Shell Jump zum Zugriff auf ein Remote-Netzwerkgerät verwenden

Verbinden Sie sich mithilfe eines Shell Jump schnell mit einem SSH- oder Telnet-fähigen Netzwerkgerät, um die Befehlszeile auf diesem Remote-System verwenden zu können. Führen Sie beispielsweise ein standardisiertes Skript auf mehreren Systemen aus, um einen benötigten Patch zu installieren oder ein Netzwerkproblem zu beheben. Administratoren können die Befehlsfilterung aktivieren, um zu verhindern, dass Benutzer an SSH-verbundenen Endpunkten versehentlich schädliche Befehle verwenden.

Für das SSH-Protokoll können Sie Ihr eigenes SSH-Tool verwenden. Weitere Informationen finden Sie in Einstellungen und Voreinstellungen in der Zugriffskonsole ändern.

 

Um Ihr eigenes Tool verwenden zu können, müssen Sie Protocol Tunnel Jump in /login > Benutzer & Sicherheit > Benutzer > Jump Technology > Protocol Tunnel Jump aktivieren.

Erstellen eines symbolischen Shell Jump-Links

Um einen symbolischen Shell Jump-Link zu erstellen, klicken Sie auf die Schaltfläche Erstellen in der Jump-Schnittstelle. Wählen Sie aus der Dropdown-Liste Shell Jump. Symbolische Shell Jump-Links erscheinen in der Jump-Schnittstelle genauso wie Jump-Clients und anderen Arten von symbolischen Jump-Item-Links.

Symbolische Shell Jump-Links werden nur aktiviert, wenn der Jumpoint für offenen oder eingeschränkten Shell Jump-Zugriff konfiguriert wurde.

Organisieren und verwalten Sie bestehende Jump-Elemente, indem Sie einen oder mehrere Jump-Clients auswählen und auf Eigenschaften klicken.

Um die Eigenschaften mehrerer Jump-Items anzuzeigen, müssen die ausgewählten Elemente vom gleichen Typ sein (alle Jump-Clients, alle Remote-Jumps usw.).Um Eigenschaften anderer Arten von Jump-Elementen zu überprüfen, schlagen Sie bitte im jeweiligen Abschnitt in diesem Handbuch nach.

Neuen symbolischen Shell Jump-Link erstellen

Geben Sie einen Namen für das Jump-Element ein. Dieser Name kennzeichnet das Element in den Sitzungsregisterkarten. Diese Zeichenkette kann maximal 128 Zeichen lang sein.

Wählen Sie im Dropdown-Menü Jumpoint das Netzwerk aus, in dem sich der Computer befindet, auf den Sie zugreifen möchten. Die zugriffskonsole merkt sich Ihre Jumpoint-Auswahl für das nächste Mal, wenn Sie diese Art von Jump-Element erstellen. Geben Sie den Hostnamen / die IP des Systems ein, auf das Sie zugreifen möchten.

Wählen Sie das zu verwendende Protokoll, entweder SSH oder Telnet.

Port wechselt automatisch auf den Standard-Port für das ausgewählte Protokoll, kann aber Ihren Netzwerkeinstellungen entsprechend modifiziert werden.

Der Benutzername, mit dem die Anmeldung erfolgen soll.

Wählen Sie den Terminaltyp, entweder xterm oder VT100.

Sie können auch das Senden von leeren Datenpaketen aktivieren, damit inaktive Sitzungen nicht beendet werden. Geben Sie die Anzahl der Sekunden an, für die zwischen jeder Paketaussendung gewartet werden soll.

Verschieben Sie Jump-Elemente von einer Jump-Gruppe in eine andere mithilfe des Dropdown-Menüs Jump-Gruppe. Die Fähigkeit, Jump-Elemente in oder aus unterschiedlichen Jump-Gruppen zu verschieben ist von Ihren Kontoberechtigungen abhängig.

Organisieren Sie Jump-Elemente eingehender, indem Sie den Namen eines neuen oder bestehenden Tags eingeben. Obwohl die ausgewählten Jump-Items unter dem Tag zusammengefasst sind, werden sie weiterhin in der Jump-Gruppe aufgeführt, in der sie fixiert wurden. Um ein Jump-Element wieder in die oberste Jump-Gruppe zu verschieben, lassen Sie dieses Feld leer.

Jump-Elemente umfassen auch ein Kommentare-Feld für einen Namen oder eine Beschreibung, wodurch die Sortierung, Suche und Identifizierung von Jump Clients schneller und einfacher wird.

Um festzulegen, wann Benutzer auf dieses Jump-Element zugreifen können, ob eine Zugriffsbenachrichtigung gesendet werden sollte oder ob eine Berechtigung oder eine Ticket-ID Ihres externen Ticketsystems zur Verwendung dieses Jump-Elements notwendig ist, wählen Sie Jump-Richtlinie. Diese Richtlinien werden von Ihrem Administrator über die /login-Schnittstelle festgelegt.

Wählen Sie eine Sitzungsrichtlinie, die diesem Jump-Element zugewiesen werden soll. Die diesem Jump-Element zugewiesene Richtlinie hat die höchste Priorität bei der Festlegung von Sitzungsberechtigungen. Die Möglichkeit zur Festlegung einer Sitzungsrichtlinie ist von Ihren Kontoberechtigungen abhängig.

Symbolischen Shell Jump-Link verwenden

Um einen symbolischen Shell Jump-Link zum Start einer Sitzung zu verwenden, wählen Sie den symbolischen Link aus der Jump-Schnittstelle und klicken Sie auf die Schaltfläche Jump.

Wenn Sie versuchen, per Shell Jump auf ein SSH-Gerät ohne zwischengespeicherten Hostschlüssel zu wechseln, erhalten Sie eine Warnmeldung, dass der Hostschlüssel des Servers nicht zwischengespeichert ist und nicht garantiert wird, dass es sich bei dem Server um den von Ihnen vermuteten Computer handelt.

Wenn Sie Schlüssel speichern und verbinden wählen, wird der Schlüssel auf dem Hostsystem des Jumpoint zwischengespeichert, sodass zukünftige Versuche, per Shell Jump auf dieses System zuzugreifen, nicht wieder zur Anzeige dieser Eingabeaufforderung führen. Nur verbinden startet die Sitzung, ohne den Schlüssel zwischenzuspeichern, und Abbrechen beendet die Shell Jump-Sitzung.

Wenn Sie per Shell Jump auf ein Remote-Gerät wechseln, beginnt sofort eine Befehlsshell-Sitzung mit diesem Gerät. Wenn Sie per Shell Jump auf ein bereitgestelltes SSH-Gerät mit unverschlüsseltem Schlüssel oder verschlüsseltem Schlüssel, dessen Passwort zwischengespeichert wurde, wechseln, werden Sie nicht aufgefordert, ein Passwort einzugeben. Ansonsten werden Sie zur Eingabe eines Passworts aufgefordert. Sie können dann Befehle an das Remote-System senden.

Wenn Sie per Shell Jump auf ein SSH-Gerät aktivierter interaktiver MFA für die Tastatur wechseln, wird eine zweite Eingabeaufforderung angezeigt.

Administratoren können die Befehlsfilterung an Shell Jump Items verwenden, um manche Befehle zu blockieren und andere wiederum zu erlauben, damit der Benutzer nicht versehentlich einen Befehl verwendet, der zu unerwünschten Ergebnissen führt. Falls ein Benutzer versucht, einen Befehl zu verwenden, der einem unzulässigen Ausdruck entspricht, wird er entsprechend darauf hingewiesen und kann den Befehl nicht ausführen.

Der Befehlsfilter von BeyondTrust verwendet erweiterte reguläre Ausdrücke, die jedoch nicht mit egrep zu verwechseln sind. Weitere Informationen finden Sie in Reguläre Ausdrücke (C++).

Shellaufforderungsfilterung:

  1. Melden Sie sich als Benutzer mit Berechtigungen zur Konfiguration von Jump-Items und Sitzungsrichtlinien in der /login-Schnittstelle an.
  2. Navigieren Sie zu Jump > Jump-Elemente und schrollen Sie nach unten zum Bereich Shell Jump-Filterung.
  3. Geben Sie in das Textfeld Anerkannte Shell-Eingabeaufforderungen reguläre Ausdrücke ein, die in Ihrem Endpunkt-Systemen zu finden sind, und zwar eine pro Zeile.

Zeilenumbrüche oder neue Zeilen sind innerhalb der eingegebenen Befehlsaufforderungsmuster nicht zulässig. Wenn ein Endpunkt-System eine mehrzeilige Aufforderung verwendet, geben Sie einen Ausdruck ein, der ausschließlich der letzten Zeile der Aufforderung im Textfeld entspricht.

  1. Klicken Sie auf Speichern.

Sobald Sie die gewünschten regulären Ausdrücke eingegeben haben, können Sie eine Shell-Eingabeaufforderung ausprobieren, um zu bestimmen, ob sie einem der regulären Ausdrücke auf der Liste entspricht. So können Sie Ihre regulären Ausdrücke prüfen, ohne eine Sitzung starten zu müssen. Geben Sie den Ausdruck in das Textfeld Shell-Eingabeaufforderung ein und klicken Sie auf die Schaltfläche Prüfen. Es wird ein Hinweis angezeigt, ob die von Ihnen eingegebene Shell-Eingabeaufforderung einem der regulären Ausdrücke auf der Liste entspricht.

Befehlsfilterung konfigurieren:

  1. Navigieren Sie zu Benutzer und Sicherheit > Sitzungsrichtlinien und erstellen Sie entweder eine neue Richtlinie oder bearbeiten Sie eine vorhandene Richtlinie.

Sie können dies auch für Benutzer und/oder Gruppenrichtlinien konfigurieren.

  1. Machen Sie die Einstellungen Befehlsshell im Abschnitt Berechtigungen ausfindig.
  2. Da Sie die Befehlsfilterung mit Shell Jump-Elementen verwenden werden, wählen Sie über die Optionsschaltfläche Zulassen die Verwendung der Befehlsshell aus.
  3. Wählen Sie zwischen Alle Befehle zulassen, Nachstehende Befehlsmuster zulassen und Nachstehende Befehlsmuster ablehnen und geben Sie im Textfeld an, welche Muster regulärer Ausdrücke Sie zulassen oder blockieren möchten.

Sobald Sie die Befehlsmuster eingegeben haben, die Sie zulassen oder blockieren möchten, können Sie Befehle im Textfeld Befehlstester prüfen. Es wird ein Hinweis angezeigt, in dem darauf hingewiesen wird, ob der eingegebene Befehl den auf der Liste stehenden regulären Ausdrücken zufolge im Remote-System zulässig wäre.

Folgende Hinweise sind möglich:

  • „Der eingegebene Shell-Befehl ist basierend auf Ihrer Auswahl zulässig.“
  • „Der eingegebene Shell-Befehl ist basierend auf der Auswahl nicht zulässig.“

Verwenden der Anmeldedaten-Einfügung mit SUDO an einem Linux-Endpunkt

Zur Verwendung der Anmeldedaten-Einfügung mit SUDO muss ein Administrator ein oder mehr funktionale Konten auf jedem Linux-Endpunkt erstellen, auf den per Shell Jump zugegriffen werden soll. Da der Prozess zur Konfiguration der sudoers-Datei komplex ist und von Plattform zu Plattform variiert, beziehen Sie sich bitte auf die Dokumentation Ihrer Plattform zu Einzelheiten für diesen Prozess. Jedes funktionale Konto muss:

  • SSH-Authentifizierung zulassen (Passwort oder SSH-Schlüssel).
  • Die Konto-Anmeldedaten im Endpunkt-Anmeldedaten-Manager (ECM) speichern lassen.
  • Einen oder mehrere Einträge in /etc/sudoers besitzen, welche dem funktionalen Konto Zugriff auf einen oder mehrere Befehle gewähren, die ohne Anforderung eines Passworts als root ausgeführt werden können (NOPASSWD).

Ein Administrator muss ein Shell Jump-Element für den Endpunkt erstellen.

Als nächstes muss ein Administrator den ECM und/oder das Passwort-Vault konfigurieren, um Benutzern Zugriff auf die jeweiligen funktionalen Konten für das Jump Item zu gewähren.

Wenn ein Benutzer einen Jump zu dem Shell Jump-Element durchführt, kann er aus einer Liste funktionaler Konten für diesen Endpunkt wählen. Jedes funktionale Konto hat seine eigenen Befehle, die per SUDO ausgeführt werden können, abhängig von der Konfiguration des Administrators am Endpunkt. Die Anmeldedaten für das Konto werden vom ECM an den Endpunkt weitergegeben.

Jump-Elemente können ebenfalls eingestellt werden, um den gleichzeitigen Zugriff auf das gleiche Jump-Element durch mehrere Benutzer zu gestatten. Wenn Bestehender Sitzung beitreten gewählt wurde, können andere Benutzer einer bereits laufenden Sitzung beitreten. Der ursprüngliche Sitzungseigentümer wird benachrichtigt, dass ein anderer Benutzer der Sitzung beigetreten ist, darf den Zugriff aber nicht ablehnen. Weitere Informationen zu gleichzeitigen Jumps finden Sie in Jump-Element-Einstellungen.