Linux堡壘機(jī)如何實(shí)現(xiàn)敏感指令審計(jì)？

目前Linux服務(wù)器是堡壘機(jī)的主要應(yīng)用場景，因?yàn)槭忻嫔洗蟛糠直緳C(jī)廠商起步早，linux堡壘機(jī)開發(fā)、搭建、部署等技術(shù)都已經(jīng)非常成熟了。但是對于日漸普及的Windows2012服務(wù)器系統(tǒng)的支持，很多起步早的堡壘機(jī)廠商體驗(yàn)較差。本文先就Linux堡壘機(jī)重要的指令審計(jì)功能做講解，Windows堡壘機(jī)相關(guān)知識可以關(guān)注小編其他分享。

Linux堡壘機(jī)指令審計(jì)功能分為事中和事后，事后的錄像審計(jì)、指令檢索功能大部分堡壘機(jī)產(chǎn)品都比較類似。這里主要講一下事中的敏感指令審計(jì)，敏感指令阻斷與攔截是安全審計(jì)的重要特性，可以有效避免團(tuán)隊(duì)成員進(jìn)行違規(guī)操作、敏感操作、誤操作給公司帶來不必要的損失。

以行云管家堡壘機(jī)產(chǎn)品為例，實(shí)現(xiàn)敏感指令審計(jì)需要三個步驟：

一：定義Linux堡壘機(jī)指令規(guī)則。

首先點(diǎn)擊“策略編輯”，默認(rèn)情況下，指令規(guī)則列表為空，用戶可按照業(yè)務(wù)情況，添加相應(yīng)的規(guī)則。在定義敏感指令時，還需要指定指令匹配規(guī)則及相應(yīng)的響應(yīng)動作，只要在關(guān)鍵設(shè)備中執(zhí)行的指令被匹配，既會觸發(fā)指令審計(jì)策略，按照用戶設(shè)定的響應(yīng)動作進(jìn)行處理；

定義Linux堡壘機(jī)指令規(guī)則

1、行云管家Linux堡壘機(jī)目前支持以下三種指令匹配方式：

【完全匹配】：適合匹配某條指令的全部操作，該指令所有形式的執(zhí)行都會被匹配，如指令規(guī)則是yum，使用完全匹配規(guī)則，那么用戶輸入yum、yum install、yum remove等相關(guān)指令都會被匹配；

【正則表達(dá)式】：支持正則表達(dá)式模糊匹配，適合匹配某個指令的部分參數(shù)，如只需要匹配yum安裝和卸載操作，指令規(guī)則為yum (install|remove)，那么用戶輸入yum search不會被匹配，但是輸入yum install、yum remove會被匹配；

【通配符】：支持通配符模糊匹配，使用場景和正則表達(dá)式類似，但語法有些許差別，如同樣匹配yum安裝和卸載操作，指令規(guī)則為yum {install,remove}；

2、行云管家Linux堡壘機(jī)目前支持以下四種響應(yīng)動作：

【指令提醒】：對于團(tuán)隊(duì)管理者希望團(tuán)隊(duì)成員謹(jǐn)慎執(zhí)行卻時效性較高的一般敏感指令，可設(shè)置為“指令提醒”，在執(zhí)行時，需要由成員自行確認(rèn)后執(zhí)行；

【指令審核】：對于團(tuán)隊(duì)管理者認(rèn)為會帶來一定風(fēng)險(xiǎn)的敏感指令，可以設(shè)置為“指令審核”，這類指令執(zhí)行時，會被臨時阻塞，待指令審核后才能執(zhí)行；

【指令阻斷】：對于團(tuán)隊(duì)管理者認(rèn)為風(fēng)險(xiǎn)較高不希望成員執(zhí)行的敏感指令，會被直接阻斷，不允許執(zhí)行；

【中斷會話】：對于團(tuán)隊(duì)管理者認(rèn)為會帶來極大危險(xiǎn)性的的惡意指令，建議設(shè)置為“中斷會話”。

二：Linux堡壘機(jī)敏感指令審核

團(tuán)隊(duì)成員在觸發(fā)了Linux堡壘機(jī)指令審核響應(yīng)的5類動作時，相關(guān)的審核角色成員有兩種方式接收審核消息：

1、站內(nèi)審核消息：審核角色成員將收到站內(nèi)消息，點(diǎn)擊查看后進(jìn)入“安全審計(jì)/敏感指令審核”，在“待審批”標(biāo)簽頁里將列出當(dāng)前所有待審批的敏感指令申請，只需按照實(shí)際情況選擇同意執(zhí)行或拒絕執(zhí)行即可。查詢審批歷史請切換到“已完成”標(biāo)簽頁；

2、微信審核消息：審核角色成員賬號如果綁定了微信，其微信將收到指令審批信息，可直接點(diǎn)擊進(jìn)入進(jìn)行審批操作；

需要注意的是，團(tuán)隊(duì)中的指令審批角色可能有多個成員，每個成員均會收到審批消息，審批操作以時間為順序，一個申請只能被審批一次，其他成員將不再允許對該筆申請進(jìn)行審批。

三：如何繞開Linux堡壘機(jī)指令黑名單攔截

Linux堡壘機(jī)指令黑名單一旦設(shè)置，所有團(tuán)隊(duì)成員（包括團(tuán)隊(duì)擁有者和團(tuán)隊(duì)管理員）執(zhí)行的指令被認(rèn)定為敏感指令時，均會執(zhí)行相應(yīng)的響應(yīng)動作。但在某些特殊場景下，如果需要給個別成員較高的權(quán)限，在操作時不受指令黑名單的影響，可以為其賦予臨時禁用指令審批規(guī)則的權(quán)限；

1、進(jìn)入“團(tuán)隊(duì)/權(quán)限管理/角色管理”，為這類成員創(chuàng)建一個專門的角色，如“禁用指令審批角色”，將相應(yīng)成員加入到角色中；

2、進(jìn)入“團(tuán)隊(duì)/權(quán)限管理/功能授權(quán)”，找到“安全審計(jì)/禁用指令審批規(guī)則”，將上一步創(chuàng)建的角色“禁用指令審批角色”加入到該功能權(quán)限中；

3、該角色中的成員在訪問會話時，在會話詳情中，可以看到“指令審批”，只要當(dāng)前主機(jī)屬于關(guān)鍵設(shè)備且開啟了指令黑白名單，均可將指令審批設(shè)置為關(guān)閉，這樣在當(dāng)前會話中，所執(zhí)行的指令將不受運(yùn)維策略的影響。