Linux堡壘機如何實現敏感指令審計?
Linux堡壘機指令審計功能分為事中和事後,事後的錄像審計、指令檢索功能大部分堡壘機產品都比較類似。這裏主要講一下事中的敏感指令審計,敏感指令阻斷與攔截是安全審計的重要特性,可以有效避免團隊成員進行違規操作、敏感操作、誤操作給公司帶來不必要的損失。
以行雲管家堡壘機產品為例,實現敏感指令審計需要三個步驟:
一:定義Linux堡壘機指令規則。
首先點擊“策略編輯”,默認情況下,指令規則列表為空,用戶可按照業務情況,添加相應的規則。在定義敏感指令時,還需要指定指令匹配規則及相應的響應動作,只要在關鍵設備中執行的指令被匹配,既會觸發指令審計策略,按照用戶設定的響應動作進行處理;
定義Linux堡壘機指令規則
1、行雲管家Linux堡壘機目前支持以下三種指令匹配方式:
【完全匹配】:適合匹配某條指令的全部操作,該指令所有形式的執行都會被匹配,如指令規則是yum,使用完全匹配規則,那麽用戶輸入yum、yum install、yum remove等相關指令都會被匹配;
【正則表達式】:支持正則表達式模糊匹配,適合匹配某個指令的部分參數,如只需要匹配yum安裝和卸載操作,指令規則為yum (install|remove),那麽用戶輸入yum search不會被匹配,但是輸入yum install、yum remove會被匹配;
【通配符】:支持通配符模糊匹配,使用場景和正則表達式類似,但語法有些許差別,如同樣匹配yum安裝和卸載操作,指令規則為yum {install,remove};
2、行雲管家Linux堡壘機目前支持以下四種響應動作:
【指令提醒】:對於團隊管理者希望團隊成員謹慎執行卻時效性較高的一般敏感指令,可設置為“指令提醒”,在執行時,需要由成員自行確認後執行;
【指令審核】:對於團隊管理者認為會帶來一定風險的敏感指令,可以設置為“指令審核”,這類指令執行時,會被臨時阻塞,待指令審核後才能執行;
【指令阻斷】:對於團隊管理者認為風險較高不希望成員執行的敏感指令,會被直接阻斷,不允許執行;
【中斷會話】:對於團隊管理者認為會帶來極大危險性的的惡意指令,建議設置為“中斷會話”。
二:Linux堡壘機敏感指令審核
團隊成員在觸發了Linux堡壘機指令審核響應的5類動作時,相關的審核角色成員有兩種方式接收審核消息:
1、站內審核消息:審核角色成員將收到站內消息,點擊查看後進入“安全審計/敏感指令審核”,在“待審批”標簽頁裏將列出當前所有待審批的敏感指令申請,只需按照實際情況選擇同意執行或拒絕執行即可。查詢審批歷史請切換到“已完成”標簽頁;
2、微信審核消息:審核角色成員賬號如果綁定了微信,其微信將收到指令審批信息,可直接點擊進入進行審批操作;
需要註意的是,團隊中的指令審批角色可能有多個成員,每個成員均會收到審批消息,審批操作以時間為順序,一個申請只能被審批一次,其他成員將不再允許對該筆申請進行審批。
三:如何繞開Linux堡壘機指令黑名單攔截
Linux堡壘機指令黑名單一旦設置,所有團隊成員(包括團隊擁有者和團隊管理員)執行的指令被認定為敏感指令時,均會執行相應的響應動作。但在某些特殊場景下,如果需要給個別成員較高的權限,在操作時不受指令黑名單的影響,可以為其賦予臨時禁用指令審批規則的權限;
1、進入“團隊/權限管理/角色管理”,為這類成員創建一個專門的角色,如“禁用指令審批角色”,將相應成員加入到角色中;
2、進入“團隊/權限管理/功能授權”,找到“安全審計/禁用指令審批規則”,將上一步創建的角色“禁用指令審批角色”加入到該功能權限中;
3、該角色中的成員在訪問會話時,在會話詳情中,可以看到“指令審批”,只要當前主機屬於關鍵設備且開啟了指令黑白名單,均可將指令審批設置為關閉,這樣在當前會話中,所執行的指令將不受運維策略的影響。
Linux堡壘機如何實現敏感指令審計?