文档中心

云堡垒机CBH用户指南（下）

最近更新时间：

11 系统

11.1 系统配置

11.1.1 安全配置

进入“系统 > 系统配置 > 安全配置”，显示当前安全配置信息，一共包含 5 种配置，分别是用户锁定配置、密码策略配置、Web 登录配置、Web 证书配置、SSH 登录配置，其中“用户锁定配置”的锁定方式是指输错密码达到尝试密码次数被锁定的方式，有账户和来源 IP 两种方式；尝试密码次数是指可以输错密码的次数，有效值 0-999，如果设定为 0，则不锁定账户/来源 IP，默认值 5；锁定时长是指用户输错密码被锁定的时间值，有效值0-10080，如果设置为0，则锁定账户/来源IP直到管理员解除；重置计数器时长指的是登录尝试密码失败后，将登录尝试失败计数器重置为 0次所需要的时间，有效值 1-10080，默认值 5。

“密码策略配置”的密码强度校验是指是否强制用户使用强密码；密码相同校验是指修改的密码不能跟前 N 次相同（用户首次登录的密码不记录在内），有效值 1-30，默认 5；新用户强制改密是指是否强制新用户首次登录时改密；密码修改周期指云堡垒机账号密码修改周期，当达到修改周期时，登录后将自动弹出修改密码框，有效值 0-90，如果设置为 0，则密码永远不过期，默认值30。

“Web 登录配置”的登录超时指在 Web 页面无操作，再次操作时会退出重新登录的时间，有效值1-43200，默认 30；短信验证码过期时长指通过云堡垒机发出的短信验证码的过期时间，有效值15-3600，如果设置为 0，则不过期，默认 60；图形验证码可配置为启用、禁用、自动，当配置为启用时，登录页面上的图形验证码会一直显示，图形验证码过期时长是指出现的图形验证码的过期时间，有效值 15-3600，如果设置为 0，则不过期，默认 60；当配置为禁用时，登录不管输错多少次密码，图形验证码都不会出现；当配置为自动时，输错密码达到尝试次数，图形验证码就会出现，登录尝试次数的有效值为 1-30，默认 3。

“Web证书配置”需要上传符合格式要求的.jks文件，并且还要输入 keystore密码，配置完成后，在页面可以查看到证书的相关信息，重启系统即可生效。

“客户端登录配置”的登录超时指登录成功后在 SSH 客户端无操作退出登录的时间，有效值 1-43200，默认 30；公钥登录指用户使用 SSH 客户端登录云堡垒机时，如果添加了 SSH 公钥，可以免密登录；密码登录指用户使用 SSH 客户端登录云堡垒机时，只能输入密码登录；如果两种方式都打开了，则优先使用公钥登录方式。

11.1.2 网络配置

进入“系统 > 系统配置 > 网络配置”，显示当前网络配置信息，一共包含 4 种配置，分别是网络接口列表、DNS 配置、静态路由配置、Open VPN 配置，其中“网络接口列表”可以添加、编辑、删除当前机器的相关网络接口，为后续相关操作用到网络接口做准备（删除操作不会删除机器中的相关接口，默认显示的网络接口不可以删除）。

“DNS配置”可以修改当前机器的首选DNS和备用DNS，当然一定要是有用的，否则解析不了。

“静态路由配置”可以为当前机器添加静态路由，使当前机器可以访问其他网段的机器。

云堡垒机支持作为客户端连接到 OpenVPN 服务器，从而实现操作运维 VPN 内部资源的目的。OpenVPN 设置中，单击“开启”并选择与本地 OpenVPN 服务器相同配置的协议、IP、端口、是否压缩、验证 nsCertType 等信息，并上传 OpenVPN 服务器生成的 CA 证书，客户端证书和客户端私钥，单击“确定”即可将云堡垒机连接至 OpenVPN 服务器，在云堡垒机中添加 VPN 内部资源并授权后，用户即可对 VPN 内部资源进行登录、运维、审计等操作。

11.1.3 端口配置

进入“系统 > 系统配置 > 端口配置”，显示当前端口配置信息，一共包含 4 种配置，分别是运维端口配置、Web 控制台端口配置、SSH 控制台端口配置和 Windows 改密端口配置。其中“运维端口配置”主要是针对 SSH/SFTP、FTP 类型资源端口进行修改，包括通过 SSH 客户端登录云堡垒机的端口，配置好后单击“确定”，系统自动重启，重启完成后登录 SSH/SFTP、FTP 类型资源和通过 SSH 客户端登录云堡垒机时，都需要使用修改过的端口，有效值 1-65535 之间的有效数字。

“Web 控制台端口配置”针对的是登录 Web 页面云堡垒机的端口配置，配置好后单击“确定”，系统将会自动重启，重启完成后，再次登录 web 页面的云堡垒机时，需要使用修改过的端口，有效值 1-65535 之间的有效数字。

“SSH 控制台端口配置”针对的是登录 SSH 管理控制台的端口配置，配置好后单击“确定”，系统将会自动重启，重启完成后，再次登录 SSH 管理控制台时，需要使用修改过的端口，有效值 1- 65535 之间的有效数字。

11.1.4 工单配置

进入“系统 > 系统配置 > 工单配置”页面。

在“基本模式 > 访问授权工单申请范围”中设置用户在工单申请时可以查看的资源，分为全部、本部门、本部门及下级部门，默认申请范围为本部门，此时用户在工单申请时只能查看到自己部门下面的资源；在“基本模式 > 命令授权工单提交方式”中设置命令授权工单触发生成后是自动提交或手动提交，默认是手动提交；改变访问授权工单申请范围和命令授权工单提交方式后，单击“确定”可以完成更改保存。

在高级模式中配置用户池，用户池下部门的角色用户可以申请资源池下资源部门的资源，只针对于访问授权工单，如果用户的角色未选择，则用户池下的部门所有角色用户可以申请资源池下资源部门的所有资源。

在高级模式中配置审批流程，默认配置见下图，分别对审批的流程、审批形式、审批节点、审批级数、是否终审进行设置。

• 审批流程设置为分级流程时，系统将自动按照指定的审批节点设置到指定的所属部门寻找对应的角色用户作为节点，设置为固定流程时，则按照配置寻找节点用户，最多配置 5 级审批节点。

• 审批形式设置为多人审批时，每级仅需一个节点进行批准就能通过审批，同级的其他节点不需要在进行批准，同时同级其他节点不能看到该工单，设置为会签审批时，则需要同一级的所有节点都批准了工单，工单才能进入下一级审批。

• 审批节点由两部分属性决定，分别为部门属性和角色属性，部门属性固定有用户所属部门和资源所属部门，角色需要有管理权限和工单审批权限，只要在指定的部门里的指定角色的用户会自动成为审批节点，如果用户或资源所在的部门没有对应角色的用户，则自动往上级部门寻找，直到找到总部为止。

• 审批级数指的是通过工单需要的最大次数，设置为 1 时，则需要一个节点进行审批，如果开启了终审，则还需要 admin 用户进行一次审批，级数仅在分级流程时开启。

• 终审节点，开启后工单在所有级别的节点用户通过工单后由 admin 再进行一次审批，假如工单没有任何节点用户，那么无论是否开启终审都会由 admin 用户进行一次审批。

11.1.5 告警配置

进入“系统 > 系统配置 > 告警配置”。

“告警方式配置”可以修改系统消息、业务消息、任务消息、命令告警、工单消息各级别消息是否告警和告警方式，包括消息中心、邮件通知、短信通知，默认低级消息不告警；中级消息告警，只记录消息中心；高级消息告警，记录消息中心和发送邮件。

“告警等级配置”可以修改各模块各类型消息的告警级别。

11.2 数据维护

11.2.1 存储配置

进入“系统 > 数据维护 > 存储配置”。

“存储概览”主要展示当前云堡垒机的系统分区和数据分区的空间使用量。

“自动删除”是指是否开启自动清除磁盘；“自动删除（天）前的数据”是指当系统数据自创建后超过一定时长时会被自动清除，有效值 1-10000 天，默认值 180 天；“空间满时自动覆盖最早的数据”可以选择开启或关闭来确定是否在磁盘使用量超过 90%的时候自动进行数据清理，检查空间剩余的间隔为 30 分钟。清理后的空间达到阈值 90%以下即停止删除）。删除的数据默认为 180 天之前的数据，如果 180 天前的数据删除之后，使用率还是高于 90%，则一天一天往前删除，直到使用率低于 90%，不会删除当天的数据。

“手动删除”可删除指定日期前的数据。

11.2.2 日志备份

进入“系统 > 数据维护 > 日志备份”。

在“本地备份”，单击“+新建”，选择要备份的日志内容（包括系统登录日志、资源登录日志、命令操作日志、文件操作日志、双人授权日志）和需要备份的时间范围，单击“确定”，即可完成本地备份。

11.3 系统维护

11.3.1 系统状态

进入“系统 > 系统维护 > 系统状态”，可以查看当前云堡垒机的 CPU/内存使用率、磁盘读写状态、网络收发状态；其中可以自己选择时间段来查看，包括 5 分钟、15 分钟、1小时三个阶段，将鼠标放在某个时间上会有数值显示。

11.3.2 系统管理

进入“系统 > 系统维护 > 系统管理”页面。

“系统时间”可以直接在页面上手动修改当前系统的时间或使用时间服务器同步当前系统的时间，使用时间服务器同步系统时间时，可以选择系统默认自带的时间服务器，也可以自己输入时间服务器单击“同步时间”（时间服务器列表最多显示 5 条记录）。

在“系统升级”中单击“升级”，将通过线下方式获取的升级包，上传到云堡垒机中，上传成功后会出现提示框显示该升级包的版本号，单击“确定”即可开始系统升级过程，升级过程中系统会自动重启，等重启完毕后即可完成升级过程。

在“系统工具”中单击“重启”或“关机”后输入正确的云堡垒机登录密码，可以对云堡垒机服务器进行重启或关机操作；单击“恢复出厂设置”后输入正确的云堡垒机登录密码，即可恢复到云堡垒机的初始状态，所有的数据都会被清空（注意：license 不会变）。

11.3.3 配置备份与还原

进入“系统 > 系统维护 > 配置备份与还原”页面。

单击“+新建”，弹出确认备份弹窗，可以输入备注信息来区分备份文件，单击“确定”备份，备份成功后，页面提示系统配置备份成功；打开“自动备份”后，系统将在每天零点自动进行配置备份。

系统配置备份内容：

部门、用户模块、资源模块、运维模块中的主机标签和应用标签、策略模块、审计模块中的系统报表（报表自动发送）配置、运维报表（报表自动发送）配置、访问授权工单、安全配置中除web 证书不备份其余配置都备份、网络配置中的 Open VPN、外发配置、认证配置、工单申请范围配置、告警配置、系统风格、存储配置中的自动删除配置、日志备份中的 syslog、FTP/SFTP 备份配置、配置备份与还原中的自动备份配置。

单击“点击上传”，选择本地的备份文件上传到云堡垒机服务器中。上传完成后，还原文件会显示在页面上，出现确认还原的提示弹窗，单击“确定”，系统开始还原配置。

11.3.4 网络诊断

进入“系统 > 系统维护 > 网络诊断”页面，连通性测试可以执行 ping、路由追踪、TCP 端口检测操作，输入正确格式的 IP 地址和端口，单击“执行”，会有结果信息显示。

11.3.5 系统诊断

进入“系统 > 系统维护 > 系统诊断”页面，可以获取当前系统的相关信息，选择要获取的信息，单击“获取信息”即可（获取的系统信息包括：综合信息、系统负载、内核信息、内存信息、网卡信息、磁盘使用信息、路由信息、ARP 信息）。

11.4 关于系统

进入“系统 > 系统维护 > 关于系统”页面，可以查看当前系统的相关信息。

意见反馈

文档内容是否对您有帮助？

如您有其他疑问，您也可以通过在线客服来与我们联系探讨在线客服