齐治堡垒机简易使用手册V10

Shterm用户手册- 应用发布手册（配置管理员）杭州奇智信息科技有限公司2011年3月版本 <>目录第1章用户登录shterm .....................................错误!未定义书签。

普通用户首次登录....................................错误!未定义书签。

用户登录账号..................................错误!未定义书签。

使用环境准备..................................错误!未定义书签。

第2章Windwos设备访问....................................错误!未定义书签。

WEB登录......................................错误!未定义书签。

本地MSTSC客户端登录..........................错误!未定义书签。

第3章访问字符终端设备（Telnet、SSH）.....................错误!未定义书签。

Web终端访问..................................错误!未定义书签。

第三方SSH客户端工具访问......................错误!未定义书签。

WEB调用客户端登录............................错误!未定义书签。

第4章客户端工具访问......................................错误!未定义书签。

调用客户端工具................................错误!未定义书签。

文件传递......................................错误!未定义书签。

第5章文件传输............................................错误!未定义书签。

Shterm 用户手册 -应用发布手册（配置管理员）杭州奇智信息科技有限公司2011 年 3 月版本 <>目录第 1章用户登录 shterm .....................................错误 ! 未定义书签。

普通用户首次登录 . ...................................错误 ! 未定义书签。

用户登录账号 . .................................错误 ! 未定义书签。

使用环境准备 . .................................错误 ! 未定义书签。

第 2 章Windwos 设备访问 ....................................错误 ! 未定义书签。

WEB登录 ......................................错误 ! 未定义书签。

本地 MSTSC客户端登录 . .........................错误 ! 未定义书签。

第 3 章访问字符终端设备（ Telnet 、 SSH） .....................错误 ! 未定义书签。

Web终端访问 ..................................错误 ! 未定义书签。

第三方 SSH客户端工具访问 . .....................错误 ! 未定义书签。

WEB调用客户端登录 ............................错误 ! 未定义书签。

第 4章客户端工具访问 . .....................................错误 ! 未定义书签。

调用客户端工具 . ...............................错误 ! 未定义书签。

文件传递 . .....................................错误 ! 未定义书签。

齐治堡垒机操作手册(总30页) -CAL-FENGHAI.-(YICAI)-Company One1-CAL-本页仅作为文档封面，使用请直接删除齐治堡垒机操作手册中国旅游集团有限公司信息共享中心2020年2月版本 <>目录第一章建立用户账户 (4)首次访问与默认用户账号 (4)添加用户账号、分配用户角色 (5)建立普通用户账号 (7)快速身份切换 (7)第二章添加目标设备（配置管理员） (8)Windows设备（RDP） (8)条件准备 (8)添加设备 (8)设置密码 (10)Linux设备(SSH、X windows) (12)条件准备 (12)添加设备 (12)设置密码 (13)网络设备（Telnet） (14)条件准备 (14)添加设备 (15)设置null账号密码 (16)设置特权模式（enbale）密码 (17)第三章建立访问控制规则（配置管理员） (18)新建规则 (18)关联用户账户 (19)关联设备 (19)关联系统账号 (19)第四章设备访问（普通用户） (20)环境准备 (20)图形设备 (21)设备访问 (21)字符终端设备访问（Telnet、SSH） (24)Web终端 (24)第三方SSH客户端 (26)第五章操作审计（审计管理员） (28)字符会话审计 (28)命令列表式查看 (29)命令回放 (29)命令查询 (30)5．2图形会话审计 (31)会话列表 (31)会话审计 (31)第一章建立用户账户首次访问与默认用户账号Shterm采用加密型的Http方式进行访问，在浏览器地址栏中输入，如：,由于采用SSL技术，首次访问会出现证书错误提示，如下图：此时点击“继续浏览此网站”，将出现Shterm的登录页面。

如下图：Shterm默认管理员账号和密码均为小写“shterm”，输入用户名和密码后回车即可登录到Shterm操作界面，如下图：添加用户账号、分配用户角色使用缺省管理员帐号登录到Shterm，并打开基本控制-用户账户菜单，如下图：点击“新建用户”，进入用户帐号设置界面：这里不需要填写全部内容，但必须设置标有红色*号项，其他可根据实际情况确定是否需要填写即可：登录名：登录Shterm的用户ID，可以使用数字、字母或. - _等符号，但不能以. - _符号开头作为用户名，例如这里我们设置成admin；密码：选择手动输入或自动设置，默认选择手动输入，依次在设置密码和确认密码栏中输入两次密码；权限：系统默认有4类管理员，分别负责不同的角色，可以将不同的角色权限分配给不同用户，也可以多个管理员权限分配给同一个用户，可根据公司实际情况分配权限，例如我们这里将所有权限分配给admin这个帐号，将这四个管理员选项都勾选上。

Shterm实施手册浙江齐治科技有限公司一实施前准备 (3)1.1到货确认 (3)1.2 实施确认 (3)1.3 基本环境和配置准备 (3)1.4 打开相应的端口 (4)1.5 填写《用户准备信息》表格 (4)1.6 用户提供的设备硬件基本要求 (5)1.7 我们需要准备的介质及工具 (5)1.8 可能会存在的问题准备 (6)二产品实施 (7)2．1 办理机房出入手续 (7)2．2 设备上架 (7)2．3 设备加电 (7)2．4 系统安装 (7)2．5 基本配置 (7)2．6 HA配置 (8)2．7授权 (8)2．8 Shterm配置 (8)2．9 HA检查 (8)2．10 实施HA过程注意点 (9)2．11 可能会存在的问题准备 (9)三实施后 (10)3．1 文档提交 (10)3．2 产品培训 (10)一实施前准备1.1到货确认设备到货后，和客户电话确认，并初步确定好实施的时间，确定好设备上架和人员出入机房需要准备哪些手续；1.2 实施确认确定好实施的时间，还需要确认以下信息：a)单机部署还是双机部署 //合同里会明确说明部署方式，可跟公司商务电话确认；b)设备硬件配置情况 //公司按合同发货时，会提供设备硬件配置信息，如果没有，可以找上海办事处徐永强了解设备硬件配置情况；c)双机是否做HA部署 //跟客户邮件确认d)硬件上架是否需要装导轨 //如果客户机柜是19英寸标准机架，可以考虑安装导轨，否则只能上挡板，此项需要跟客户确认1.3 基本环境和配置准备1.3.1 设备上架占用空间1U设备占用机架 ( 503mm长 x 437mm宽 x 43mm高) 空间2U设备占用机架 ( 648mm长 x 437mm宽 x 89mm高) 空间1.3.2 网络准备1.3.2.1 单机部署a)准备好相应数量的220V交流电源插孔，电源功率为520W //单电源准备一个，双电源准备两个b)准备好配给设备的一个IP地址及相应的子网掩码和网关c)设备的hostname和domainnamed)1根普通网线 //连接设备到交换机e)DNS //设置后才能从Shterm本机的smtp服务发送邮件f)NTP服务器地址 //如果客户内部有NTP时间同步服务器g)机架位置 //方便快速上架1.3.2.2 双机HA部署a)准备好相应数量的220V交流电源插孔，电源功率为720W //单电源准备一个，双电源准备两个b)3个连续的IP地址 //前后地址作为设备的实际地址，中间的IP地址作为漂移地址，也就是用户访问使用的地址c)设备的hostname和domainnamed)3根普通网线e)网关地址f)DNS //设置后才能从Shterm本机的smtp服务发送邮件g)ping节点地址 //从3个IP地址到ping节点必须能通h)NTP服务器地址 //如果客户内部有NTP时间同步服务器i)机架位置 //方便快速上架1.3.3.3 打开相应的端口保证用户能够访问Shterm端口22，443，5899，3389。

齐治堡垒机操作手册中国旅游集团有限公司信息共享中心2020年2月版本 <V1.0>目录第一章建立用户账户 (3)1.1 首次访问与默认用户账号 (3)1.2 添加用户账号、分配用户角色 (4)1.3建立普通用户账号 (6)1.4快速身份切换 (6)第二章添加目标设备（配置管理员） (7)2.1 Windows设备（RDP） (7)2.1.1 条件准备 (7)2.1.2 添加设备 (7)2.1.3 设置密码 (8)2.2 Linux设备(SSH、X windows) (10)2.2.1 条件准备 (10)2.2.2 添加设备 (10)2.2.3 设置密码 (11)2.3网络设备（Telnet） (12)2.3.1 条件准备 (12)2.3.2 添加设备 (12)2.3.3 设置null账号密码 (13)2.3.4 设置特权模式（enbale）密码 (14)第三章建立访问控制规则（配置管理员） (15)3.1新建规则 (16)3.2关联用户账户 (16)3.3 关联设备 (17)3.4 关联系统账号 (17)第四章设备访问（普通用户） (18)4.1环境准备 (18)4.2图形设备 (18)4.3 设备访问 (18)4.4字符终端设备访问（Telnet、SSH） (22)4.5 Web终端 (22)4.6 第三方SSH客户端 (23)第五章操作审计（审计管理员） (26)5.1字符会话审计 (26)5.1.1 命令列表式查看 (27)5.1.2 命令回放 (27)5.1.3 命令查询 (28)5．2图形会话审计 (28)5.2.1 会话列表 (29)5.2.2 会话审计 (29)第一章建立用户账户1.1 首次访问与默认用户账号Shterm采用加密型的Http方式进行访问，在浏览器地址栏中输入https://Shterm堡垒机IP地址即可，如：https://10.8.251.70,由于采用SSL技术，首次访问会出现证书错误提示，如下图：此时点击“继续浏览此网站”，将出现Shterm的登录页面。

齐治堡垒机操作手册中国旅游集团信息共享中心2020年2月版本 <V1.0>目录第一章建立用户账户 (3)1.1 首次访问与默认用户账号 (3)1.2 添加用户账号、分配用户角色 (4)1.3建立普通用户账号 (6)1.4快速身份切换 (6)第二章添加目标设备（配置管理员） (7)2.1 Windows设备（RDP） (7)2.1.1 条件准备 (7)2.1.2 添加设备 (7)2.1.3 设置密码 (8)2.2 Linux设备(SSH、X windows) (10)2.2.1 条件准备 (10)2.2.2 添加设备 (10)2.2.3 设置密码 (11)2.3网络设备（Telnet） (12)2.3.1 条件准备 (12)2.3.2 添加设备 (12)2.3.3 设置null账号密码 (13)2.3.4 设置特权模式（enbale）密码 (14)第三章建立访问控制规则（配置管理员） (15)3.1新建规则 (16)3.2关联用户账户 (16)3.3 关联设备 (17)3.4 关联系统账号 (17)第四章设备访问（普通用户） (18)4.1环境准备 (18)4.2图形设备 (18)4.3 设备访问 (18)4.4字符终端设备访问（Telnet、SSH） (22)4.5 Web终端 (22)4.6 第三方SSH客户端 (23)第五章操作审计（审计管理员） (26)5.1字符会话审计 (26)5.1.1 命令列表式查看 (27)5.1.2 命令回放 (27)5.1.3 命令查询 (28)5．2图形会话审计 (28)5.2.1 会话列表 (29)5.2.2 会话审计 (29)第一章建立用户账户1.1 首次访问与默认用户账号Shterm采用加密型的Http方式进行访问，在浏览器地址栏中输入https://Shterm堡垒机IP地址即可，如：https://10.8.251.70,由于采用SSL技术，首次访问会出现证书错误提示，如下图：此时点击“继续浏览此”，将出现Shterm的登录页面。

运维操作管理系统（堡垒机）解决方案浙江齐治科技有限公司2013年8月<VER 3.3.0>声明本文件所有权和解释权归齐治科技所有，未经齐治科技书面许可，不得复制或向第三方公开。

修订历史记录（版本控制）（文档类型A-内部归档类， D-外部交付类）（保密级别A-公开，B-有选择公开，C-不公开）目录1现状分析 (2)2解决方案 (4)3功能实现 (11)4方案优势 (25)5客户收益 (27)6成功案例 (28)1现状分析1.1运维管理现状客户的维护部门主要负责应用系统以及信息系统基础平台的建设和维护，以及局内网络的建设和维护。

现有数十台各种各样的服务器，其日常运维过程中都普遍存在以下现状：➢用户的访问方式以内部直接远程访问为主。

其中运维操作的远程访问方式又以SSH/Telnet/RDP/VNC/X-window/http/https/FTP/SFTP为主，设备数量比较多；➢维护人员较多，并且部分设备的维护交由第三方维护厂商完成，维护操作比较分散，权限变更复杂；➢使用设备上的共享系统账号进行认证与授权；➢无法有效落实定期修改设备密码的规定；➢用户的运维操作无审计；➢需要定期接受等保、SOX、ISO27001等法律法规标准的检查。

1.2存在问题➢维护方式不统一；➢共享账号难控制；➢操作行为难约束；➢设备密码难管理；➢运维操作无审计；➢法律法规难遵从；1.3问题分析出现以上问题的主要原因在于：➢运维操作不规范；➢运维操作不透明；➢运维操作风险不可控；1.4带来的后果➢违规操作可能会导致设备/服务异常或者宕机；➢恶意操作可能会导致系统上敏感数据/信息被篡改、被破坏；➢当发生故障的时候，无法快速定位故障原因或者责任人；2解决方案2.1实现目标通过Shterm的部署，可以有效的解决运维部门当前运维过程中存在的各种问题：➢以堡垒方式，形成统一的运维入口，实现运维操作的唯一路径；➢引入主从帐号管理概念，使用户认证与系统授权分开，从而有效解决系统帐号共享使用，带来的身份不唯一的问题；➢基于用户、设备、系统帐号、协议类型、登录规则的严格访问控制设置，有效规避了非授权访问带来的问题；➢密码托管和自动改密，使得密码管理规范能有效落地，避免了因人员的流动还会导致设备密码存在外泄的风险；➢能完整记录运维人员的操作过程，当系统因人为操作导致故障的时候，能够快速定位故障原因和责任人；➢可以满足等保、SOX、ISO270001、BS7799等安全规范对运维操作管理的要求。

安全审计系统（堡垒机）使用指南
我校安全审计系统（又称堡垒机），为数据中心服务器提供审计、校外运维等途径，由网教中心负责日常管理。

该系统的使用说明如下：系统强制要求新用户修改密码，用户可通过浏览器登录堡垒机进行修改，新密码需至少包括两种字符且长度不小于10。

一、Windows服务器
（一）方法一：直接RDP登录堡垒机
1.开启远程桌面，登录堡垒机：210.27.8
2.66，输入登录堡垒机的账号、密码。

2.选择设备，输入登录服务器的用户名、密码。

（二）方法二：通过浏览器登录堡垒机
1.用户通过IE浏览器登录堡垒机。

（其他浏览器也可使用，比IE稍繁琐）
2.登录后，会有安装加载项提示，点击“安装”稍候片刻即可。

3.选择运维设备，输入该设备账号和密码后，勾选“记住密码”，点击“远程桌面”。

4.选择“使用其他账户”，输入登录堡垒机的账号和密码后，点击“确定”。

二、Linux服务器
1.用户通过工具，如Xshell、PuTTY等，登录堡垒机：
ssh 用户名@210.27.82.66后，点击最后一项（Keyboard Interactive），然后输入密码。

2.选择UTF-8 character。

三、联系方式
使用过程中，有任何疑问，请及时与网教中心联系。

联系人：周菊香
电话：
网络与教育技术中心
2019年2月28日。

齐治堡垒机操作手册中国旅游集团有限公司信息共享中心2020年2月版本<V1.0>目录第一章建立用户账户 (5)1.1 首次访问与默认用户账号 (5)1.2 添加用户账号、分配用户角色 (6)1.3建立普通用户账号 (8)1.4快速身份切换 (8)第二章添加目标设备（配置管理员） (9)2.1 Windows设备（RDP） (9)2.1.1 条件准备 (9)2.1.2 添加设备 (9)2.1.3 设置密码 (11)2.2 Linux设备(SSH、X windows) (13)2.2.1 条件准备 (13)2.2.3 设置密码 (14)2.3网络设备（Telnet） (15)2.3.1 条件准备 (15)2.3.2 添加设备 (16)2.3.3 设置null账号密码 (17)2.3.4 设置特权模式（enbale）密码 (18)第三章建立访问控制规则（配置管理员） (19)3.1新建规则 (19)3.2关联用户账户 (20)3.3 关联设备 (20)3.4 关联系统账号 (20)第四章设备访问（普通用户） (21)4.1环境准备 (21)4.2图形设备 (22)4.3 设备访问 (22)4.4字符终端设备访问（Telnet、SSH） (25)4.5 Web终端 (25)4.6 第三方SSH客户端 (27)第五章操作审计（审计管理员） (30)5.1字符会话审计 (30)5.1.1 命令列表式查看 (30)5.1.3 命令查询 (31)5．2图形会话审计 (32)5.2.1 会话列表 (32)5.2.2 会话审计 (33)第一章建立用户账户1.1 首次访问与默认用户账号Shterm采用加密型的Http方式进行访问，在浏览器地址栏中输入https://Shterm堡垒机IP地址即可，如：https://10.8.251.70, 由于采用SSL技术，首次访问会出现证书错误提示，如下图：此时点击“继续浏览此网站”，将出现Shterm的登录页面。

堡垒主机操作管理流程一、概述为了完善业务需要，提高内控堡垒主机系统的管理规范性，运维管理人员应依据堡垒主机操作管理流程进行操作。

堡垒主机操作管理流程包含用户账户申请、用户资源申请、授权人审批管理、授权账户安全管理、授权资源操作、责任划分等流程项。

二、管理流程管理流程主要是由普通用户想要申请资源而发起申请至指定审批人，审批人根据实际情况予以审批或拒绝，或转发上级领导继续审批，审批环节可以根据需要分为一级至多级，直至有领导同意后，选择执行人去将此申请落实。

自然人（申请用户）申请、接入资源申请流程主要包括以下几类：●用户账户申请流程向系统管理员或安全部门负责人发起自然人账户申请，并填写账户接入申请单申请新的接入账户，由系统管理员或安全部门负责人审核后给予账户的用户名密码授权。

●资源接入申请流程资源相关负责人申请资源接入到内控堡垒主机系统，用户申请资源接入时需详细列出管理的资源信息,资源信息包括主机系统、登录账户密码、主机IP地址等。

资源信息提交后由系统管理员核对资源信息和接入账户的对应关系。

●自然人变更流程自然人申请调整岗位，申请调整资源授权，申请数字证书等需向系统管理员提交变更申请单。

●自然人注销流程由于工作调离或资源主机下架等造成自然人账户需注销停用，需要向系统管理员作出说明，并由系统管理员审核后对自然人账户进行注销停用处理。

三、账户管理帐号管理包含对所有服务器、网络设备帐号的集中管理。

帐号和资源的集中管理是集中授权、认证和审计的基础。

帐号管理可以完成对帐号整个生命周期的监控和管理，而且还降低了企业管理大量用户帐号的难度和工作量。

同时，通过统一的管理还能够发现帐号中存在的安全隐患，并且制定统一的、标准的用户帐号安全策略。

授权账户的管理按照职责划分可分为系统管理员、安全审计员、普通账号●系统管理员负责对申请人账户的创建、变更和撤销;负责资源的创建、修改、删除、授权。

●安全审计员负责审核、登记备案自然人的用户权限和管理资源，并进行定期审计。

Shterm用户手册- 应用发布手册（配置管理员）杭州奇智信息科技有限公司2011年3月版本 <V1.0>目录第1章用户登录shterm (3)1.1普通用户首次登录 (3)1.1.1用户登录账号 (4)1.1.2使用环境准备 (4)第2章Windwos设备访问 (6)2.1.1WEB登录 (6)2.1.2本地MSTSC客户端登录 (7)第3章访问字符终端设备（Telnet、SSH） (9)3.1.1Web终端访问 (9)3.1.2第三方SSH客户端工具访问 (10)3.1.3WEB调用客户端登录 (12)第4章客户端工具访问 (14)4.1.1调用客户端工具 (14)4.1.2文件传递 (15)第5章文件传输 (15)第6章账户设置 (16)6.1个人信息修改 (16)6.2密码修改 (18)第1章用户登录shterm1.1普通用户首次登录Shterm采用Web作为用户界面。

用户可使用Microsoft Internet Explorer 或以其为内核其他浏览器、Mozilla Firefox、Google Chrome等主流浏览器访问Shterm。

Shterm的访问地址一般为这种形式的：https://ipaddr，如：https://10.100.192.102注意：建议将此站点加入到浏览器的安全站点中。

1.1.1用户登录账号目前Shterm已与AD域认证系统进行了联合认证，因此在登录Shterm系统时只需要使用自己的AD域账号密码就可以登录Shterm系统了。

1.1.2使用环境准备为了正常的使用Shterm您需要做以下环境准备工作：首先在您的系统安装Jre（Java虚拟机），此工具可在shterm的右上方下拉“工具下载”。

如果浏览器用的是IE或IE核心的，则需要再安装ShtermLoader工具，此工具可在shterm的右上方“工具下载”中下载并安装；注意：需根据浏览器的版本下载相应的ShtermLoader，如32位的浏览器则需要下载32位的ShtermLoader，64位的浏览器则需要下载64位的ShtermLoader；第2章Windwos设备访问对于Windows设备访问，Shterm提供了两种方式：1.直接在WEB界面中登录设备，此种方式需要安装JRE/ShtermLoader；2.打开本地MSTSC客户端登录Shterm后再登录目标设备，此种方式不需要安装任何插件；2.1.1WEB登录用户直接通过浏览器登录Shterm。

堡垒主机用户操作手册运维管理版本2。

3.22011—06目录1。

前言 (1)1。

1.系统简介 (1)1.2。

文档目的 (1)1。

3.读者对象 (1)2。

登录系统 (2)2.1.静态口令认证登录 (2)2。

2.字证书认证登录 (2)2.3。

动态口令认证登录 (3)2。

4.LDAP域认证登录 (4)2。

5.单点登录工具 (4)3。

单点登录（SS0） (6)3.1。

安装控件 (6)3。

2。

单点登录工具支持列表 (9)3。

3。

单点登录授权资源查询 (9)3.4。

单点登录操作 (10)3。

4.1.Windows资源类（域内主机\域控制器\windows2003\2008) (10)3。

4.2。

Unix\Linux资源类 (13)3.4。

3.数据库(独立）资源类 (16)3。

4.4.ORACLE_PLSQL单点登录 (17)3。

4。

5.ORACLE_SQLDeveleper单点登录 (19)3.4.6。

MSSQLServer2000查询分析器单点登录 (20)3.4.7.MSSQLServer2000 企业管理器单点登录 (22)3。

4。

8.SQL Server 2005 Management Studio单点登录 (23)3.4.9.SQL Server 2008 Management Studio单点登录 (24)3。

4.10。

Sybase Dbisqlg单点登录 (25)3。

4。

11。

SQL—Front单点登录 (26)3.4.12.数据库（系统）资源类单点登录(DB2/informix） (27)3。

4.13。

网络设备(RADIUS\local\其他）资源类 (31)3.4.14。

Web应用资源类 (33)1.前言1.1.简介堡垒主机系统运维管理是堡垒主机系统中使用最为频繁的一个平台.它面向的对象是，企业的运维人员。

该模块是堡垒主机系统为运维人员提供的登录入口.因此堡垒主机系统加强了登录的认证手段，提高安全性的同时不失用户的方便性。