SDM安全開發(fā)管理系統(tǒng)環(huán)境使用人員培訓(xùn)手冊

1、日常維護(hù)操作手冊安全開發(fā)管理系統(tǒng)環(huán)境使用人員培訓(xùn)手冊中國建設(shè)銀行廣州開發(fā)中心二零一一年十一月文檔管理信息表主 題環(huán)境使用人員培訓(xùn)手冊內(nèi) 容安全開發(fā)管理系統(tǒng)使用操作說明關(guān) 鍵 字參考文檔提交時(shí)間撰 寫 人文檔修改記錄表修改人修改時(shí)間修改內(nèi)容目 錄1簡介51.1名詞解釋51.2訪問服務(wù)器地址與端口設(shè)置62telnet協(xié)議操作說明72.1登錄訪問服務(wù)器72.2主菜單介紹82.3所有資源列表112.4重新選擇分組132.5訪問目標(biāo)主機(jī)142.6幫助信息163ssh協(xié)議操作說明183.1虛擬終端配置方法183.2主界面214ftp協(xié)議操作說明274.1登錄訪問服務(wù)器274.2轉(zhuǎn)接后臺主機(jī)294.3圖形界

2、面的ftp客戶端295rdp協(xié)議操作說明326http協(xié)議操作說明356.1瀏覽器設(shè)置356.2訪問url377xwindows協(xié)議操作說明387.1啟動xserver387.1.1xmanager387.2登錄訪問服務(wù)器391 簡介安全開發(fā)管理系統(tǒng)為環(huán)境使用人操作主機(jī)提供安全的訪問渠道，并且對環(huán)境使用人通過安全開發(fā)管理系統(tǒng)在主機(jī)上的操作行為和訪問記錄進(jìn)行實(shí)時(shí)監(jiān)控審計(jì)。 在原有的訪問模式下，訪問人員直接登錄主機(jī)進(jìn)行遠(yuǎn)程操作訪問，而在安全開發(fā)管理系統(tǒng)上線后，訪問人員須先連接到訪問服務(wù)器上進(jìn)行身份認(rèn)證，然后選擇要訪問的主機(jī)地址和相應(yīng)的系統(tǒng)帳戶，由訪問服務(wù)器完成從本地到后臺主機(jī)之間的自動轉(zhuǎn)接。與原有

3、的訪問模式相比，對于環(huán)境使用人而言，操作流程上僅僅在連接后臺主機(jī)時(shí)有所變化，在連接到后臺主機(jī)后的操作方式和過程則完全相同。本文檔描述遠(yuǎn)程登錄的詳細(xì)操作過程。1.1 名詞解釋l 系統(tǒng)帳戶后臺主機(jī)上的登錄用戶，由操作系統(tǒng)創(chuàng)建，具有操作體統(tǒng)所系統(tǒng)賦予的用戶名、組別、權(quán)限和密碼等等。l 通行證帳戶安全開發(fā)管理系統(tǒng)為環(huán)境使用人分配的帳戶，用于在訪問服務(wù)器上的身份驗(yàn)證以及訪問權(quán)限控制。環(huán)境使用人員先以通行證帳戶在訪問服務(wù)器上通過身份驗(yàn)證后再選擇要登錄的后臺主機(jī)地址以及在后臺主機(jī)上的系統(tǒng)帳戶。1.2 訪問服務(wù)器地址與端口設(shè)置ip地址：訪問服務(wù)器1：10訪問服務(wù)器2：128.128.7

4、6.111端口：telnet協(xié)議1282ftp協(xié)議1298ssh協(xié)議1281http協(xié)議1280rdp協(xié)議13389xwindows協(xié)議12832 telnet協(xié)議操作說明安全開發(fā)管理系統(tǒng)提供標(biāo)準(zhǔn)的telnet協(xié)議的安全訪問渠道，任何基于標(biāo)準(zhǔn)telnet協(xié)議的客戶端以及終端仿真軟件，不論是操作系統(tǒng)的telnet命令還是netterm、crt、securecrt等，都可以直接通過訪問服務(wù)器連接到后臺主機(jī)。訪問人員在需要對系統(tǒng)進(jìn)行開發(fā)操作時(shí)，需將telnet的目標(biāo)地址改成訪問服務(wù)器的地址先建立到訪問服務(wù)器的連接。在本操作手冊中只描述連接到訪問服務(wù)器后的交互過程，而不再關(guān)注系統(tǒng)訪問人員所采用的客戶端

5、軟件。2.1 登錄訪問服務(wù)器訪問人員首先通過telnet工具連接到訪問服務(wù)器，如：telnet 10 1282在終端畫面上可以看到輸入用戶名的提示，此時(shí)輸入通行證帳戶。如下圖“test”。回車后訪問服務(wù)器提示輸入口令：2.2 修改靜態(tài)口令通行證賬戶的初始密碼為空，當(dāng)訪問人員使用新的通行證第一次登錄成功訪問服務(wù)器后，請立即修改靜態(tài)口令。請根據(jù)圖中提示修改密碼，并注意新密碼必須大于6位。2.3 主菜單介紹通行證帳戶認(rèn)證通過后，訪問服務(wù)器將在終端上顯示該用戶的通行證號碼（安全開發(fā)管理系統(tǒng)的內(nèi)部識別代碼），并在下一行顯示“通行證檢查通過”等信息。 然后列出該用戶可以訪問的目標(biāo)主

6、機(jī)資源列表。系統(tǒng)訪問人員也可以輸入以下粗體字母選擇其他操作：“a. all - 顯示所有應(yīng)用服務(wù)器組的主機(jī)資源”，若系統(tǒng)訪問人員選擇的分組包含可訪問主機(jī)資源數(shù)大于10，會出現(xiàn)這個菜單項(xiàng)。按“a”，將瀏覽到該組包含的所有主機(jī)資源列表，并可以從中選擇一個進(jìn)行訪問?！癶. help - 幫助信息”，主要說明在瀏覽主機(jī)資源列表時(shí)的移動、查找及連接目標(biāo)主機(jī)的方法。 “x. exit - 退出”，按“x”，中斷對后臺主機(jī)的連接，退出安全開發(fā)管理系統(tǒng)。2.4 所有資源列表若開發(fā)系統(tǒng)人員的可訪問資源數(shù)超過15個，系統(tǒng)訪問人員在主菜單中輸入“a”后回車，控制臺將顯示該分組下包含的能夠訪問的所有主機(jī)資源列表。例如

7、，訪問資源列表后，按“a”并回車，顯示通行證賬戶包含的能夠訪問的所有主機(jī)資源信息，如下圖所示：通行證此時(shí)只需要記住訪問資源前面的序號，回到主界面后輸入該序號，即可以相應(yīng)的系統(tǒng)帳戶訪問該目標(biāo)主機(jī)。在瀏覽過程中的翻頁、查找操作，能夠幫助通行證快速命中目標(biāo)。通行證可以按目標(biāo)主機(jī)系統(tǒng)用戶名、按目標(biāo)ip地址、按主機(jī)名字，按轉(zhuǎn)接訪問服務(wù)器等等信息來查找。不再需要逐字錄入ip地址和系統(tǒng)帳戶。在瀏覽主機(jī)資源列表時(shí)，可使用如下快捷鍵（均為小寫）：k上移一行j下移一行ctrl-b上翻一頁ctrl-f下翻一頁/str查找字符串“str”n向下重復(fù)查找n向上重復(fù)查找2.5 訪問目標(biāo)主機(jī)1) 輸入序號系統(tǒng)訪問人員登錄訪

8、問服務(wù)器后，打開可訪問主機(jī)資源列表后，此時(shí)只需要記住訪問資源前面的序號，回到顯示資源列表界面后輸入該序號，即可以相應(yīng)的系統(tǒng)帳戶訪問該目標(biāo)主機(jī)。例如，系統(tǒng)帳戶root需要以ssh協(xié)議訪問目標(biāo)主機(jī)74，輸入該訪問資源前面的序號“7”后回車，即可建立到該目標(biāo)主機(jī)的連接。2) 直接輸入主機(jī)資源開發(fā)系統(tǒng)人員登錄訪問服務(wù)器后，當(dāng)清楚自己的訪問資源時(shí)，可直接輸入訪問資源信息，訪問遠(yuǎn)程目標(biāo)主機(jī)。如下圖所示：注意：若直接輸入的訪問資源不在該用戶的可訪問資源列表中，將不能訪問該目標(biāo)主機(jī)。當(dāng)試圖連接該系統(tǒng)訪問人員所有可訪問資源列表中不存在的主機(jī)資源時(shí)，系統(tǒng)將自動拒絕與目標(biāo)主機(jī)建立連接。2.6

9、幫助信息通行證輸入“h”，控制臺將顯示幫助信息。3 ssh協(xié)議操作說明安全開發(fā)管理系統(tǒng)提供標(biāo)準(zhǔn)的ssh協(xié)議的安全訪問渠道，任何基于標(biāo)準(zhǔn)ssh協(xié)議的客戶端以及終端仿真軟件，不論是操作系統(tǒng)的ssh命令還是securecrt等，都可以直接通過訪問服務(wù)器連接到后臺主機(jī)。訪問人員在需要登錄后臺主機(jī)時(shí)，只需將ssh的目標(biāo)地址改成訪問服務(wù)器的地址，目標(biāo)端口改成1281，并以通行證帳戶以及口令作為ssh登錄訪問服務(wù)器時(shí)所輸入的帳戶名與口令即可登錄到訪問服務(wù)器上。訪問人員登錄到訪問服務(wù)器上并成功通過身份驗(yàn)證后所見到的主菜單界面和操作選項(xiàng)與telnet協(xié)議基本相同。3.1 虛擬終端配置方法對于大多數(shù)用戶，會采用某

10、個虛擬終端軟件，以ssh的方式來訪問主機(jī)。這里以securecrt為例子，介紹對虛擬終端軟件進(jìn)行ssh登錄的配置。選中“文件-連接”菜單項(xiàng)：在下面的窗口中，點(diǎn)擊紅圈所指示的按鈕“新建會話”在“協(xié)議”欄目中，按選擇ssh2協(xié)議，點(diǎn)擊“下一步”?！爸鳈C(jī)名”填寫訪問服務(wù)器地址，“端口”設(shè)置成訪問服務(wù)器提供的端口1281，“用戶名”填寫通行證帳戶。再點(diǎn)擊“下一步”。給這個新建的會話一個直觀的名字，和相關(guān)描述信息（可選填），點(diǎn)擊“完成”。以后，就可以通過securecrt的菜單，直接以ssh方式連接到訪問服務(wù)器。3.2 主界面在訪問服務(wù)器認(rèn)證通行證帳戶身份通過后將出現(xiàn)如下屏幕界面：4 ftp協(xié)議操作說明

11、4.1 登錄訪問服務(wù)器在cmd窗口運(yùn)行ftp后在ftp提示符下設(shè)置目標(biāo)地址和端口，如下圖所示：此時(shí)輸入通行證帳戶和口令認(rèn)證通過后如果該通行證帳戶可以使用多個目標(biāo)地址或者系統(tǒng)帳戶時(shí)，返回的輸出信息將會如下圖所示：輸入命令“cd 主機(jī)前的序號”后即可以指定的系統(tǒng)帳戶轉(zhuǎn)接登錄到該主機(jī)。如：在上圖示例中輸入如下命令即可以root用戶的身份登錄到ip地址為2的主機(jī)上。如果該通行證帳戶只能使用唯一指定的系統(tǒng)帳戶和后臺主機(jī)時(shí)，在訪問服務(wù)器認(rèn)證維護(hù)管理帳戶的身份通過后將自動為其建立到指定的系統(tǒng)帳戶和后臺主機(jī)的服務(wù)轉(zhuǎn)接。此外也可輸入“cd usernamehostip:port”后回車，在

12、訪問權(quán)限檢查通過后即可登錄該主機(jī)。其中:port是登錄主機(jī)的ftp協(xié)議端口號，默認(rèn)為21。4.2 轉(zhuǎn)接后臺主機(jī)在建立到后臺主機(jī)的ftp連接后，要求訪問人員輸入“user 用戶名”并在提示輸入口令后輸入對應(yīng)的口令。在成功登錄后臺主機(jī)以后，所有ftp操作方式和過程與標(biāo)準(zhǔn)的ftp完全相同。4.3 圖形界面的ftp客戶端因?yàn)榘踩_發(fā)管理系統(tǒng)的ftp轉(zhuǎn)接服務(wù)在建立ftp連接的初期復(fù)用了標(biāo)準(zhǔn)ftp協(xié)議的一些命令，所以當(dāng)通行證帳戶有多個可訪問目標(biāo)時(shí)存在一段非標(biāo)準(zhǔn)的操作過程。為了便于管理維護(hù)人員的操作，安全開發(fā)管理系統(tǒng)提供了圖形化的ftp客戶端工具。該客戶端工具是基于filezilla改編的建行專用版綠色免費(fèi)

13、軟件，可同時(shí)支持標(biāo)準(zhǔn)的ftp/sftp以及訪問服務(wù)器模式的ftp/sftp操作。將ftp工具壓縮包解壓到任意一個目錄下，在該目錄下運(yùn)行filezilla.exe命令，或者雙擊filezilla.exe的圖標(biāo)后，即可打開ftp客戶端主窗口。從菜單中選擇“文件-站點(diǎn)管理器.”或者按快捷鍵“ctrl-s”即可打開站點(diǎn)管理對話框。在站點(diǎn)管理對話框中輸入新建站點(diǎn)的名稱、主機(jī)地址、端口、管理維護(hù)人員帳戶（登錄用戶名），服務(wù)類型選擇“ftp”。如下圖所示：設(shè)置站點(diǎn)后，選擇連接，將彈出口令輸入對話框。輸入認(rèn)證口令后即可連接到訪問服務(wù)器，然后彈出選擇目標(biāo)主機(jī)資源的對話框：從對話框中選擇要訪問的目標(biāo)主機(jī)資源，然后

14、按提示輸入主機(jī)認(rèn)證口令，通過后即可連接到目標(biāo)主機(jī)并下載目標(biāo)主機(jī)的目錄和文件清單。此后的操作與標(biāo)準(zhǔn)的ftp操作完全相同。4.4 sftp配置與使用sftp較fpt更為安全。要求目標(biāo)主機(jī)一定要安裝ssh協(xié)議并且正常啟動sshd服務(wù)。而且sftp在連接目標(biāo)主機(jī)可以有效避免目標(biāo)主機(jī)目錄顯示不出來的情況。具體配置使用如下。1.站點(diǎn)管理2新建站點(diǎn)3.配置站點(diǎn)host為10；端口1281；servertype sftp using ssh2。輸入通行證名稱和密碼后連接。出現(xiàn)如圖提示選“是”4.雙擊選擇紅框處權(quán)限5登錄后效果如圖，此時(shí)可正常選擇路徑拖拽文件上傳或下載。5 rdp協(xié)議操作

15、說明microsoft windows remote desktop protocol（rdp）采用的是基于圖形化的遠(yuǎn)程訪問協(xié)議，安全開發(fā)管理系統(tǒng)提供了專用的rdp客戶端程序通過訪問服務(wù)器登錄到后臺主機(jī)的遠(yuǎn)程系統(tǒng)桌面上。下載rdp工具并在任意位置解壓，雙擊rdp運(yùn)維工具.exe，出現(xiàn)如下界面：由于遠(yuǎn)程桌面協(xié)議采用了訪問服務(wù)器提供的端口而不是系統(tǒng)默認(rèn)的3389端口，因此在連接訪問服務(wù)器之前需要修改通信端口。在以上窗口中點(diǎn)擊“設(shè)置”按鈕，出現(xiàn)如下對話框：將端口從默認(rèn)的3389改成訪問服務(wù)器提供的端口13389后點(diǎn)擊“確定”即可完成設(shè)置。建立遠(yuǎn)程桌面連接時(shí)，在“訪問服務(wù)器地址”一欄中輸入訪問服務(wù)器的

16、ip：10，通信證名稱及密碼，然后點(diǎn)擊“登錄”按鈕。選中開發(fā)中心對應(yīng)系統(tǒng)點(diǎn)擊確定出現(xiàn)權(quán)限列表。如下圖所示：在列表中點(diǎn)擊要訪問的目標(biāo)主機(jī)，點(diǎn)擊“確認(rèn)”?？梢娙缦陆缑妫航K端模式允許多用戶同時(shí)登陸?？刂婆_模式相當(dāng)于管理員登陸目標(biāo)主機(jī)本地操作。本機(jī)桌面上出現(xiàn)遠(yuǎn)程主機(jī)的登錄界面，然后用戶就可以登錄、并操作遠(yuǎn)程主機(jī)。6 http協(xié)議操作說明本文將以microsoft internet explorer為例介紹如何使用瀏覽器通過訪問服務(wù)器訪問url資源。6.1 瀏覽器設(shè)置在瀏覽器中，點(diǎn)擊“工具-internet選項(xiàng)”，選擇“連接”標(biāo)簽頁中的“局域網(wǎng)設(shè)置”。在彈出對話框中選擇“局域網(wǎng)設(shè)

17、置”，選中“為lan使用代理服務(wù)器”，輸入訪問服務(wù)器的ip地址和端口號，點(diǎn)擊確定。6.2 訪問url在瀏覽器的地址欄輸入要訪問的url鏈接，確定。在第一次打開瀏覽器窗口時(shí)會彈出如下窗口：在以上窗口的“用戶名”和“密碼”欄中輸入通行證帳戶和口令后點(diǎn)擊確定，認(rèn)證通過后即可通過訪問服務(wù)器訪問url資源。7 xwindows協(xié)議操作說明采用xwindows協(xié)議對后臺主機(jī)進(jìn)行運(yùn)行維護(hù)時(shí)，通常情況下是先在本地啟動xserver，本系統(tǒng)使用xmanger的passive作為本地xserver，然后登錄訪問服務(wù)器，完成身份認(rèn)證以及選擇要運(yùn)行的xclient。啟動本地xserver。登錄訪問服務(wù)器，完成身份認(rèn)證

18、以及選擇要運(yùn)行的xclient。協(xié)議配置對于xwindows訪問協(xié)議，在配置權(quán)限時(shí)需配置擴(kuò)展字段一、擴(kuò)展字段二。擴(kuò)展字段一為訪問后臺主機(jī)協(xié)議，ssh或telnet。擴(kuò)展字段二為登錄目標(biāo)主機(jī)后啟動圖形界面的應(yīng)用程序名，如xterm、kterm等。設(shè)置xwindows訪問協(xié)議時(shí)，約定協(xié)議類型選擇xwin，協(xié)議名稱設(shè)置成xwin_aaa_bbb格式，其中aaa可以是telnet或者ssh，即擴(kuò)展字段一，bbb為xterm或者kterm，不需要帶路徑，相當(dāng)于擴(kuò)展字段二。7.1 啟動xmanger的passive服務(wù)從啟動菜單菜單中選擇“xmanager - xmanager passive”，或者在命令行中從xmanager安裝目錄下運(yùn)行xmanager.exe即可。啟動成功后在屏幕右下方可以看到xmanager的小圖標(biāo)：7.2 登錄訪問服務(wù)器從本地以telnet命令連接訪問服務(wù)器提供