搜索搜索更多字段。
- 数据来源:审计台-我的资产,不同登录用户可以在我的资产菜单看到自己名下的资产,那么在控制台-个人资产产看页面,可以通过选择不同用户来查看该用户名下的个人资产。
{width="5.763888888888889in"
height="2.8097222222222222in"}
{width="5.763888888888889in"
height="2.8222222222222224in"}
注意事项:
如果登录账号是管理员的话,可以查看到所有用户,如果登录账号是非管理员的话可以看到当前登录用户所在的组织以及组织下的用户的资产。
十二、策略管理
1控制策略
页面展示
展示控制策略数据。如图:
- 新增:点击新增按钮,可创建控制策略的数据
- 操作列-查看:可查看这条策略的详细信息
- 操作列-删除:可删除这条策略
- 资产账号列表列-查看:可查看这条策略关联的账号名称
- 用户列表用户列表列-查看:可查看这条策略关联的用户名称
- 用户组列表列-产看:可查看这条策略关联的用户组名称
{width="5.763888888888889in"
height="2.9659722222222222in"}
操作
添加策略
基本信息和添加资产账号、用户和用户组
添加控制策略数据----点击新增按钮---填写基本信息,选择添加资产账号,用户和用户组
{width="5.763888888888889in"
height="3.0541666666666667in"}
注意事项:
- 添加资产,用户和用户组时要先选择部门切换,最终添加的也是该部门名下的资产、用户和用户组
- 添加资产账号可以通过资产搜索添加,也可以通过账号搜索添加,搜索的关键词带有高亮效果。
- 资产和用户所属的部门不一致时,部分资产或用户将不会生效。
2.访问控制策略
访问控制策略用于控制用户访问资源的权限,可以让指定用户在指定的时间内访问指定的主机资源,且支持IP地址限制,文件传输,剪切板上下行,水印显示等。选择完后关联的用户和资源就能使用关联的资源进行运维。如图:
{width="5.763888888888889in"
height="2.7256944444444446in"}
注意:只有在剪切板(RDP,VNC)勾选后,才可以选择上行剪切板和下行剪切板。
3.命令控制策略
命令控制用于控制指定的用户登录指定的字符类型协议后,当执行策略指定的命令时,会出触发相应的动作限制,执行动作分为:拒绝,接受,审核,警告,通知并警告
匹配方式支持正则匹配和精确匹配,添加命令列表,可以自行输入,为了方便也支持一键导入推荐的命令
关联审批模板:
- 创建的命令控制策略执行动作为审核的时候,并且命中命令列表的命令时,会触发该审批模板,该模板中关联的审批人会在工作台---我的审批中查看到该条数据,并进行审批等相关操作
- 选择关联模板之后,下会展示该模板关联的审批人,方便查看
{width="5.763888888888889in"
height="1.3125in"}
注意:在创建控制策略时,命令控制策略并不是一定要添加的,但是如果创建了命令控制策略的话,那么是需要关联审批模板的。(即命令控制策略的表格中有数据的话,必须要需要选择关联审批模板)
4.数据库控制策略
点击新增按钮可新增数据库命令策略,可关联审批模板,策略类型分为黑白名单,黑名单为不允许执行以下命令,白名单为仅允许执行以下命令,匹配方式目前仅支持SQL解析。
{width="5.763888888888889in"
height="1.788888888888889in"}
注意:在创建控制策略时,数据库控制策略并不是一定要添加的,但是如果创建了数据库控制策略的话,那么是需要关联审批模板的。(即数据库控制策略的表格中有数据的话,必须要需要选择关联审批模板)
修改策略
点击查看按钮可进入策略管理的详情页面,默认为浏览状态,不可修改,点击每一部分对应的修改信息按钮,可对该部分的数据进行修改。
修改完成后点击确认修改,放弃修改的话点击取消修改,数据恢复到最初始的状态。
{width="5.763888888888889in"
height="0.9847222222222223in"}
{width="5.763888888888889in"
height="1.06875in"}
注意:在该页面为了一目了然的观察数据,详情页面所有表格中,新增的数据以蓝色字体展示,并且不再参与搜索功能和分页功能。搜索功能和分页功能只对后台已有的数据生效。
2个人资产控制策略
页面展示
{width="5.763888888888889in"
height="2.786111111111111in"}
{width="5.763888888888889in"
height="0.8402777777777778in"}
个人资产控制策略和控制策略的页面功能类似,控制的是工作台个人资产的权限。新增时候多了一个排序的功能,表格中排序列会展示选择的排序
注意:该列表会有一个特殊的兜底数据,任何权限的人都不可以删除,只有管理员可以点击查看进入详情进行查看和修改。
3用户改密策略
{width="5.763888888888889in"
height="2.64375in"}
立即执行会让输入当前登录用户的密码进行确认
{width="5.763888888888889in"
height="2.185416666666667in"}
执行完这条策略之后,目前会通过邮箱,站内信的方式通知用户新密码,后续会接入短信。通知如图展示:
{width="5.763888888888889in"
height="2.225in"}可以新建一个组织,然后在新建的组织下面去新建一些测试用户,检验一下这些改密的功能是否会对这些用户生效。
{width="5.763888888888889in"
height="3.05in"}
密码类型:
- 生成相同密码,系统会自动给命中的用户生成相同的密码;
- 生成不同密码,系统会自动给命中用户生成不同密码;
- 指定相同密码,需要手动设置密码,设置的密码也需要符合下方的密码规则。
执行方式:
- 手动执行,顾名思义就是需要手动点击立即执行,让策略生效,他自己不会自动修改用户密码(已过期和禁用状态的不可再点击立即执行)。
- 定期执行:需要选择执行时间,到时间会自动执行还策略修改密码。
{width="5.763888888888889in"
height="1.7048611111111112in"}
- 周期执行,(每隔多少天会执行一次),选择执行时间,和周期后,鼠标移到执行时间预览可以查看下5次的执行时间。结束时间非必选,选择后执行时间就会
控制在这个时间段内,执行时间预览也会展示这个时间段内的执行时间(注意查看预览执行时间是否在这个时间段内)。
{width="5.763888888888889in"
height="2.6680555555555556in"}
密码规则,在生成密码的时候会按照这个规则去生成密码;
注意:如果选择指定相同密码,设置密码时候也要符合密码规则
默认会修改这个组织下所有用户的密码,用户白名单可以把不需要修改密码的用户排除在外。
点击运行日志
{width="5.763888888888889in"
height="0.5840277777777778in"}
{width="5.763888888888889in"
height="3.629166666666667in"}
点击详情,可以查看改密结果,未修改的有1个,是因为我把他排除在白名单中了,数据展示是否与我们操作的一致。
4账号改密策略
账号改密策略功能同用户改密策略类似。
{width="5.763888888888889in"
height="2.654166666666667in"}
立即执行会让输入当前登录用户的密码进行确认
执行完成后表格中策略状态一栏变为已执行
{width="5.763888888888889in"
height="2.7256944444444446in"}
{width="5.763888888888889in"
height="3.0618055555555554in"}
组织:
这里的组织控制的是一个可见范围,例如:创建的策略的组织为总部,那么组织为一级部门的用户登录后在账号改密策略这个页面是看不到这条策略的,
密码类型:
- 生成相同密码,系统会自动给命中的用户生成相同的密码;
- 生成不同密码,系统会自动给命中用户生成不同密码;
- 指定相同密码,需要手动设置密码,设置的密码也需要符合下方的密码规则。
执行方式:
- 手动执行,顾名思义就是需要手动点击立即执行,让策略生效,他自己不会自动修改用户密码。
- 定期执行:需要选择执行时间,到时间会自动执行还策略修改密码。
{width="5.763888888888889in"
height="1.7048611111111112in"}
周期执行,(每隔多少天会执行一次),选择执行时间,和周期后,鼠标移到执行时间预览可以查看下5次的执行时间。结束时间非必选,选择后执行时间就会
控制在这个时间段内,执行时间预览也会展示这个时间段内的执行时间(注意查看预览执行时间是否在这个时间段内)。
{width="5.763888888888889in"
height="2.6680555555555556in"}
密码规则,在生成密码的时候会按照这个规则去生成密码;
{width="5.763888888888889in"
height="4.347222222222222in"}
可以点击选择账号按钮,通过穿梭框选择需要改密的账号,已选择的账号会在右侧展示,同时在左侧也会已被勾选且禁用的状态展示。
左侧为具有特权账号的资产下面的所有账号。
十三、流程管理
1审批记录
页面展示,如图:
{width="5.763888888888889in"
height="2.7736111111111112in"}
- 该页面为纯展示数据,无操作,用户展示的是当前登录用户所在的组织以及组织下的工单数据,管理员查看的是所有的数据
- 可搜索工单号,工单状态,工单类型,可点击高级搜索搜索更多字段
- 可点击账号列查看当前工单的账号名称,可点击审批人列查看当前工单的审批人名称
- 点击工单号或查看详情可查看当前工单的详细信息
{width="5.763888888888889in"
height="2.6180555555555554in"}
- 只有工单类型为访问工单,工单状态为审核通过的工单,才可以点击审核通过(蓝色字体)进入详情进行查看该工单的策略信息,该策略为纯展示,不可修改。
{width="5.763888888888889in"
height="2.8097222222222222in"}
2审批模板
在这里可以创建审批模板,创建审批模板时选择模板类型(访问审批,命令审批,数据库审批),填写模板名称,支持关联绑定多个审核人,策略模块去关联审批模板之后,触发到相应策略时,会给触发该模板,给绑定的审批人发送审批请求。
{width="5.763888888888889in"
height="2.7979166666666666in"}
{width="5.763888888888889in"
height="2.5458333333333334in"}
十四、系统设置
1系统设置
1.1 系统资源使用情况
{width="5.763888888888889in"
height="1.8965277777777778in"}在系统设置页面的顶部区域,通过可视化图表直观展示了当前主机的关键系统信息和资源使用指标。内容包括系统负载运行状态、CPU
使用率、内存占用情况以及磁盘使用情况等核心性能数据。每项指标均以环形进度图的方式呈现,便于快速判断系统健康度。系统会按照预设的
5
分钟间隔自动刷新一次数据,确保管理人员能够实时掌握服务器资源变化并及时进行运维决策。
1.2 容器资源使用情况
{width="5.763888888888889in"
height="2.759027777777778in"}本页面用于查看系统各类容器实例在指定时间范围内的资源使用情况,支持按类型、容器及时间维度进行筛选,帮助管理员实时掌握系统运行状态。
一、查询条件说明
- 类型,支持按照类型查询,选择类型后,仅展示对应类型下的容器资源使用情况。
- 容器 Key,用于精确筛选某个容器实例。
- 时间范围,用于限定资源数据的统计时间区间,支持两种方式:
1)快捷时间范围
可快速选择常用时间段,例如:
Last 15 minutes(最近 15 分钟)
Last 30 minutes
Last 1 hours
Last 4 hours
Last 12 hours
Last 24 hours
Last 7 days
(2)自然时间范围
支持按日期维度选择:
Today(今天)
Yesterday(昨天)
This week(本周)
Previous week(上周)
This day last week(上周同一天)
选择完成后,点击 "搜索" 即可刷新数据
二、资源监控图表说明
页面中部以图表形式展示容器资源使用情况,支持同时对比多个容器实例。
- 容器 CPU 使用率(Used / Limit)
展示容器 CPU 实际使用率与配置上限的百分比
可用于判断 CPU 是否存在高负载或资源瓶颈
- 容器内存使用率(Used / Limit)
展示容器内存使用情况
用于监控内存占用是否接近限制值,防止内存溢出风险
- 容器 RSS 大小
展示容器实际占用的物理内存(RSS)
可作为评估应用内存占用情况的参考指标
1.3系统信息
系统信息部分展示了当前一些系统信息,包括当前的版本,证书,证书过期时间以及最新更新时间等,前端时间是我们服务器的时间,同步时间就是可以让我们的系统时间跟一个标准时间保持一致。
{width="5.763888888888889in"
height="3.740972222222222in"}
1.4基础设置
-
强制开启mfa的影响
- 新增的用户默认强制开启mfa,已有的用户mfa状态不受影响
- 个人设置---个人信息完善 ----mfa认证中默认选中强制启用mfa,且不可修改
- 未强制开启mfa时,个人用户可以在个人设置---个人信息---认证配置中自行关闭mfa,一旦管理员强制开启mfa之后,个人用户不得自行关闭,即隐藏关闭按钮;但是管理员账号的关闭按钮不受强制开启mfa的影响,管理员仍旧可以关闭自己的mfa状态。
- 默认窗口名称
可选择资产名称和资产地址。选择保存后在堡垒机资产操作平台窗口名称会有相对应的展示。
{width="5.763888888888889in"
height="3.3743055555555554in"}
{width="5.763888888888889in"
height="2.9902777777777776in"}
-
水印显示字段
- 目前支持username和user_key,选择切换保存后页面会展示不同的字段所对应的水印
- 支持水印的自定义个性化展示,可以自定义水印的颜色,字号,高度,宽度和旋转角度。
-
表格默认每页条数
- 该功能用于指定页面中表格每页展示多少条数据,设置完成后,平台中的表格将在用户首次打开时,按照此设定的条数进行分页展示。
- 用户也可以在下方分页按钮处自行调整页面每页条数,以适应屏幕大小的展示,提升使用体验。
-
是否重置密码
- 开启后,在用户管理菜单中创建的新用户进行登录时,会强制跳转到修改密码界面,用户可以自行设置一个自己方便记忆的密码。
- 清除品牌
关闭时
{width="5.763888888888889in"
height="1.7569444444444444in"}
{width="5.763888888888889in"
height="2.515277777777778in"}
开启时
{width="5.763888888888889in"
height="2.327777777777778in"}
{width="5.763888888888889in"
height="2.2895833333333333in"}
{width="5.763888888888889in"
height="2.390972222222222in"}
1.5日志记录
目前支持日志记录,开启后自动清理日志记录,并且支持设置自动清理的时间。
{width="5.763888888888889in"
height="1.6569444444444446in"}
1.6登录限制
{width="5.763888888888889in"
height="2.736111111111111in"}
{width="5.763888888888889in"
height="2.7159722222222222in"}
可以选择锁定方式,支持用户和来源Ip
设置密码尝试次数,默认为5次,达到密码尝的次数后会自动锁定账户,无法再尝试登录。
锁定有效时长,默认为30分钟后会自动解除账户锁定,可自行设置时长,若设置为0的话,需要由管理员去解除账户的锁定。
重置计数器时长,默认为5次,登录尝试密码失败之后,将登录尝试失败计数器重置为0次所需要的时间
仅一台设备登录:用户在新设备登录后,其他已经登录的设备会自动退出。
Ip段限制:开启之后Ip段的限制就会生效,点击按钮可以设置Ip限制的黑名单,在黑名单里的网络出口Ip是不可以登录平台的。
1.7密码安全
{width="5.763888888888889in"
height="2.7618055555555556in"}
提示:(密码离过期天数倒计时(天)):强制---就会在登录后跳转到一个改密页面,强制修改密码。
不强制---就会通过管理员设置的类型进行提示,让他主动修改密码。目前有站内信和邮箱,后期接入短信。
密码规则和创建用户改密策略的规则是一样的。
状态:
{width="5.763888888888889in"
height="2.6534722222222222in"}
{width="5.763888888888889in"
height="1.7048611111111112in"}
{width="5.763888888888889in"
height="3.7465277777777777in"}
若是开启,新建用户的密码,个人设置更改密码,密码过期强制修改密码。的校验规则就是动态的,根据俄密码安全的设置进行校验;一键生成密码的功能也是根据密码规则进行生成的。若是关闭,则校验就是静态的 新密码需要至少包含大小写字母、数字以及!@#$%^&*(),.?":{}|<>符号组合.
1.8 安全设置
{width="5.763888888888889in" height="1.0798611111111112in"}
{width="5.763888888888889in"
height="3.0284722222222222in"}
点击添加之后需要上传证书和私钥文件
证书必须是 .crt 或 .pem 文件
私钥必须是 .key 文件
点击部署之后会弹窗展示出部署结果。
2 AD认证和LDAP认证
{width="5.763888888888889in"
height="2.8618055555555557in"}
{width="5.763888888888889in"
height="2.829861111111111in"}
{width="5.763888888888889in"
height="2.79375in"}
- 支持导入用户,将用户从AD或LDAP服务器导入到用户同步表中。
- 选择所属组织和所属角色,勾选用户------导入
- 选择所属组织和所属角色--------导入全部用户
3 通知设置
3.1公告设置
{width="5.763888888888889in"
height="2.7979166666666666in"}
{width="5.763888888888889in"
height="2.8097222222222222in"}
- 编辑公告内容,点击提提交便可以发布公告,发布完公告后会在控制台---桌面概览;审计台---仪表盘;工作台---概览这三个页面的顶部查看到公告的内容。
- 公告开关:关闭后公告在这三个位置将不再展示
- 结束时间到后,公告也将不在这三个位置展示
- 支持添加更多信息的url,进行页面跳转,查看更多信息。
- 点击公告右上角的x,公告将会关闭,不再展示。
3.2站内信设置
{width="5.763888888888889in"
height="2.8222222222222224in"}
{width="5.763888888888889in"
height="3.0381944444444446in"}
{width="5.763888888888889in"
height="2.6659722222222224in"}
- 编辑站内信内容---提交---可以发布站内信,接收人可以选择多个。
- 登录接收人的账号可查看到这条站内信,分为已读消息和未读消息,鼠标移入后展示蓝色的标记已读按钮,点击后未读消息进入已读消息列中。
- 站内信内容过多时,点击这条站内信可以查看到更详细的内容。
3.3邮件通知
{width="5.763888888888889in"
height="1.98125in"}
可以设置服务器地址,加密方式和端口号,填写发送人账号和发送人密码。
点击发送测试邮件可以测试当前填写的这些邮件信息是否正确,是否可以收到邮件
点击保存邮箱设置可以将当前填写的邮箱信息进行保存。
邮件的相关配置可按照如下流程进行操作:
{width="5.763888888888889in"
height="3.002083333333333in"}
{width="5.763888888888889in"
height="2.90625in"}
{width="5.763888888888889in"
height="2.89375in"}
4 第三方登录
4.1第三方登录设置
{width="5.763888888888889in"
height="3.0625in"}
基础设置(针对第三方平台扫码注册的用户)
- 飞书登录
-
默认组织与默认角色
- 当用户首次通过飞书扫码完成授权登录时,如果该用户此前从未在平台内注册或绑定系统账号,则系统会自动为其创建一名新用户。
- 在创建新用户的同时,平台将自动为该用户分配预设的 默认组织 和 默认角色,并依据该角色所具备的权限模型,自动生成该用户的初始权限体系。
-
这意味着:
- 用户无需手动选择组织或角色即可直接使用系统;
- 平台的权限体系通过默认角色进行初始化管理;
- 后续管理员可根据业务需要对用户组织和角色进行调整。
- 此外,"账号过期时间(天)"用于设置第三方授权所生成的系统账号的生效时长。当达到设定的天数后,用户需要重新通过飞书完成授权登录,以确保账户安全性与有效性。
-
启用飞书登录
- 当此选项启用时,登录页面将展示飞书登录入口图标,用户可通过飞书扫码快速完成身份认证与登录流程。
-
若关闭该选项:
- 登录页面将隐藏飞书登录图标;
- 用户无法继续使用飞书账户登录系统;
- 已绑定的飞书登录方式也将不可用,需通过账号密码或其他方式登录。
-
应用 AppID 与飞书应用密钥
-
此处需配置平台在飞书开放平台创建的应用凭证,包括:
- AppID(client_id):唯一标识你的飞书应用,用于向飞书服务声明请求来源;
- 应用密钥(App Secret 或 client_secret):用于服务端验证应用身份,保障授权流程安全。
-
- 配置流程如下:
1. 访问飞书开放平台
进入飞书开放平台地址:https://open.feishu.cn/,使用你自己的飞书账号完成登录。 登录成功后点击开发者后台。
{width="5.763888888888889in"
height="2.8340277777777776in"}
{width="5.763888888888889in"
height="2.786111111111111in"}
2.进入开发者后台并创建应用
点击创建应用按钮,输入必填项应用名称和应用描述。
{width="5.763888888888889in"
height="2.8097222222222222in"}
{width="5.763888888888889in"
height="2.8222222222222224in"}
3.查看应用凭证(AppId & AppSecret)
应用创建成功以后即可看到如下界面 AppId 和 AppSecret
{width="5.763888888888889in"
height="2.45in"}
4.配置应用的重定向地址(Redirect URI)
在飞书应用后台中,找到 「安全设置」,填写用户授权完成后需要跳转回系统的页面地址。
{width="5.763888888888889in"
height="1.8493055555555555in"}
登录重定向地址,用户自己设置,飞书扫码登录成功后,会跳转到这个页面进行登录。
{width="5.763888888888889in"
height="6.43125in"}
绑定重定向地址
{width="5.763888888888889in"
height="2.9298611111111112in"}
平台已经存在的用户,要想通过飞书扫码登录,就需要先进行飞书扫码绑定。 可以绑定和解绑。
注意事项:
一个第三方账号只能绑定一个本平台账号,需要绑定其他账号需先取消之前绑定的账号
5 应用发布
5.1应用发布机
{width="5.763888888888889in"
height="2.8069444444444445in"}
列表页面展示发布机资产信息,可进行新增,编辑,修改,删除,搜索以及测试发布机是否正常。
{width="5.763888888888889in"
height="2.7993055555555557in"}
创建发布机,类似于创建资产,填写相关信息,创建发布机器
5.2远程应用
{width="5.763888888888889in"
height="1.2986111111111112in"}
列表展示远程应用的相关信息,包括:
应用名称,
是否存在部署机:该应用是否部署在发布机上;
备注;
创建时间;
更新时间;
{width="5.763888888888889in"
height="4.479166666666667in"}
{width="5.763888888888889in"
height="3.013888888888889in"}
人员管理:
- 设置哪些用户具有部署该应用的权限,右侧为具有该权限的用户,
- 将这个应用添加到这个用户下面后,用户登录资产操作平台,便可以看到这个应用。
{width="5.763888888888889in"
height="3.8784722222222223in"}
信息应用:可以查看当前应用的详细信息
{width="5.763888888888889in"
height="2.8131944444444446in"}
{width="5.763888888888889in"
height="2.75in"}
- 在应用列表中,点击 【应用部署】 按钮。
- 系统将展示所有的发布机列表,用户可在此查看该应用在这些机器上的部署状态(已部署和未部署)。
- 在发布机列表中,点击 【部署】 按钮后,系统将跳转至部署执行页面。
- 部署执行页面将以日志形式展示应用部署过程,包括连接情况,文件上传进度,安装与配置过程部署完成结果
- 部署过程中,页面将实时输出执行日志,方便用户跟踪部署进度和状态;部署完成后,可反复查看历史日志信息。
6 数据备份与恢复
{width="5.763888888888889in"
height="2.2222222222222223in"}
一、备份功能
{width="5.763888888888889in"
height="3.276388888888889in"}
{width="5.538888888888889in"
height="3.017361111111111in"}
1.1 新建备份
- 点击"新建备份"按钮打开备份对话框
- 选择需要备份的模块(支持单选/多选/全选),
- 设置加密口令(必填),主要用于备份的恢复
- 设置备份文件名(默认:relay-backup,可自定义)
- 二次确认备份(显示自定义文件名)
- 备份任务提交后在"近期任务列表"中显示进度,实施进度信息,近期任务列表会自动轮询刷新(1.5秒间隔),直至任务完成。
1.2 周期备份
{width="5.365277777777778in"
height="4.55625in"}
- 点击"周期备份"按钮打开周期备份对话框
- 备份开关:开启/关闭周期备份
- 文件名称:设置备份文件名(必填)
-
周期备份类型:
- 按天(凌晨执行)
- 按周(凌晨执行)
- 按月(凌晨执行)
- 选择备份模块(支持单选/多选/全选)
- 设置加密口令(可修改,未输入则使用原口令)
- 保存周期备份配置
二、恢复功能
{width="5.763888888888889in"
height="2.457638888888889in"}
{width="5.626388888888889in"
height="2.738888888888889in"}
2.1 从备份列表恢复
- 在"备份列表"中点击"恢复"按钮
- 输入加密口令(必填)
- 二次确认恢复(显示文件名)
- 恢复任务提交后在"近期任务列表"中显示进度
2.2 上传文件恢复
{width="5.763888888888889in"
height="3.0284722222222222in"}
{width="5.763888888888889in"
height="2.0743055555555556in"}
- 备份文件可以通过备份列表点击下载下载备份
- 点击"重新上传"或"点击上传"按钮
- 上传备份文件(仅支持 .tar.gz 格式)
-
显示上传后的文件信息:
- 文件名、文件路径、模块、时间、大小、创建者、加密状态
- 点击"恢复"按钮,输入加密口令后执行恢复,恢复的这条数据在近期任务中实时展示状态,备份列表中也会有这条数据,之后会再次变回上传文件的按钮。。
三、备份列表管理
3.1 备份列表展示
- 显示所有备份文件
- 列表字段:时间、文件名、备份类型(手动触发/定时触发)、文件大小、模块、操作
3.2 备份文件操作
- 恢复:从备份列表恢复数据
- 下载:下载备份文件到本地
- 删除:删除备份文件
四、任务监控
4.1 近期任务列表(24H)
- 自动轮询刷新(1.5秒间隔)
- 显示最近24小时的任务
- 页面初始化时候,如果有正在执行的任务,那么会自动接管任务,进行轮训
- 任务执行时禁用新建备份、周期备份、恢复、删除操作按钮,因为如果当前有备份或恢复的操作,就不能再执行该操作了,需等任务结束。
4.2 历史任务记录
- 点击"历史任务"按钮打开历史任务对话框,展示的是所有的历史备份和恢复的数据。
- 类型筛选:全部/备份/恢复
- 刷新:手动刷新任务列表
- 分页:支持10/20/30/40/50条每页
- 列表字段:类型、任务开始/结束时间、文件名、状态、模块、创建者
十五、个人设置
1 个人信息
页面展示
- 基本信息:展示当前用户的基本信息,查看自己当前所属的组织,所在的哪些用户组,邮箱,手机号,以及账号的实效日期等。
-
认证设置:
- mfa认证:在这里用户自己可以开启和关闭mfa认证,但是如果管理员在系统设置中强制开启了mfa之后,用户将无法自行关闭mfa
- 密码设置:点击后将会跳转到认证设置页面进行密码修改。
-
绑定重定向地址:平台已经存在的用户,要想通过飞书扫码登录,就需要先进行飞书扫码绑定。 可以绑定和解绑。
- 注意:一个第三方账号只能绑定一个本平台账号,需要绑定其他账号需先取消之前绑定的账号
- SSH公钥:点击绑定会弹出文本域的输入框,在这里可以绑定SSH公钥。
- 通知设置:在这里可以开启或者关闭是否接收站内信和邮箱的通知。
- 信息更改:在这里可以修改当前登录账号的手机号和邮箱。
{width="5.763888888888889in"
height="2.821527777777778in"}
****
2 个人信息完善
页面展示:
账号信息:登录账号,昵称和邮箱仅作展示用。
认证:在这里可以开启,关闭,强制启用mfa(当管理员在系统设置中强制开启mfa之后,此处默认会选中强制启用mfa,开启和关闭将为禁用状态,不可选择)
其他设置:在这里可以修改手机号。
条款和协议:勾选同意协议,保护用户的账号信息安全。
{width="5.763888888888889in"
height="2.8097222222222222in"}
3 安全设置
页面展示:
在这里面可以修改用户的手机号和邮箱,其他内容仅作展示用
{width="5.763888888888889in"
height="2.7381944444444444in"}
4 认证设置
页面展示:
在这里可以修改密码,需要知道原密码,然后输入新密码进行修改。
点击按钮一键生成密码可以按规则生成随机的包含数字,大写字母,小写字母以及特殊号的8位数的密码。
点击自动复制密码可以将设置的新密码复制到剪切板上。
{width="5.763888888888889in"
height="2.8097222222222222in"}
{width="5.763888888888889in"
height="2.8097222222222222in"}
需要注意的是登录用户的来源非DB和FeiShu时,不可以自行修改密码,认证设置和更新密码功能是没有的
5 消息中心
{width="5.763888888888889in"
height="2.797222222222222in"}
{width="5.763888888888889in"
height="2.6666666666666665in"}
- 站内信超过50条以后点击查看更多会跳转到这个页面,这个页面是分页展示的。
- 可以测一下搜索、
- 点击标记已读后工单类型会变成已读,操作列标记已读会变成删除消息。
- 全部已读,清空已读后数据的展示是否有问题。
{width="5.763888888888889in"
height="4.989583333333333in"}
点击标题内容以后,展示该站内信的一个详细信息,点击标记已读后表格中数据的状态展示是否正确。
消息中心里的站内信数据可以在系统设置-通知设置-站内信设置中发送站内信进行添加
审计台
十六、仪表盘
页面展示
支持进行时间切换,可查看当天,近7天,近30天的数据
展示日志数据,会话数据,会话趋势,会话连接趋势。
{width="5.763888888888889in"
height="2.7979166666666666in"}
十七、运维审计
1 会话审计
页面展示
实时会话可查看当前时间正在运维的会话,对于字符类型协议和图形协议的 H5 运维可进行实时监控,对于客户端登录的协议,可在详情中查看运维记录(SSH 协议客户端运维可查看实时会话),在会话过程中,管理员可以强制中断该回话。如图:
{width="5.763888888888889in"
height="2.7979166666666666in"}
当会话结束后,可在历史会话中查看该会话中所有操作,字符类型协议和图形协议可播放视频,且支持将会话文件下载到本地进行播放。对于在客户端登录的会话, SSH 客户端同样支持下载会话文件进行播放,其他客户端会话不支持播放,仅能在详情查看运维。如图:
{width="5.763888888888889in"
height="2.7979166666666666in"}
2 日志审计
2.1登录日志
页面展示
{width="5.763888888888889in"
height="2.6104166666666666in"}
表格数据:
- 展示的用户登录的日志数据,在此可以查看用户的登录方式,登录状态是否成功,登录失败的原因,登录时间等。
- 登录日志管理员可以查看所有用户的登录日志,非管理员可以查看当前登录用户所属组织及以下的用户的登录数据。
操作
{width="5.763888888888889in"
height="3.926388888888889in"}
导出:
- 点击导出按钮,弹出导出条件的弹窗,选择需要导出的筛选数据,
- 刷选数据都是非必填的,来源,MFA,状态默认为全部,
- 导出时间默认为最近一周的数据,也可根据需求选择时间
- 点击确认导出按钮即可降筛选后的数据导出到excel。
2.2操作日志
页面展示
{width="5.763888888888889in"
height="2.783333333333333in"}
表格数据:
- 该页面是对用户的一些操作进行了记录,在此页面我们可以看到用户都进行了哪些行为(创建,更新,删除,改密等),是否操作成功,失败后原因是什么,哪位用户在什么时间操作的等相关信息。
- 操作日志管理员可以查看所有用户的日志,非管理员可以查看当前登录用户所属组织及以下的用户的数据。
操作
{width="5.763888888888889in"
height="4.382638888888889in"}
导出:
- 点击导出按钮,弹出导出条件的弹窗,选择需要导出的筛选数据,
- 刷选数据都是非必填的,来源,MFA,状态默认为全部,
- 导出时间默认为最近一周的数据,也可根据需求选择时间
- 点击确认导出按钮即可降筛选后的数据导出到excel。
{width="5.763888888888889in"
height="1.9333333333333333in"}
查看:
点击查看按钮可以看到这条日志的详细变更信息,变更前是什么,变更后是什么。
2.3资产登录日志
页面展示
{width="5.763888888888889in"
height="2.8in"}
表格数据:
- 该页面记录了用户登录连接资产的相关信息,是谁在什么时间连接的这台机器。
- 资产登录日志管理员可以查看所有用户的日志,非管理员可以查看当前登录用户所属组织及以下的用户的数据。
操作
{width="5.763888888888889in"
height="4.382638888888889in"}
导出:
- 点击导出按钮,弹出导出条件的弹窗,选择需要导出的筛选数据,
- 刷选数据都是非必填的,来源,MFA,状态默认为全部,
- 导出时间默认为最近一周的数据,也可根据需求选择时间
- 点击确认导出按钮即可降筛选后的数据导出到excel。
{width="5.763888888888889in"
height="2.5340277777777778in"}
查看:
展示的是用户操作这个登录日志的详细信息。
2.4资产操作日志
页面展示
{width="5.763888888888889in"
height="2.8118055555555554in"}
表格数据:
- 该页面是对用户登录机器以后对机器相关操作的一些记录(包括文件下载,本地剪切板复制到远程机器,文件上传等操作),该操作是否成功,在什么时间进行的。
- 资产操作日志管理员可以查看所有用户的日志,非管理员可以查看当前登录用户所属组织及以下的用户的数据。
操作
{width="5.763888888888889in"
height="4.382638888888889in"}
导出:
- 点击导出按钮,弹出导出条件的弹窗,选择需要导出的筛选数据,
- 刷选数据都是非必填的,来源,MFA,状态默认为全部,
- 导出时间默认为最近一周的数据,也可根据需求选择时间
- 点击确认导出按钮即可降筛选后的数据导出到excel。
{width="5.763888888888889in"
height="2.5458333333333334in"}
查看:
点击查看按钮可以看到资产变更后的详细信息。
2.5用户改密日志
用户改密日志分为两个部分
手动改密日志
{width="5.763888888888889in"
height="2.6756944444444444in"}
表格数据:
- 展示的用户手动修改密码操作的数据,包括在用户管理页面管理员修改的和自己修改密码的。
- 用户改密日志管理员可以查看所有用户的日志,非管理员可以查看当前登录用户所属组织及以下的用户的数据。
操作
{width="5.763888888888889in"
height="4.382638888888889in"}
导出:
- 点击导出按钮,弹出导出条件的弹窗,选择需要导出的筛选数据,
- 刷选数据都是非必填的,来源,MFA,状态默认为全部,
- 导出时间默认为最近一周的数据,也可根据需求选择时间
- 点击确认导出按钮即可降筛选后的数据导出到excel。
策略改密日志
{width="5.763888888888889in"
height="2.2979166666666666in"}
表格数据:
展示的是用户改密策略中改密的日志,是使用策略统一修改的用户的密码,可以看到总共修改了多少个用户的密码,有多少成功的,有多少失败的。
操作
批量导出:
需要勾选需要导出的数据可以降数据批量导出到excel
导出:
点击操作列的导出按钮可以导出单个的数据到excel
详情:
{width="5.763888888888889in"
height="1.98125in"}
点击详情按钮可以查看到这条改密策略的详细信息,具体哪些用户的密码被这条策略修改了,在什么时间,是否成功了,若失败原因是什么会放到备注里。
2.6资产改密日志
页面展示
{width="5.763888888888889in"
height="2.732638888888889in"}
表格数据:
展示的账号改密策略里面账号修改密码的日志。
操作
批量导出:
需要勾选需要导出的数据可以降数据批量导出到excel
导出:
点击操作列的导出按钮可以导出单个的数据到excel
详情:
{width="5.763888888888889in"
height="3.482638888888889in"}
点击详情按钮可以查看到这条改密策略的详细信息,具体哪些资产账号的密码被这条策略修改了,在什么时间,是否成功了,若失败原因是什么会放到备注里。
2.7命令告警日志
页面展示
{width="5.763888888888889in"
height="2.7979166666666666in"}
展示的是命令告警日志的相关信息,在这里可以查看到执行策略过程中,是哪条 策略产生了告警,执行动作是什呢。
2.8服务异常日志
{width="5.763888888888889in"
height="2.877083333333333in"}
Docker 容器就是把程序和环境打包好的运行单元,启动就能用。我们这个堡垒机是由多个容器组成的,比如 relay-desk、relay-termer,每个容器负责一部分功能。
Docker容器的每次启动、停止、重启都会记录。都会产生一条数据。
前端页面的展示,搜索、导出、分页展示、是否符合预期。
十八、系统报表
1、报表类型(7种)
- 除"僵尸账户"和"用户密码强度"外,其他报表类型支持时间范围选择
- 日期范围选择器(开始时间-结束时间)
- 默认显示当天
- 限制:时间范围不能超过 180 天
{width="5.763888888888889in"
height="2.688888888888889in"}
1.1 用户与资源操作
- 展示用户管理、用户组管理、资产管理,资产账号管理,控制策略(包括控制策略和个人资产控制策略)的新增/删除操作统计
- 图表:双柱状图(新增/删除)
- 详细数据:时间、用户名、类型、登录城市、状态、执行动作、操作人IP、原因、用户代理
1.2 用户源IP数
{width="5.763888888888889in"
height="2.796527777777778in"}
- 展示用户登录源IP统计
- 图表:单柱状图
- 详细数据:时间、用户名、登录城市、状态、操作人IP、用户代理
- 登录一次就会统计一次
1.3 用户登录方式
{width="5.763888888888889in"
height="2.7979166666666666in"}
- 展示用户登录方式统计
- 目前就是密码,手机号和飞书
- 图表:单柱状图
- 详细数据:时间、用户名、认证方式、登录城市、状态、操作人IP、原因、用户代理
1.4 异常登录
{width="5.763888888888889in"
height="2.7715277777777776in"}
- 展示异常登录统计(登录失败的情况会展示在这里)
- 图表:单柱状图
- 详细数据:时间、用户名、认证方式、登录城市、状态、操作人IP、原因、用户代理
1.5 会话控制
{width="5.763888888888889in"
height="2.797222222222222in"}
{width="5.763888888888889in"
height="2.9680555555555554in"}
- 展示的是在资产操作平台登录机器成功和失败的统计
- 图表:双柱状图(成功/失败)
- 详细数据:时间、用户名、登录城市、状态、执行动作、操作人IP、用户代理
- 操作:点击"查看"按钮可查看操作详情
1.6 僵尸账户
{width="5.763888888888889in"
height="2.808333333333333in"}
- 展示僵尸账户(长期未活跃)统计(统计的是长期不动户的数据量,目前统计的为30天未登录遍列为长期不动户。)
- 图表:单柱状图
- 详细数据:用户名、昵称、未活跃天数、创建时间
- 特点:无需选择时间范围
1.7 用户密码强度
{width="5.763888888888889in"
height="2.7847222222222223in"}
- 展示用户密码强度统计
- 图表:单柱状图
- 详细数据:用户名、密码强度、时间
- 特点:无需选择时间范围
2.报表导出功能
{width="5.763888888888889in"
height="3.83125in"}
2.1 批量导出
- 点击"报表导出"按钮打开导出对话框
2.2 导出条件设置
- 时间范围:选择导出的时间范围(不超过 180 天)
-
报表类型:多选,至少选择一种报表类型
- 用户与资源操作
- 用户源IP数
- 用户登录方式
- 异常登录
- 会话控制
- 僵尸账户
- 用户密码强度
-
选择用户(可选):支持搜索和选择多个用户
- 远程搜索用户
- 显示用户列表(标签形式,可删除)
- 格式:昵称(用户名)
-
选择资产(可选):支持搜索和选择多个资产
- 远程搜索资产
- 显示资产列表(标签形式,可删除)
- 格式:资产名称(主机地址)
选择用户和选择资产相当于做了一个过滤筛选,把和这个用户或资产相关的导出来。
-
文件格式:单选
- HTML
2.3 导出执行
- 点击"确定"按钮开始导出
- 导出过程中显示"正在导出"加载状态
- 导出成功后自动下载文件
-
文件名:
- PDF:系统综合分析报告.pdf
- HTML:系统综合分析报告.html
- 导出失败时显示错误提示
{width="5.763888888888889in"
height="2.7576388888888888in"}
{width="5.763888888888889in"
height="6.75625in"}
工作台
十九、概览
{width="5.763888888888889in"
height="2.785416666666667in"}
- 展示组织资产和个人资产的最近会话数据
- 展示当前登录用户的个人信息
- 展示当前登录账号最近登录的日期和城市
二十、资产树
页面展示
{width="5.763888888888889in"
height="2.852777777777778in"}
- 左侧展示的是收藏夹和组织节点,右侧展示的是资产,若左侧选中的是收藏内的节点,则右侧展示的是当前收藏节点收藏的资产;若左侧选中的是组织,则右侧展示的是该组织下的资产。
- 上面的tree是创建的文件夹可以右键弹出操作菜单,可以新增节点,重命名和删除节点。(最外层收藏的节点为根节点,不可以重命名和删除),同时支持拖拽移动位置功能。
- 下面的tree是组织节点,只展示没有任何操作功能。
操作
{width="5.763888888888889in"
height="2.526388888888889in"}
{width="5.763888888888889in"
height="2.7736111111111112in"}
{width="5.763888888888889in"
height="2.734722222222222in"}
点击账号列的查看,可以查看当前资产下的所有账号。
点击操作列的连接,可以跳转到资产操作平台。
二十一、我的资产
页面展示
{width="5.763888888888889in"
height="2.74375in"}
- 平台资产分为组织资产和个人资产,这里我的资产展示的是个人资产。
- 可按照资产名称,账号名称,资产类型进行搜索,也可以点击高级搜索搜索更多的字段。
- 个人资产的数据可以修改也可以删除。
-
添加个人资产
- 点击新增资产按钮--填写资产和账号信息点击提交即可新增个人资产数据。
{width="5.763888888888889in"
height="3.002083333333333in"}
二十二、流程中心
1 我的工单
页面展示
访问授权工单用于运维人员不具备运维某台主机资源的权限,且又需要运维该资源时,可通过
访问授权工单申请访问资源。
{width="5.763888888888889in"
height="2.786111111111111in"}
- 展示的是工单数据,包括访问工单,命令工单和数据库工单,对登录账号授权的申请。
- 支持筛选查看命令和数据库类型的工单数据。
操作
添加工单
{width="5.763888888888889in"
height="2.786111111111111in"}
{width="5.763888888888889in"
height="2.7576388888888888in"}
-
点击新增按钮可以新增访问授权工单,可选择自己要运维的时间,选择需要运维的资源主机,会生成工单。
- 点击保存工单----------新增的这个工单状态为待提交
- 点击提交工单------新增的这个工单为待审核,同时我的审批里也会增加这条数据。
{width="5.763888888888889in"
height="2.7256944444444446in"}
点击表格列详情可以查看这条工单的数据
{width="5.763888888888889in"
height="2.6777777777777776in"}
{width="5.763888888888889in"
height="2.7979166666666666in"}
只有工单类型为访问工单,工单状态为审核通过的工单,才可以点击审核通过(蓝色字体)进入详情进行查看该工单的策略,该策略为纯展示,不可修改(该数据为我的审批页面管理或者批准后添加的数据)
操作列按钮:
- 修改:类型为访问工单且工单状态为待提交,审核通过和已撤回 ----------- 可修改
- 删除:若该工单为待审核状态是不可以删除的,其他状态均可以删除。
- 撤回:待审核 ----------- 可撤回(撤回后我的工单状态由待审核变为已撤回状态,同时我的审批菜单会减少这条数据)
- 提交:类型为访问工单且工单状态为待提交 ------------可提交(提交后我的工单状态由待提交变为待审核状态,同时我的审批菜单会增加这条数据)
- 克隆:如果需要再次使用申请过的资源,可以使用工单克隆功能快速复制工单。类型为访问工单的数据都可以克隆,克隆生成一条与此数据相同的状态为待提交的数据
2 我的审批
{width="5.763888888888889in"
height="2.8097222222222222in"}
页面展示
数据来源
- 我的工单页面数据提交后的数据会进入我的审批页面,状态为待审核
- 策略模块命中审批模板后,需要审批的数据也会进入我的审批页面
可单项搜索,高级搜索,查看工单绑定的账号
操作列
管理:若该工单关联了策略,点击管理后可进行查看修改;若未关联工单,点击管理后是新增策略进行管理
批准:待审核状态可点击-------点击后工单状态可批准
驳回:待审核状态可点击-------点击后工单状态可驳回
撤销:工单类型为访问工单并且工单状态为审核通过可点击--------点击后工单状态可撤销
进行这三个相应的操作之后,再查看流程中心---我的工单和流程管理--审批管理该工单数据的状态也会发生相应的变化
堡垒机资产操作平台
二十三、基础页面展示
{width="5.763888888888889in"
height="2.7993055555555557in"}
{width="5.763888888888889in"
height="2.795138888888889in"}
点击资产操作按钮可以跳转到资产操作平台。
1 基础展示
左侧导航栏分别展示了左侧导航栏说明
左侧导航栏用于展示当前用户可访问的各类资源入口,按照资源来源和属性进行分类展示,便于用户快速定位和访问目标资产或应用。
- 收藏夹
用于集中展示用户已收藏的资产。
用户可在堡垒机管理平台 → 工作台 →
资产树页面中,对常用资产进行收藏操作。
收藏后的资产将统一显示在"收藏夹"中,方便后续快速访问,不影响资产原有归属。
- 组织资产
用于展示系统内各组织(部门)及其下属资产信息。
该菜单对应堡垒机管理平台 → 控制台 →
资产管理页面中配置的组织结构及资产数据,属于系统级资产。
组织资产通常由管理员统一维护,普通用户仅可访问被授权的资产。
- 我的资产
用于展示当前用户创建和管理的个人资产。
该菜单对应堡垒机管理平台 → 工作台 → 我的资产页面中的资产数据。
在该页面中创建的资产将自动展示在"我的资产"菜单下,属于个人资产,仅对创建者本人或被授权用户可见。
- 应用
用于展示远程应用入口。
该菜单对应堡垒机管理平台 → 控制台 → 系统设置 →
应用发布中配置的远程应用数据。
管理员发布的应用将统一展示在此菜单下,用户可通过该入口直接访问已授权的远程应用服务。
2 操作
- 搜索
用于快速定位目标文件夹或资产。
用户可在搜索框中输入文件夹名称或资产名称,系统将对当前列表中的文件夹及资产进行实时匹配,并在下方区域展示符合条件的搜索结果。
- 连接资产
{width="5.763888888888889in"
height="2.7916666666666665in"}
双击资产,选择账号可以登录该资产进行相关操作,登录资产后:
{width="5.763888888888889in"
height="2.813888888888889in"}
录制屏幕
当用户通过平台登录并操作服务器、数据库或远程应用时,系统会自动记录操作过程中终端界面的变化,形成可回放的操作录像。
- 会话信息
点击会话信息按钮可展示相关信息
{width="5.763888888888889in"
height="3.963888888888889in"}
- 文件传输
{width="5.763888888888889in"
height="2.9256944444444444in"}
文件传输窗口用于在用户本地与远程主机之间进行文件的上传、下载和管理操作,支持在堡垒机审计环境下安全地进行文件传输。
下载:将远程服务器文件下载到本地,支持单个文件下载
上传:将本地文件上传到当前目录
删除:删除远程服务器上的文件
搜索:输入搜索文件/文件夹
二十四、设置
{width="5.763888888888889in"
height="3.1305555555555555in"}
{width="5.763888888888889in"
height="2.95625in"}
1 外观效果设置
外观效果设置用于对终端(Terminal)界面的显示样式进行个性化配置,以满足不同用户的使用习惯和视觉偏好。设置内容主要包括终端回滚行数、字体与字号、光标样式以及主题配色等,所有调整均可通过右侧预览区域实时查看效果。
回滚行数
用于设置终端可回滚查看的历史输出行数。
- 支持范围:500 ~ 20000 行
- 默认值:1000 行
回滚行数越大,可查看的历史内容越多,但会相应增加浏览器资源消耗。
字号
用于设置终端中字符的显示大小。
- 最小字号:12
- 最大字号:32
通过调整字号,可提升阅读舒适度。
行高
用于设置终端中文字的行高比例。
- 支持范围:1 ~ 3
适当增大行高可提高文本可读性。
字体
用于设置终端使用的字体类型。
- 默认:系统默认字体
用户可根据个人偏好选择不同字体。
光标样式
用于设置终端光标的显示样式。
- 支持样式:块状(block)等
不同样式有助于在不同显示环境下更清晰地定位光标位置。
主题
用于设置终端整体主题配色。
- 默认:系统默认主题
主题决定了终端的基础背景色和文字颜色风格。
字体颜色
支持对终端中常用颜色(black、red、green、yellow、blue、magenta、cyan、white)及其高亮颜色进行自定义配置。
- 可分别设置前景色和背景色
- 设置后将覆盖主题中的对应颜色
右侧预览区域会实时显示调整后的效果。
选中字体颜色
用于设置终端中被选中文本的字体颜色。
当自定义颜色时,将覆盖主题默认的选中字体颜色。
选中背景颜色
用于设置终端中被选中文本的背景颜色。
当自定义颜色时,将覆盖主题默认的选中背景色。
搜索匹配颜色设置
用于设置终端搜索功能中匹配结果的显示样式,包括:
- 匹配背景色
- 匹配边框色
修改后需重新打开搜索框以生效。
设置保存与恢复
- 确认修改:保存当前配置并立即生效
- 恢复默认:恢复为系统默认的外观设置
{width="5.763888888888889in"
height="2.6708333333333334in"}
2 通用功能设置
通用功能设置用于对系统在资产列表展示、终端交互方式以及快捷操作行为等方面进行统一配置,以提升使用效率和操作体验。相关设置在保存后对新打开的窗口或刷新页面后生效。
侧边栏默认排序
用于设置左侧资产列表的默认排序方式。
- 默认方式:按资产名称字母顺序排序
- 设置完成后需手动刷新左侧列表,排序规则方可生效
该设置仅影响资产列表的展示顺序,不影响资产本身的属性。
使用渲染模式
用于设置 WebRelay 的终端渲染方式。
- 当前支持多种渲染模式
- 默认使用 canvas 渲染模式
注意:
渲染模式的修改不会影响当前已打开的终端窗口,需刷新页面或重新打开终端后才能生效。
是否开启选中复制功能
用于控制是否在终端中启用"选中文本即复制到剪贴板"的功能。
- 默认开启
- 关闭后,选中文本将不再自动复制
该功能可减少误复制操作,适用于对复制行为要求较严格的场景。
终端单词分隔符
用于定义终端中"单词"的分隔规则。
当用户执行以下操作时:
- 双击选择单词
- 复制文本
- 使用键盘快捷键跳转至下一个单词
系统将依据所设置的分隔符识别单词边界。
该配置需重新打开终端窗口后生效。
覆盖默认粘贴键(Windows)
用于控制在 Windows 系统下是否使用 Ctrl + V 作为终端粘贴快捷键。
- 启用后:Ctrl + V 用于粘贴
- 关闭后:可避免在 Vim 等终端程序中因快捷键冲突导致进入可视模式
用户可根据自身操作习惯选择是否开启。
开启右键粘贴功能
用于设置是否在命令行区域中通过鼠标右键直接粘贴剪贴板内容。
- 默认关闭
-
开启后:
- 右键单击即可粘贴
- 不再弹出原生右键菜单
适合高频粘贴命令的使用场景。
{width="5.763888888888889in"
height="2.7888888888888888in"}
3辅助功能设置
是否删除剪切板中的回车符
此功能主要是替换剪贴板中的回车符,将回车符替换成空字符串,这样在粘贴的时候就不会带有回车符。
是否替换剪切板中制表符
剪切板剪切到的是字符串,并不带制表符号。所以可以开启此功能在复制内容存在空格的时候替换成制表符号。开启之后可以设置制表符的宽度,一般默认是 8 个字符宽度,最高支持 32 个字符宽度
评价此篇文章