执行命令审批
执行命令审批
麒麟堡垒机支持命令审批,即当运维人员需要执行某些敏感命令时(比如reboot、rm等),需要管理员权限用户审批后才能执行,步骤如下
-
首先到 资源管理-策略管理-命令授权中添加一个类型为黑名单的命令组
-
然后在这个命令组中加入敏感命令,并且把最后方的授权下拉选择一个可对这个用户操作命令时进行审批的用户
-
在为运维人员绑定权限的页面,点击运维人员名称,弹出小窗口,绑定这个命令组(注意,小窗口按确定后,大窗口也需要按确定)
-
运维人员通过堡垒机登录到设备后,想要执行敏感命令时,需要先通知授权人员,授权人员登录到堡垒机WEB,在审计管理-实时监控找到会话,点后面的任意工具启动实时监控
-
运维人员运行敏感命令时,会弹出提示告知运维人员命令需要审批人员审批,如果运维人员输入y,则审批人员的实时监控屏上会弹出让审批人员输入web登录密码的提示,如果审批人员输入自己正确的web登录密码回车,则运维人员的操作命令可以继续执行,如果不输入密码直接回车,则不允许运维人员执行这一命令