堡垒机的使用方法之关键配置

1、从安全运维的角度来看，资源授权允勃榘嘟满足了主机层面的安全管理需求，但是一旦登录到主机后，团队成员便可对该台主机进行任何的操作，所以团队成员在登录主机前、后，都处于行云管家堡垒机安全监管之下。在行云管家中，把这些安全性更高的主机叫做关键设备，展开菜单选择“安全审计/关键设备运维策略”，进入【关键配置】功能设置。

2、关键配置审计录像： 访问运维策略里的关键设备时，是否强制进行审计录像。这里需要注意，在云账户中也存在该项设置，而一台主机访问时是否强制录像，同时受到它所在的云账户和运维策略的设置影响，只要其中有一个设置为“强制录像”，那么访问时即会进行强制录像；

3、会话水印：行云管家堡垒机会话水印功能，是将访问该服务器的运维人员的账号等信息，以半透明水印的方式印在服务器远程桌面会话窗口上，当远程桌面会话窗口被录像、截屏、拍照，运维人员的信息也会被一并记录，方便事后回溯追责。

4、双因子认证：也叫多重身份认证，开启后，在执行重启主机、停止主机、修改主机操作系统密码、修改邢赳剁曛管理终端密码、创建主机会话、快照回滚、更换系统盘、初始化磁盘、卸载数据盘、挂载数据盘等操作时，会要求以微信或短信接收验证码的方式进行二次身份确认，确保访问者的身份合法性；

5、指令审计：指令审塥骈橄摆计规则：您可以指定该条运维策略是启用指令白名单还是黑名单，如果是白名单，那么将只允许指令规则中的指令执行。如果是黑名单，团队成员在操作中执行的指令只要被敏感指令规则匹配，即执行相应的响应动作。指令审计角色：敏感指令如果触发的是审核操作，那么将推送审核消息给指令审计角色成员，由他们审核通过后，敏感指令才能在主机上执行； 指令审核超时时长：敏感指令触发审核操作时，如果在超时时长内未处理，指令将因超时被取消执行。

6、运维时段： 指定运维策略中的主机，只有在规定的运维时段内才允许访问，支持多个不连续的时段。 设置完以上内容后，点击“创建”即成功创建一条关键设备运维策略，但要生效，您还需要添加关键设备，只有在关键设备列表中的主机，才会受该条运维的影响。

7、创建策略

8、运维策略创建成功，是否立即进行设置？--》立即设置

9、大家在设置策略匹配规则的时候，推荐大家使用正则匹配的方式（因为我们使用完全匹配的方式就会绕过/bin/rm等命令）

10、添加需应用本策略管理的主机