齐治堡垒机简易使用手册.docx

Shterm用户手册- 应用发布手册（配置管理员）杭州奇智信息科技有限公司2011年3月版本 <>目录第1章用户登录shterm .....................................错误!未定义书签。

普通用户首次登录....................................错误!未定义书签。

用户登录账号..................................错误!未定义书签。

使用环境准备..................................错误!未定义书签。

第2章Windwos设备访问....................................错误!未定义书签。

WEB登录......................................错误!未定义书签。

本地MSTSC客户端登录..........................错误!未定义书签。

第3章访问字符终端设备（Telnet、SSH）.....................错误!未定义书签。

Web终端访问..................................错误!未定义书签。

第三方SSH客户端工具访问......................错误!未定义书签。

WEB调用客户端登录............................错误!未定义书签。

第4章客户端工具访问......................................错误!未定义书签。

调用客户端工具................................错误!未定义书签。

文件传递......................................错误!未定义书签。

第5章文件传输............................................错误!未定义书签。

Shterm用户手册- 应用发布手册（配置管理员）杭州奇智信息科技有限公司2011年3月版本 <V1.0>目录第1章用户登录shterm (3)1.1普通用户首次登录 (3)1.1.1用户登录账号 (4)1.1.2使用环境准备 (4)第2章Windwos设备访问 (6)2.1.1WEB登录 (6)2.1.2本地MSTSC客户端登录 (7)第3章访问字符终端设备（Telnet、SSH） (9)3.1.1Web终端访问 (9)3.1.2第三方SSH客户端工具访问 (10)3.1.3WEB调用客户端登录 (12)第4章客户端工具访问 (14)4.1.1调用客户端工具 (14)4.1.2文件传递 (15)第5章文件传输 (15)第6章账户设置 (16)6.1个人信息修改 (16)6.2密码修改 (18)第1章用户登录shterm1.1普通用户首次登录Shterm采用Web作为用户界面。

用户可使用Microsoft Internet Explorer 或以其为内核其他浏览器、Mozilla Firefox、Google Chrome等主流浏览器访问Shterm。

Shterm的访问地址一般为这种形式的：https://ipaddr，如：https://10.100.192.102注意：建议将此站点加入到浏览器的安全站点中。

1.1.1用户登录账号目前Shterm已与AD域认证系统进行了联合认证，因此在登录Shterm系统时只需要使用自己的AD域账号密码就可以登录Shterm系统了。

1.1.2使用环境准备为了正常的使用Shterm您需要做以下环境准备工作：首先在您的系统安装Jre（Java虚拟机），此工具可在shterm的右上方下拉“工具下载”。

如果浏览器用的是IE或IE核心的，则需要再安装ShtermLoader工具，此工具可在shterm的右上方“工具下载”中下载并安装；注意：需根据浏览器的版本下载相应的ShtermLoader，如32位的浏览器则需要下载32位的ShtermLoader，64位的浏览器则需要下载64位的ShtermLoader；第2章Windwos设备访问对于Windows设备访问，Shterm提供了两种方式：1.直接在WEB界面中登录设备，此种方式需要安装JRE/ShtermLoader；2.打开本地MSTSC客户端登录Shterm后再登录目标设备，此种方式不需要安装任何插件；2.1.1WEB登录用户直接通过浏览器登录Shterm。

堡垒机使用手册使用堡垒机登陆方法1、使用Secure CRT 登陆，选择SSH2登陆方式，输入相应的用户名，点击 connectQuick ConnectPrvtocol ： Ho st name'Authentic 的 on0 PaaswontJ 0 PdbfccKeyI#. Keyboard Irrt 已启crtiu 已 0GSSAPIMl Save session0 Open in a tabTVl2、输入用户名和密码Enter Secure Shell Password1 Ml31 @ 10'.4-S.BD.€G requires a password. Pl 亡曰吕e enter a password now.Ussnane:100131P asswad.I 1 Save p 曰闘 >VDrd3、选择1进入服务器列表[Conneci ]CanodPort;22Finewsl: NoneUsername.™ni|..Show quick corned on startup10.43.66 - Seen reCRTFile Edit View Options Transfer Script Tools Help Ji] a Cl a SI I 裁昌-寻m 百瑟F ◎I 10.4fi.50.66VENU5TECH AUDIT SYSTEM HAl000Last login: Thu Jun 7 17:51:07 2012 from 10*4S.51.2J9 shell audit systemselect node: 1|F 图为服务器列表 B IfUS.SIKGGselected group : BE 5融台应目爼4、选择需要登陆的服务器■te u t01^345678901234567891234567£911111111112222£22222 13弓.勺©.17.11 133.96.17.13 133.17.14 133 . ■96.17*15 133.96.17.16 133.■96.17.17 133,.■96.17*15 133.96.17.21 133.17.22 丄汨"9乞17.23 133.96.17.25 133.17.27 丄汩"9&17.2勒 133.96.17.29 133，勺 6.17.J0 133.^6.17.31 133.96.17.12 133.S6.17. J3 133.96.17.34 133.96.17.35 133.S6.17.ie 133.96.IS.1(3 133.96.15.12 133.-9^,15*14 133.96.IS.15 133.96.IS.le 133.96.1S*17 133.96.IB.ig 133.■96.IB.21 (bildbi) (b-i1db2) tb11appl) (bi1app2) (memdbl) fmemdb^) (^ccxdbl) (jicttdb2) Cb11app3) (bi 1 app4) CxjdblJ CxjdbZ) (Lilnbikl) Cb11nbi ■ Cb11wbikl) (bi fbl 1weDl) Cb11webZ) (bi1web3) Cb11web4) (bi IwebS) (crmdbl) fcrmdb?) (crmqxappl) (<rmqta pp2) fcrmhta ppi) (crmhtapp?) (<en(Terdbl) (centerdb?)■ ■ ■ ■ ■k2)13^.96.18.25133.96.18.28132.96.18.29133.96.18.30133.96.18.31132.96.18.32133.96.18.33135.96.18.34 13^.96.18.35133.96.18. 36 133. 96. 18. 57 133.96.IS.40133.96. 18.41 133. 96. 19. 10 133.96.ig.li133.96.15.12133.96.19.13133.96.14140 133.96, 19.141 CcrmqywTk:2> (crmtii? (crmtp) (crwebi) (crwebA) (crinweb^) (crinwQbe) (crmwebr) (crmwebS) Ccnnweb^')(crmwebLD) !crmwebl) crmweb?) (bi 1testl) f bl 1test21(bilte&t5) (bi 1te5t4) (blit estl-2) Ccrmtest 2)devHce: 475、选择以何种身份登陆5elecred device : 133,96-15-11 (biIre5t2)admin al ti base b-illing billing£ creditcredirS drecv drecv^ 1 Kora Qwcle patrol root tujtedQ6、提示输入密码匸.1gJ oQ I z 口 b l accounts: 1input _J 4567S 501234567S 90133533334444444444S5Eelected device ； 133.96.19.11 (blItest2)admin altibasG billing billTng2 credit credTL2 drecv drecv? Ixora oracle p arro'lroot tuxedo wangj weblog-i 匚xulzinput a匚counts; 15el ecued accounrs ; adm-fri admi n(?bi Itesr^'s password:7、登陆成功login successfulLast unsuccessful login: Tue May 22 17 : J0:35 BEIST 2012 on ssh from 10*43- 51.19JLaST； login：W€Cl Nia/ so 1Z：12： 57 6EIST 20IZ on /dev/ptS/5 fron 133^ 9G, CG. 17*welcome to Aixversion 6.1! ***百*G Please see the READ^^E file i n /usr/"! pp/tos for information pert i nert to ** thVs r elease of theAlx Operating System. * $ $SS I注意：每个人最多10个并发，整个堡垒主机可5000个并发，若果打不开新界面，请关掉多有堡垒主机ssh窗口。

齐治堡垒机操作手册(总30页) -CAL-FENGHAI.-(YICAI)-Company One1-CAL-本页仅作为文档封面，使用请直接删除齐治堡垒机操作手册中国旅游集团有限公司信息共享中心2020年2月版本 <>目录第一章建立用户账户 (4)首次访问与默认用户账号 (4)添加用户账号、分配用户角色 (5)建立普通用户账号 (7)快速身份切换 (7)第二章添加目标设备（配置管理员） (8)Windows设备（RDP） (8)条件准备 (8)添加设备 (8)设置密码 (10)Linux设备(SSH、X windows) (12)条件准备 (12)添加设备 (12)设置密码 (13)网络设备（Telnet） (14)条件准备 (14)添加设备 (15)设置null账号密码 (16)设置特权模式（enbale）密码 (17)第三章建立访问控制规则（配置管理员） (18)新建规则 (18)关联用户账户 (19)关联设备 (19)关联系统账号 (19)第四章设备访问（普通用户） (20)环境准备 (20)图形设备 (21)设备访问 (21)字符终端设备访问（Telnet、SSH） (24)Web终端 (24)第三方SSH客户端 (26)第五章操作审计（审计管理员） (28)字符会话审计 (28)命令列表式查看 (29)命令回放 (29)命令查询 (30)5．2图形会话审计 (31)会话列表 (31)会话审计 (31)第一章建立用户账户首次访问与默认用户账号Shterm采用加密型的Http方式进行访问，在浏览器地址栏中输入，如：,由于采用SSL技术，首次访问会出现证书错误提示，如下图：此时点击“继续浏览此网站”，将出现Shterm的登录页面。

如下图：Shterm默认管理员账号和密码均为小写“shterm”，输入用户名和密码后回车即可登录到Shterm操作界面，如下图：添加用户账号、分配用户角色使用缺省管理员帐号登录到Shterm，并打开基本控制-用户账户菜单，如下图：点击“新建用户”，进入用户帐号设置界面：这里不需要填写全部内容，但必须设置标有红色*号项，其他可根据实际情况确定是否需要填写即可：登录名：登录Shterm的用户ID，可以使用数字、字母或. - _等符号，但不能以. - _符号开头作为用户名，例如这里我们设置成admin；密码：选择手动输入或自动设置，默认选择手动输入，依次在设置密码和确认密码栏中输入两次密码；权限：系统默认有4类管理员，分别负责不同的角色，可以将不同的角色权限分配给不同用户，也可以多个管理员权限分配给同一个用户，可根据公司实际情况分配权限，例如我们这里将所有权限分配给admin这个帐号，将这四个管理员选项都勾选上。

堡垒主机用户操作手册运维管理版本2.3.22011-06目录1. 前言 (1)1.1.系统简介 (1)1.2.文档目的 (1)1.3.读者对象 (1)2. 登录系统 (2)2.1.静态口令认证登录 (2)2.2.字证书认证登录 (3)2.3.动态口令认证登录 (4)2.4.LDAP域认证登录 (5)2.5.单点登录工具 (5)3. 单点登录（SS0） (7)3.1.安装控件 (7)3.2.单点登录工具支持列表 (10)3.3.单点登录授权资源查询 (10)3.4.单点登录操作 (11)3.4.1.Windows资源类（域内主机\域控制器\windows2003\2008） (11)3.4.2.Unix\Linux资源类 (14)3.4.3.数据库（独立）资源类 (18)3.4.4.ORACLE_PLSQL单点登录 (19)3.4.5.ORACLE_SQLDeveleper单点登录 (21)3.4.6.MSSQLServer2000查询分析器单点登录 (22)3.4.7.MSSQLServer2000 企业管理器单点登录 (24)3.4.8.SQL Server 2005 Management Studio单点登录25 3.4.9.SQL Server 2008 Management Studio单点登录26 3.4.10.Sybase Dbisqlg单点登录 (27)3.4.11.SQL-Front单点登录 (29)3.4.12.数据库（系统）资源类单点登录（DB2/informix）303.4.13.网络设备（RADIUS\local\其他）资源类 (34)3.4.14.Web应用资源类 (37)1.前言1.1.简介堡垒主机系统运维管理是堡垒主机系统中使用最为频繁的一个平台。

它面向的对象是，企业的运维人员。

该模块是堡垒主机系统为运维人员提供的登录入口。

因此堡垒主机系统加强了登录的认证手段，提高安全性的同时不失用户的方便性。

Shterm实施手册浙江齐治科技有限公司一实施前准备 (3)1.1到货确认 (3)1.2 实施确认 (3)1.3 基本环境和配置准备 (3)1.4 打开相应的端口 (4)1.5 填写《用户准备信息》表格 (4)1.6 用户提供的设备硬件基本要求 (5)1.7 我们需要准备的介质及工具 (5)1.8 可能会存在的问题准备 (6)二产品实施 (7)2．1 办理机房出入手续 (7)2．2 设备上架 (7)2．3 设备加电 (7)2．4 系统安装 (7)2．5 基本配置 (7)2．6 HA配置 (8)2．7授权 (8)2．8 Shterm配置 (8)2．9 HA检查 (8)2．10 实施HA过程注意点 (9)2．11 可能会存在的问题准备 (9)三实施后 (10)3．1 文档提交 (10)3．2 产品培训 (10)一实施前准备1.1到货确认设备到货后，和客户电话确认，并初步确定好实施的时间，确定好设备上架和人员出入机房需要准备哪些手续；1.2 实施确认确定好实施的时间，还需要确认以下信息：a)单机部署还是双机部署 //合同里会明确说明部署方式，可跟公司商务电话确认；b)设备硬件配置情况 //公司按合同发货时，会提供设备硬件配置信息，如果没有，可以找上海办事处徐永强了解设备硬件配置情况；c)双机是否做HA部署 //跟客户邮件确认d)硬件上架是否需要装导轨 //如果客户机柜是19英寸标准机架，可以考虑安装导轨，否则只能上挡板，此项需要跟客户确认1.3 基本环境和配置准备1.3.1 设备上架占用空间1U设备占用机架 ( 503mm长 x 437mm宽 x 43mm高) 空间2U设备占用机架 ( 648mm长 x 437mm宽 x 89mm高) 空间1.3.2 网络准备1.3.2.1 单机部署a)准备好相应数量的220V交流电源插孔，电源功率为520W //单电源准备一个，双电源准备两个b)准备好配给设备的一个IP地址及相应的子网掩码和网关c)设备的hostname和domainnamed)1根普通网线 //连接设备到交换机e)DNS //设置后才能从Shterm本机的smtp服务发送邮件f)NTP服务器地址 //如果客户内部有NTP时间同步服务器g)机架位置 //方便快速上架1.3.2.2 双机HA部署a)准备好相应数量的220V交流电源插孔，电源功率为720W //单电源准备一个，双电源准备两个b)3个连续的IP地址 //前后地址作为设备的实际地址，中间的IP地址作为漂移地址，也就是用户访问使用的地址c)设备的hostname和domainnamed)3根普通网线e)网关地址f)DNS //设置后才能从Shterm本机的smtp服务发送邮件g)ping节点地址 //从3个IP地址到ping节点必须能通h)NTP服务器地址 //如果客户内部有NTP时间同步服务器i)机架位置 //方便快速上架1.3.3.3 打开相应的端口保证用户能够访问Shterm端口22，443，5899，3389。

堡垒机的使用方法堡垒机（Bastion Host）是一种用于加强网络安全的服务器，主要用于控制和监视对内部网络的远程访问。

下面是堡垒机的使用方法：1. 安装和配置：首先，选择一个适合的堡垒机设备，并根据厂商提供的安装指南进行安装。

安装完成后，根据网络环境和需求进行配置，包括网络地址、访问控制列表等。

2. 用户管理：通过堡垒机管理界面，添加和管理堡垒机的用户账号。

每个用户账号都有特定的权限和角色，例如管理员、操作员、普通用户等。

3. 访问控制：设置堡垒机的访问控制规则，限制远程访问的来源IP、端口等。

可以通过网络地址转换（NAT）等技术实现访问控制。

4. 远程登录：用户可以使用SSH等安全协议，通过堡垒机远程登录到内部网络中的目标主机。

在用户登录之前，堡垒机会验证用户身份，例如使用用户名和密码、密钥验证等方式。

5. 日志记录与审计：堡垒机可以记录用户登录和操作行为，生成详细的日志。

管理员可以通过日志分析来监控用户行为，及时发现异常操作和安全事件。

6. 会话管理：堡垒机可以对用户会话进行管理，包括会话的创建、关闭、超时等设置。

管理员可以随时查看用户会话状态，并主动终止异常会话。

7. 安全策略：堡垒机提供一系列安全策略，用于保护内部网络的安全。

例如禁止用户上传下载文件、禁止使用特定命令等。

8. 综合安全管理：堡垒机还可以集成其他安全设备和系统，例如防火墙、入侵检测系统等，形成综合的安全管理体系，提高网络的整体安全性。

需要注意的是，堡垒机的使用方法可能会因具体设备和厂商而有所差异，因此在使用之前，建议详细阅读设备的用户手册和技术文档，并遵循厂商提供的指南和最佳实践。

堡垒机使用说明1、堡垒机登录使用管理员提供的地址、帐号、密码，通过浏览器即可登录，推荐使用主流浏览器IE、chrome、firefox等。

如启用了手机动态码二次认证，需在手机端安装FreeOTP应用（支持Android、iOS系统），并按系统提示进行操作。

第一次登录时会提示安装shterm插件，一定要安装。

还要安装Java运行环境，登录后在右上角工具下载中可以下载。

安装上述软件后，重启浏览器，重新登录堡垒机。

2、服务器登录登录堡垒机后就会看到可登录的设备，点选要登录的设备，在设备对应的服务中选择远程连接的服务，通常linux为putty，Windows为rdp 。

登录后即可进行服务器操作。

3、服务器远程操作通过堡垒机进行服务器的远程操作与正常远程操作基本没有差异，正常操作即可。

由于服务器管理员帐号已经内置到堡垒机中，所以请不要修改已有管理员帐号及密码，不要修改网络配置、防火墙配置，也不要安装各类杀毒、防火墙软件，否则将影响正常登录，网信中心IDC会做统一防护。

4、退出服务器操作结束后，正常退出远程连接即可，然后注销堡垒机的登录。

注意事项：1、服务器严格执行软件最小化原则，不得安装各种与应用服务无关的软件。

2、不得将服务器用于与应用服务无关的其他用途。

3、堡垒机有详细的审计记录，所有通过堡垒机的操作都会记录在案，包括通过堡垒机输入的各类密码。

4、各类违规操作一经发现，将根据操作的危害性、造成的后果等调整或限制服务器的权限。

5、堡垒机的帐号专人专用，使用人必须提前登记，人员出现变更要及时更新登记，如出现任何不良影响，都将追究登记人责任。

齐治堡垒机操作手册中国旅游集团有限公司信息共享中心2020年2月版本 <V1.0>目录第一章建立用户账户 (3)1.1 首次访问与默认用户账号 (3)1.2 添加用户账号、分配用户角色 (4)1.3建立普通用户账号 (6)1.4快速身份切换 (6)第二章添加目标设备（配置管理员） (7)2.1 Windows设备（RDP） (7)2.1.1 条件准备 (7)2.1.2 添加设备 (7)2.1.3 设置密码 (8)2.2 Linux设备(SSH、X windows) (10)2.2.1 条件准备 (10)2.2.2 添加设备 (10)2.2.3 设置密码 (11)2.3网络设备（Telnet） (12)2.3.1 条件准备 (12)2.3.2 添加设备 (12)2.3.3 设置null账号密码 (13)2.3.4 设置特权模式（enbale）密码 (14)第三章建立访问控制规则（配置管理员） (15)3.1新建规则 (16)3.2关联用户账户 (16)3.3 关联设备 (17)3.4 关联系统账号 (17)第四章设备访问（普通用户） (18)4.1环境准备 (18)4.2图形设备 (18)4.3 设备访问 (18)4.4字符终端设备访问（Telnet、SSH） (22)4.5 Web终端 (22)4.6 第三方SSH客户端 (23)第五章操作审计（审计管理员） (26)5.1字符会话审计 (26)5.1.1 命令列表式查看 (27)5.1.2 命令回放 (27)5.1.3 命令查询 (28)5．2图形会话审计 (28)5.2.1 会话列表 (29)5.2.2 会话审计 (29)第一章建立用户账户1.1 首次访问与默认用户账号Shterm采用加密型的Http方式进行访问，在浏览器地址栏中输入https://Shterm堡垒机IP地址即可，如：https://10.8.251.70,由于采用SSL技术，首次访问会出现证书错误提示，如下图：此时点击“继续浏览此网站”，将出现Shterm的登录页面。

齐治堡垒机操作手册中国旅游集团信息共享中心2020年2月版本 <V1.0>目录第一章建立用户账户 (3)1.1 首次访问与默认用户账号 (3)1.2 添加用户账号、分配用户角色 (4)1.3建立普通用户账号 (6)1.4快速身份切换 (6)第二章添加目标设备（配置管理员） (7)2.1 Windows设备（RDP） (7)2.1.1 条件准备 (7)2.1.2 添加设备 (7)2.1.3 设置密码 (8)2.2 Linux设备(SSH、X windows) (10)2.2.1 条件准备 (10)2.2.2 添加设备 (10)2.2.3 设置密码 (11)2.3网络设备（Telnet） (12)2.3.1 条件准备 (12)2.3.2 添加设备 (12)2.3.3 设置null账号密码 (13)2.3.4 设置特权模式（enbale）密码 (14)第三章建立访问控制规则（配置管理员） (15)3.1新建规则 (16)3.2关联用户账户 (16)3.3 关联设备 (17)3.4 关联系统账号 (17)第四章设备访问（普通用户） (18)4.1环境准备 (18)4.2图形设备 (18)4.3 设备访问 (18)4.4字符终端设备访问（Telnet、SSH） (22)4.5 Web终端 (22)4.6 第三方SSH客户端 (23)第五章操作审计（审计管理员） (26)5.1字符会话审计 (26)5.1.1 命令列表式查看 (27)5.1.2 命令回放 (27)5.1.3 命令查询 (28)5．2图形会话审计 (28)5.2.1 会话列表 (29)5.2.2 会话审计 (29)第一章建立用户账户1.1 首次访问与默认用户账号Shterm采用加密型的Http方式进行访问，在浏览器地址栏中输入https://Shterm堡垒机IP地址即可，如：https://10.8.251.70,由于采用SSL技术，首次访问会出现证书错误提示，如下图：此时点击“继续浏览此”，将出现Shterm的登录页面。

运维操作管理系统（堡垒机）解决方案浙江齐治科技有限公司2013年8月<VER 3.3.0>声明本文件所有权和解释权归齐治科技所有，未经齐治科技书面许可，不得复制或向第三方公开。

修订历史记录（版本控制）（文档类型A-内部归档类， D-外部交付类）（保密级别A-公开，B-有选择公开，C-不公开）目录1现状分析 (2)2解决方案 (4)3功能实现 (11)4方案优势 (25)5客户收益 (27)6成功案例 (28)1现状分析1.1运维管理现状客户的维护部门主要负责应用系统以及信息系统基础平台的建设和维护，以及局内网络的建设和维护。

现有数十台各种各样的服务器，其日常运维过程中都普遍存在以下现状：➢用户的访问方式以内部直接远程访问为主。

其中运维操作的远程访问方式又以SSH/Telnet/RDP/VNC/X-window/http/https/FTP/SFTP为主，设备数量比较多；➢维护人员较多，并且部分设备的维护交由第三方维护厂商完成，维护操作比较分散，权限变更复杂；➢使用设备上的共享系统账号进行认证与授权；➢无法有效落实定期修改设备密码的规定；➢用户的运维操作无审计；➢需要定期接受等保、SOX、ISO27001等法律法规标准的检查。

1.2存在问题➢维护方式不统一；➢共享账号难控制；➢操作行为难约束；➢设备密码难管理；➢运维操作无审计；➢法律法规难遵从；1.3问题分析出现以上问题的主要原因在于：➢运维操作不规范；➢运维操作不透明；➢运维操作风险不可控；1.4带来的后果➢违规操作可能会导致设备/服务异常或者宕机；➢恶意操作可能会导致系统上敏感数据/信息被篡改、被破坏；➢当发生故障的时候，无法快速定位故障原因或者责任人；2解决方案2.1实现目标通过Shterm的部署，可以有效的解决运维部门当前运维过程中存在的各种问题：➢以堡垒方式，形成统一的运维入口，实现运维操作的唯一路径；➢引入主从帐号管理概念，使用户认证与系统授权分开，从而有效解决系统帐号共享使用，带来的身份不唯一的问题；➢基于用户、设备、系统帐号、协议类型、登录规则的严格访问控制设置，有效规避了非授权访问带来的问题；➢密码托管和自动改密，使得密码管理规范能有效落地，避免了因人员的流动还会导致设备密码存在外泄的风险；➢能完整记录运维人员的操作过程，当系统因人为操作导致故障的时候，能够快速定位故障原因和责任人；➢可以满足等保、SOX、ISO270001、BS7799等安全规范对运维操作管理的要求。

齐治堡垒机操作手册中国旅游集团有限公司信息共享中心2020年2月版本<V1.0>目录第一章建立用户账户 (5)1.1 首次访问与默认用户账号 (5)1.2 添加用户账号、分配用户角色 (6)1.3建立普通用户账号 (8)1.4快速身份切换 (8)第二章添加目标设备（配置管理员） (9)2.1 Windows设备（RDP） (9)2.1.1 条件准备 (9)2.1.2 添加设备 (9)2.1.3 设置密码 (11)2.2 Linux设备(SSH、X windows) (13)2.2.1 条件准备 (13)2.2.3 设置密码 (14)2.3网络设备（Telnet） (15)2.3.1 条件准备 (15)2.3.2 添加设备 (16)2.3.3 设置null账号密码 (17)2.3.4 设置特权模式（enbale）密码 (18)第三章建立访问控制规则（配置管理员） (19)3.1新建规则 (19)3.2关联用户账户 (20)3.3 关联设备 (20)3.4 关联系统账号 (20)第四章设备访问（普通用户） (21)4.1环境准备 (21)4.2图形设备 (22)4.3 设备访问 (22)4.4字符终端设备访问（Telnet、SSH） (25)4.5 Web终端 (25)4.6 第三方SSH客户端 (27)第五章操作审计（审计管理员） (30)5.1字符会话审计 (30)5.1.1 命令列表式查看 (30)5.1.3 命令查询 (31)5．2图形会话审计 (32)5.2.1 会话列表 (32)5.2.2 会话审计 (33)第一章建立用户账户1.1 首次访问与默认用户账号Shterm采用加密型的Http方式进行访问，在浏览器地址栏中输入https://Shterm堡垒机IP地址即可，如：https://10.8.251.70, 由于采用SSL技术，首次访问会出现证书错误提示，如下图：此时点击“继续浏览此网站”，将出现Shterm的登录页面。

堡垒主机操作管理流程一、概述为了完善业务需要，提高内控堡垒主机系统的管理规范性，运维管理人员应依据堡垒主机操作管理流程进行操作。

堡垒主机操作管理流程包含用户账户申请、用户资源申请、授权人审批管理、授权账户安全管理、授权资源操作、责任划分等流程项。

二、管理流程管理流程主要是由普通用户想要申请资源而发起申请至指定审批人，审批人根据实际情况予以审批或拒绝，或转发上级领导继续审批，审批环节可以根据需要分为一级至多级，直至有领导同意后，选择执行人去将此申请落实。

自然人（申请用户）申请、接入资源申请流程主要包括以下几类：●用户账户申请流程向系统管理员或安全部门负责人发起自然人账户申请，并填写账户接入申请单申请新的接入账户，由系统管理员或安全部门负责人审核后给予账户的用户名密码授权。

●资源接入申请流程资源相关负责人申请资源接入到内控堡垒主机系统，用户申请资源接入时需详细列出管理的资源信息,资源信息包括主机系统、登录账户密码、主机IP地址等。

资源信息提交后由系统管理员核对资源信息和接入账户的对应关系。

●自然人变更流程自然人申请调整岗位，申请调整资源授权，申请数字证书等需向系统管理员提交变更申请单。

●自然人注销流程由于工作调离或资源主机下架等造成自然人账户需注销停用，需要向系统管理员作出说明，并由系统管理员审核后对自然人账户进行注销停用处理。

三、账户管理帐号管理包含对所有服务器、网络设备帐号的集中管理。

帐号和资源的集中管理是集中授权、认证和审计的基础。

帐号管理可以完成对帐号整个生命周期的监控和管理，而且还降低了企业管理大量用户帐号的难度和工作量。

同时，通过统一的管理还能够发现帐号中存在的安全隐患，并且制定统一的、标准的用户帐号安全策略。

授权账户的管理按照职责划分可分为系统管理员、安全审计员、普通账号●系统管理员负责对申请人账户的创建、变更和撤销;负责资源的创建、修改、删除、授权。

●安全审计员负责审核、登记备案自然人的用户权限和管理资源，并进行定期审计。