测试时间:2011年7月13日
测试机构:游侠安全网(www.youxia.org)
测试人:张百川(网路游侠)
相信游侠安全网的很多朋友了解过单点登录系统(Single Sign On),如果您没了解过,那也不难,游侠简单说几句:通过一个页面,可以让你一次性登录多个系统,比如打开浏览器,只需要1个页面就可以同步登录你的E-Mail、OA、CAPP、ERP等,无需多次输入帐号、密码,对于业务系统繁多的单位,很多人会喜欢SSO,因为其节约了输入业务系统地址、帐号、密码的时间,非常方便。
当然,今天要说的产品不仅仅具备SSO的功能,还具有4A的功能(认证、授权、审计、账户管理),您可以对如下设备进行统一管理。
作为网络管理员,如果您管理着一个大型网络,一定会有如下烦恼:
- 交换机、路由器数量太多,有时候无法记住所有的IP地址,或者设备放在什么地方;
- 服务器(Windows、Linux等)数量过多,帐号、密码管理任务重,特别是遵照等级保护等的要求,需要定期修改,并且要符合一定复杂程度,让惜时如金的您郁闷不已;
- 对安全设备或存储设备的操作,没有一定的审计记录,虽然本身有一定的审计功能,却记录方式不直观,不好用。
- 帐号混用问题严重,如多人共用Administrator或root帐号,出现问题后无法确认到人;
- 对交换机、服务器的危险操作无法进行实时阻断,如monitor、rm等;
- 希望对远程对数据库的操作进行审计,并可以对危险命令如drop等实时阻断
- 当然,今天既然提到了SSO,那么你也一定会对上图中提到的所有设备的单点登录感兴趣!
OK,说这么多,你一定对这么一套系统感兴趣了吧,Let's Go !
今天的主角来自思福迪,产品名称是LogBase运维安全审计系统,有的厂家称其为“内控堡垒主机”,仅仅是说法不同而已,其实都是一类产品。
运维安全审计如何使用呢?说下流程:
- 添加运维帐号,就是维护设备的人的帐号,网络中心有10个人就增加10个人
- 增加设备,如交换机、服务器等
- 添加授权,允许某个人访问某几台设备,当然亦可制定某个帐号!亦可以添加访问计算机IP、时间控制、命令集等权限
增加完毕就可以使用咯!当然口说无凭,下面进入“有图有真相”环节!
增加运维账号,这里增加youxia这个帐号
除了这些,还可以写入部门、电话等信息。
现在既然有了运维账号,下一步就是给运维账号增加设备了
我们可以看到,如果选择的是Windows,则会显示RDP(远程桌面)、telnet、PCAnyWhere、RAdmin等运维方式,如果选择了Linux,则会自动切换成telnet、SSH、VNC等,如果选择网络设备,则可以用SSH、telnet、B/S等方式,如果选择数据库,则可以选择Oracle、MS SQL等。
现在开始给运维账号、设备加授权
这里游侠仅选择最简单的方式,给“youxia”这个运维账号加授权。可以选择能管理哪一台设备,亦可选择强迫这个帐号只允许用某台主机的某个帐号(惊喜?没想到可以做到这么细致吧?)
经过简单的配置,运维安全审计系统(内控堡垒主机)已经可以实现最简单的单点登录、身份认证、操作授权、行为审计、账号管理功能了。下面我们用youxia这个帐号登录运维安全审计系统。看看主界面!
只需要点主机名,然后选择帐号(如果有多个帐号的话,或者,如果您有多个帐号的登录权限的话)点“连接”就可以登录系统了!无需输入主机帐号和密码!省时省力!
管理方式,可以是SSH(putty、SecureCRT等)、RDP、RAdmin、PCAnyWhere等,也可以是FTP/SFTP、数据库客户端。
现在我们测试下阻断功能,设置访问权限,给Linux下面的rm做阻断。
登录到运维账号看看!
我输入rm命令,直接就给断掉了!
通过管理界面,可以对现在的运维状况进行实时观察。
可以做:阻断、监控、回放、指令查看。监控可以实时查看对方操作屏幕,回放则可以以录像形式展现操作过程,非常直观。
作为运维安全产品,审计功能也是必须的
再看看报表功能:
其实本系统内置了一些报告,我这里选择了自定义,功能非常强大,所有的记录项目都可以自定义,并且可以选择统计报告、明细报告、柱形图、饼形图、折线图等多种图表类型,无论是做详细分析还是给领导做工作汇报都非常合适。
下面是个饼图,效果还不错
运维安全审计系统可以批量自动设置设备密码,可以设置的设备包括路由器、交换机、防火墙、Windows服务器、Linux服务器等(惊讶?),不仅如此,还可以遵照密码要求进行自动修改!
好了,运维安全审计系统就暂时给大家介绍到这里,有问题可以随时登录“游侠安全网”(www.youxia.org)和游侠沟通!游侠的邮件是:55984512@qq.com,欢迎来信!
您亦可直接下载下面的表单,发给游侠,我们会和您联系。
相关产品:
相关测试:
