背景:已经完成了堡垒机基本配置之后,运维人员已经可以访问到相应的资源机,但是运维工作需要向资源机上传下载文件要如何操作了要如何管控,接下来介绍下使用堡垒机如何向资源机上传或下载文件
腾讯云传统型堡垒机为运维人员提供了WEB工具和XFTP工具两种上传下载方式,这边分别介绍两种不同的方式的文件上传下载操作,以及堡垒机对文件上传下载的控制和审计方法。
一、登录传统型型堡垒机
打开谷歌浏览器/Edge浏览器,在地址栏输入传统型堡垒机地址 https://堡垒机IP地址/iam-web/authc/login 回车,若提示证书错误,请忽略继续访问。(注:管理员和运维人员都是通过这个页面进入登录)
二、Linux文件上传下载
Linux系统本身集成了SFTP服务,我们可以方便的使用SFTP协议进行文件上传下载。针对Linux系统资源腾讯云堡垒机提供了web工具和XFTP工具用于文件上传下载操作,腾讯云堡垒机也支持通过rz/sz命令的上传下载文件。建议使用XFTP工具进行大文件上传和下载。
2.1 WEB工具文件上传下载
在【授权列表】选择需上传下载文件的Linux机器,点【登录】,在配置登录页中,协议选择 SFTP协议,工具选择WEB,输入账号和口令,如下图所示:
点击【登录】,登录成功后我们将看到类似下图的界面,如下图所示:(若密码错误会提示“FTP服务器连接失败”)
点击【上传文件】,系统将在左侧显示上传文件菜单,如下图所示:
点击【文件上传】,会打开文件选择窗口,选择我们需要上传的文件后,点击打开,如下图所示:
在左侧上传文件菜单中点击【上传】,如下图所示:
若上传成功,浏览器上方正中间会提示,操作成功,如下图所示,即表示上传完成(注:若提示没权限,请检查工作组绑定的FTP控制策略是否有禁止上传)
下载文件时,可以在需下载的文件上点击【右键】,选择【下载】,如下图所示:
浏览器将提示是否打开文件或另存文件,点击【打开】或【另存为】即可完成文件下载。
2.2 SFTP协议-XFTP工具文件上传下载(推荐)
在【授权列表】选择需上传下载文件的Linux机器,点【登录】,在配置登录页中,协议选择 SFTP协议,工具选择XFTP,输入账号和口令,如下图所示:点击【登录】
浏览器提示“此站点正在尝试打开xftp客户端”,如下图所示:点击【打开】
(注:若点击登录后一闪而过或无反应,请确认您是否成功安装单点登录工具和XFTP工具,
单点登录工具:https://cloud.tencent.com/document/product/1025/32034
XFTP登录配置参考:https://cloud.tencent.com/document/product/1025/32443)
若您是首次登录该资源机,系统会提示您是否将主机密钥添加到缓存中,点击是即可,如下图所示:
此时系统呼起的本地Winscp工具将进行与资源机进行连接,如下图所示:
连接成功后,您将看到如下图所示的文件目录,如下图所示:
将左侧本地端的文件拉到右侧服务端即可完成文件上传操作,下载文件时将服务端文件拉到左侧本地端即可。
2.3 使用rz/sz上传下载文件
使用rz/sz终端命令前提是需要在资源机上安装一个软件包,并且需使用单点登录工具登录,如下图所示:(该方式对于大文件上传下载可能会不稳定,会出现中断等情形)
# yum -y install lrzsz
# rz -bye 文件名,将本地文件上传至服务器
# sz -bye 文件名,将服务器文件下载至本地
在【授权列表】选择需上传下载文件的Linux机器,点【登录】,在配置登录页中,协议选择 SSH2协议,工具选择xshell,输入账号和口令,如下图所示:点击【登录】
浏览器提示“此站点正在尝试打开curlrun.exe”,如下图所示,点击【打开】
此时系统呼起本地xshell工具并连接堡垒机和Linux资源,如下图所示:
输入rz -bye 回车,如下图所示:(注:这里一定要记得带-bye参数,否则会无法上传)
选择需要上传的文件,如下图所示:点击【打开】
提示文件上传完成,如下图所示:点击【关闭】
上传完成后,点击关闭,我们ls看下当前目录可以看到刚上传的文件,如下图所示:
使用命令 sz -bye 文件名 下载文件到本地,如下图所示:
回车后,跳出文件夹选择框,选择存放下载文件的存放位置,如下图所示:
点击【确定】,提示文件传送完毕,如下图所示:
资源浏览器打开我们刚刚选择的目录,可以看到,刚下载的文件已经在这里了,如下图所示:
3、Windows文件上传下载
windows系统自带RDP协议,堡垒机提供了兼容RDP协议的WEB工具和单点登录工具,使用该工具可以轻松的实现文件上传下载。针对windows文件上传下载建议优先使用单点登录工具的本地磁盘映射功能来操作,该工具与不使用堡垒机时的操作完全一致,不需在资源机上部署FTP服务器,操作简单,无文件名称、大小等限制,完全兼容windows远程桌面工具。
3.1 RDP协议-WEB工具文件上传下载
选择RDP协议时,系统将通过虚拟磁盘映射的方式,实现文件上传和下载。
3.1.1文件上传
在【授权列表】选择需上传下载文件的windows机器,点【登录】,在配置登录页中,协议选择 RDP协议,工具选择WEB,输入账号和口令,点击【登录】,如下图所示:
WEB工具登录成功后,如下图所示:
需要向windows资源机上传文件时,请点击页面上方的【文件上传】按钮,将显示如下文件上传页面:
点击上图红框区域【文件上传】,选择从运维机选择需上传的文件,点击【打开】,如下图所示:
点击上传,点击【上传】,如下图所示:
等待上传进度条完成,点击右上角的X,如下图所示:
至此,系统已将文件上传至堡垒机虚拟磁盘中,我们可以打开windows资源管理器,可以看到系统上有个虚拟磁盘,如下图所示:
双击打开该虚拟磁盘,可以看到我们刚上传的文件已经在这里面,将相应的文件复制粘贴到资源机桌面上即可完成文件上传,如下图所示:(注:不同的登录会话不共享该虚拟磁盘的文件,关闭该web会话该虚拟盘文件会自动清空)
3.1.2文件下载
打开资源管理器,双击打开虚拟磁盘,如下图示:
将需要下载的文件复制粘贴进虚拟磁盘,如下图所示:
点击登录界面上方的文件下载,会弹出需下载的文件列表,如下图所示,点击【下载】,即可将文件下载到运维端本地。
3.2 RDP协议-RDP单点登录工具文件上传下载(推荐)
在【授权列表】选择需上传下载文件的windows机器,点【登录】,在配置登录页中,协议选择 RDP协议,工具选择RDP,输入账号和口令,点击【登录】。(注:使用RDP工具登录前需要安装单点登录工具,单点登录工具安装请参考链接:https://cloud.tencent.com/document/product/1025/32034)
浏览器提示是否需打开mstsc启动,点击打开mstsc启动,如下图所示:
系统将通过单点登录工具呼起运维客户端的远程桌面工具,如下图所示:
点击远程桌面连接左下角的【选项】,选择【本地资源】页,如下图所示:
点击【详细信息】,勾选需要映射到资源机上的【驱动器】,如下图所示,点击确定
点击【连接】,如下图所示:
若提示是否信任此远程连接,请继续点【连接】,如下图所示:
windows登录成功后,打开资源管理器,可以看到我们刚刚勾选的驱动器,已经出现在资源机上,如下图所示:
此时,我们可以将需要上传的文件从映射的磁盘里复制到资源机上,将需下载的文件复制到映射的磁盘里,即可完成文件的上传和下载,和我们平时使用远程桌面工具上传下载文件一样。
3.3 FTP协议-WEB工具文件上传下载
使用FTP的前提是资源机需安装FTP服务器且需要开放FTP端口给堡垒机访问。
Windows上部署FTP服务器可以使用开源的FTP服务器软件FileZilla Server来实现,不建议使用绿色版的FTP服务器,如:Slyar FTPserver这类FTP服务器与堡垒机不兼容。
有关FileZillaServer的安装和配置可参考官方链接:https://www.filezilla.cn/%e7%94%a8filezilla%e6%90%ad%e5%bb%baftp%e6%9c%8d%e5%8a%a1%e5%99%a8%e5%8f%8a%e7%9b%b8%e5%85%b3%e9%97%ae%e9%a2%98.html
在资源机上部署完FTP服务后,在【授权列表】找到需上传下载文件的windows资源机,协议选择FTP,工具选择WEB工具,账号和密码处填写FTP服务器配置的账号和密码,点击【登录】,如下图所示:
登录成功后,您将看到FTP服务器上该用户的目录,如下图所示,点击【上传文件】
左侧将出现文件上传界面,如下图所示,点击【文件上传】
选择需要上传的文件,点击【打开】,如下图所示:(注:文件名不能含有中文)
点击【上传】,如下图所示:
文件上传成功后,您可以看到页面提示操作成功,如下图所示:
此时我们可以使用RDP协议登录资源机,在FTP目录下查看到刚刚上传的文件,如下图所示:
需要下载文件时,我们需要将需要下载的文件在资源机上放入到FTP目录,然后使用FTP协议登录,右建点击需要下载的文件,点击下载即可,如下图所示:(注意:文件名不能含有中文)
3.4 FTP协议-XFTP工具文件上传下载
使用FTP协议的前提是资源机需安装FTP服务器且需要开放FTP端口给堡垒机访问。
使用XFTP工具前提是已经安装单点登录工具和WinSCP工具,
单点登录工具:https://cloud.tencent.com/document/product/1025/32034
XFTP登录配置参考:https://cloud.tencent.com/document/product/1025/32443
在资源机上部署完FTP服务后,在【授权列表】找到需上传下载文件的windows资源机,协议选择FTP,工具选择XFTP,账号和密码处填写FTP服务器配置的账号和密码,点击【登录】,如下图所示:
浏览器提示站点正在尝试打开xftp客户端,点击【打开】,如下图所示:
首次连接会提示密钥是否要添加到缓存中,点击是即可,如下图所示:
连接成功后,您将可以看到winscp已经连接上了资源机,如下图所示:(注:使用XFTP工具链接时,运维端需要能正常访问到堡垒机的61903端口,否则winscp会无法链接堡垒机)
此时您可以将左侧运维侧的文件拉到右侧窗口,实现文件上传;将右侧窗口文件拉到左侧窗口里,可以实现文件下载。
三、文件上传下载管控和审计
堡垒机默认已启用文件上传下载审计策略,我们无需额外配置。
3.1FTP/SFTP协议文件上传下载控制
我们可以通过工作组绑定FTP访问控制策略,
添加 FTP 访问控制策略:https://cloud.tencent.com/document/product/1025/32292
我们在策略管理中新建一条FTP访问控制策略,该策略可控制使用FTP或SFTP协议的文件传输。
在工作组中绑定该策略,如下图所示:
我们使用FTP协议或SFTP登录windows资源机或者linux资源机,并进行文件上传,系统将提示无权限(注意:windows资源机不支持中文名称的文件名上传)
3.2RDP协议图形化工具上传下载控制
针对Windows的RDP协议可以在工作组中绑定 图形访问控制策略来实现
添加图形访问控制策略:https://cloud.tencent.com/document/product/1025/32290
我们在策略管理中新建一条图形化控制策略,这边设置了禁止下行拷贝。
我们在工作组中绑定我们的图形化控制策略,如下图所示:
此时我们再通过RDP协议登录windows资源机,将文件复制到虚拟磁盘,点击下载,系统提示"无权限",成功控制文件下载。
四、文件上传下载的审计
使用管理员账号登录堡垒机,在上方导航栏点击【审计平台】,如下图所示:(注:腾讯云堡垒机默认审计文件上传下载行为,不需额外配置,若您有其他特别的审计需求请自行修改和绑定审计策略)
点击【操作行为审计】-》【历史会话审计】,FTP协议可通过命令列查看记录,如下图所示:
点击命令列的图标,可以看到具体执行命令,如下图所示:
RDP协议图形控制审计,可通过点击文件传输列查看,如下图所示:
针对图形控制策略可通过录像或文件传输来查看具体的上传下载操作,点击文件传输列的图标,如下图所示:可以看到上传下载的文件名和时间。
针对终端rz/sz命令进行上传下载操作,我们可以通过内容审计记录进行审计,如下图所示:
五、堡垒机其他配置参考链接
基本配置:
https://cloud.tencent.com/developer/article/1764927
密钥登录配置
https://cloud.tencent.com/developer/article/1749716
https://cloud.tencent.com/developer/article/1749723
短信验证登录配置
https://cloud.tencent.com/developer/article/1764555
Linux文件上传下载
https://cloud.tencent.com/developer/article/1732736