玄武之域3—SSH资源的创建、授权和使用

背景

SSH协议是企业服务器管理的最重要协议，没有之一。因为SSH看似是一种访问协议，但是其实囊括了如下场景：

1. 运行远程命令
2. 上传下载文件
3. 操作系统快速监控

对于SSH的管控极为重要，如果把SSH协议的root用户或者sudo用户泄露了，相当于把整个服务双手奉上。本文就描述在用户不知道密码的情况下，完成对于操作系统命令的运行、文件的上传和下载。

具体过程

1. 使用管理员创建“资源管控赋权角色”和“资源运维角色”两个用户
2. 使用“资源管控赋权角色”用户登录系统创建服务器资源中的SSH资源，然后把资源赋权给“资源运维角色”用户
3. “资源运维角色”用户登录系统使用服务器资源

步骤1：

请参考“玄武之域2—数据库资源的创建和授权”中的步骤一，这里不再重复。

步骤2：

用资源管理员test_db_mgr登录系统后，按照下图方式进行资源创建。

然后安装下图把创建的资源进行授权

接下来通过如下界面授权给目标用户

注意：大家可以通过如下界面窗口给被授权用户指定访问时间。

步骤3：

用运维人员账号test_db_user登录系统后，能够看到被授权的资源。

当用户打开被授权资源后，如果有对应权限，可以按照下面的方式打开SSH命令窗口。XGuard的命令窗口非常好用，因为可以进行按钮的定义，也可以把命令先放在文本域内，对命令进行选择性发送运行。

如果有对应权限，可以按照下面方式打开单独的文件传输窗口。

如果有对应权限，可以按照下面的方式在一个界面中打开命令和文件窗口。

最后用户还可以打开监控窗口，快速查看一下服务器的状态。

总结

XGuard玄武之域的SSH管控不但能够让用户在不知密码的情况下完成工作，而且功能非常强大。其实SSH的执行过程还能进行后台的审计，由于篇幅原因，本文先略过，后续我们在讲述审计功能的时候单独进行描述。总之，XGuard简单易用，完全可以胜任SSH云堡垒机的功能。