Shell Jump gebruiken om toegang te krijgen tot een netwerkapparaat op afstand

Met Shell Jump kunt u snel verbinding maken met een netwerkapparaat met SSH of Telnet om de opdrachtregel op dat externe systeem te gebruiken. U kunt bijvoorbeeld een standaardscript in meerdere systemen uitvoeren om een patch te installeren of een netwerkprobleem op te lossen. Beheerders kunnen opdrachtfilters inschakelen om gebruikers te helpen voorkomen dat ze onbedoeld schadelijke opdrachten gebruiken op eindpunten met een SSH-verbinding.

U kunt uw eigen SSH-hulpprogramma gebruiken voor het SSH-protocol. Meer informatie vindt u onder Instellingen en voorkeuren in de toegangsconsole wijzigen.

 

Om uw eigen hulpmiddel te gebruiken, moet u Jump via tunnelprotocol inschakelen in /login > Gebruikers en beveiliging > Gebruikers > Jump-technologie > Jump via tunnelprotocol.

Een snelkoppeling naar een Shell Jump aanmaken

Om een snelkoppeling naar een Shell Jump aan te maken, moet u in de Jump-interface op de knop Aanmaken klikken. Selecteer in het vervolgkeuzemenu Shell Jump. Snelkoppelingen naar Shell Jumps worden in de Jump-interface weergegeven, evenals Jump-clients en andere typen Jumpitem-snelkoppelingen.

Snelkoppelingen naar Shell Jumps zijn alleen ingeschakeld als het betreffende Jumpoint geconfigureerd is voor open of beperkte toegang via Shell Jump.

Organiseer en beheer bestaande Jumpitems door een of meer Jumpitems te selecteren en op Eigenschappen te klikken.

Om de eigenschappen van meerdere Jumpitems te bekijken, moeten de geselecteerde items van hetzelfde type zijn (allemaal Jump-clients, allemaal externe Jumps, enz.). Zie de betreffende sectie van deze gids om de eigenschappen van andere typen Jumpitems te bekijken.

Een nieuwe snelkoppeling naar een Shell Jump aanmaken

Voer een Naam in voor het Jumpitem. Het item is onder deze naam te vinden in de sessietabbladen. Deze tekenreeks mag maximaal 128 tekens lang zijn.

Selecteer vanuit de vervolgkeuzelijst Jumpoint het netwerk waarop de computer is aangesloten waar u toegang toe wilt krijgen. De toegangsconsole onthoudt uw gekozen Jumpoint wanneer u de volgende keer dit type Jumpitem maakt. Voer de Hostnaam/IP in van het systeem waar u toegang toe wilt krijgen.

Kies het te gebruiken Protocol: SSH of Telnet.

Poort wordt automatisch op de standaardpoort voor het geselecteerde protocol ingesteld, maar kan worden gewijzigd als de instellingen van uw netwerk dit vereisen.

Voer de Gebruikersnaam in om u mee aan te melden.

Selecteer het Type terminal: xterm of VT100.

U kunt ook Keepalive-pakketten verzenden selecteren om te voorkomen dat niet-actieve sessies stoppen. Voer het aantal seconden in tussen de te verzenden pakketten.

Verplaats Jumpitems van de ene Jumpgroep naar een andere met gebruik van de afrolkeuzelijst Jumpgroep. Of u Jumpitems naar of van verschillende Jumpgroepen kunt verplaatsen, hangt van de machtigingen van uw account af.

Organiseer Jumpitems verder door de naam van een nieuwe of bestaande Tag in te voeren. Hoewel de geselecteerde Jumpitems samen onder de tag worden gegroepeerd, staan ze nog steeds in een lijst onder de Jumpgroep waarin elk Jumpitem is vastgemaakt. Om een Jumpitem naar het hoogste niveau Jumpgroep terug te zetten, moet dit veld leeg worden gelaten.

Jumpitems bevatten een veld Opmerkingen voor een naam of omschrijving, waardoor Jumpitems sneller en eenvoudiger kunnen worden gesorteerd, opgezocht en geïdentificeerd.

U moet een Jump-beleid kiezen om in te stellen welke gebruikers toegang tot dit Jumpitem hebben, of een kennisgeving van toegang moet worden verzonden en/of een machtiging of een ticket-ID van uw externe ticketsysteem is vereist om dit Jumpitem te gebruiken. Deze beleidslijnen worden door uw beheerder in de /login-interface ingesteld.

Kies een Sessiebeleid om aan dit Jumpitem toe te kennen. Het aan dit Jumpitem toegekende sessiebeleid heeft de hoogste prioriteit bij het instellen van sessiemachtigingen. Of u een sessiebeleid kunt instellen hangt van uw accountmachtigingen af.

Een snelkoppeling naar een Shell Jump gebruiken

Om een snelkoppeling naar een Shell Jump te gebruiken om een sessie op te starten, moet u de snelkoppeling in de Jump-interface selecteren en op de knop Jump klikken.

Als er wordt geprobeerd om een Shell Jump uit te voeren naar een SSH-apparaat zonder een in het cachegeheugen opgeslagen hostsleutel, krijgt u een waarschuwing dat de hostsleutel van de server niet in het cachegeheugen is opgeslagen en dat niet kan worden gegarandeerd dat de server de computer is die u denkt dat hij is.

Als u voor Sleutel opslaan en verbinden kiest, wordt de sleutel in het cachegeheugen op het hostsysteem van de Jumpoint opgeslagen, zodat deze waarschuwing niet wordt weergegeven bij toekomstige pogingen om een Shell Jump naar dit systeem te gebruiken. Alleen verbinden start de sessie zonder de sleutel in het cachegeheugen op te slaan. Afbreken beëindigt de Shell Jump-sessie.

Als u een Shell Jump naar een extern apparaat uitvoert, start er direct een sessie met opdrachtshell voor dat apparaat. Er wordt niet om een wachtwoord gevraagd als u een Shell Jump uitvoert naar een geïmplementeerd SSH-apparaat met een onversleutelde sleutel of een versleutelde sleutel waarvan het wachtwoord in het cachegeheugen is opgeslagen. Anders moet u een wachtwoord invoeren. U kunt vervolgens opdrachten naar het externe systeem verzenden.

Als u een Shell Jump uitvoert naar een SSH-apparaat waarop interactieve MFA met behulp van een toetsenbord is ingeschakeld, wordt er een secundaire inputprompt weergegeven.

Beheerders kunnen opdrachtfiltering configureren op Shell Jumpitems om bepaalde opdrachten te blokkeren en andere toe te staan, om te proberen te voorkomen dat de gebruiker onbedoeld een opdracht gebruikt die ongewenst resultaat tot gevolg kan hebben. Wanneer een gebruiker probeert een opdracht te gebruiken die overeenkomt met een expressie die niet is toegestaan, ontvangt hij of zij een melding en mag de opdracht niet worden uitgevoerd.

Het opdrachtfilter van BeyondTrust gebruikt uitgebreide reguliere expressies –niet te verwarren met egrep. Kijk voor meer informatie in Reguliere expressies (C++).

Shell Prompt-filtering configureren:

  1. Meld u aan bij de interface /login als gebruiker met machtigingen om Jumpitems en sessiebeleidslijnen te configureren.
  2. Blader naar Jump > Jumpitems en scroll omlaag naar de sectie Shell Jump-filtering.
  3. Voer in het tekstvak Herkende shell-prompts regexes in om te matchen met de opdrachtshells-prompts op uw eindpunt-systemen, één per regel.

Regeleinden, of nieuwe regels, zijn niet toegestaan binnen de ingevoerde patronen voor opdracht-prompts. Voer, als een eindpunt-systeem een prompt met meerdere regels gebruikt, een expressie in die overeenkomt met alleen de laatste regel van de prompt in het tekstvak.

  1. Klik op Opslaan.

Als u de regexes die u wilt gebruiken hebt ingevoerd, kunt u een shell-prompt testen om te bepalen of het overeenkomt met een van de regexes in de lijst. Hiermee kunt u uw regexes testen zonder een sessie te starten. Voer de expressie in het tekstvak Shell-prompt in en klik op de knop Controleren. Er wordt een kennisgeving weergegeven, ongeacht of de shell-prompt die u hebt ingevoerd overeenkomt met één van de regexes in de lijst.

Opdrachtfiltering configureren:

  1. Blader naar Gebruikers en beveiliging > Sessiebeleidslijnen en maak of een nieuw beleid of bewerk een bestaand.

U kunt die ook configureren voor gebruikers- en/of groepsbeleidslijnen.

  1. Zoek de Opdrachtshell-instellingen onder het kopje Machtigingen.
  2. Selecteer, omdat u opdrachtfiltering gaat gebruiken bij Shell Jumpitems, het keuzerondje Toestaan om het gebruik van de opdrachtshell toe te staan.
  3. Kies uit Alle opdrachten toestaan, Onderstaande opdrachtpatronen toestaan of Onderstaande opdrachtpatronen weigeren en geef in het tekstvak op welke regex-patronen u wilt toestaan of blokkeren.

Nadat u de opdrachtpatronen die u wilt toestaan of blokkeren hebt ingevoerd kunt u de opdrachten testen in het tekstvak Opdrachtentester. Er wordt een kennisgeving weergegeven, ongeacht of de opdrachtprompt die u hebt ingevoerd wel of niet mag worden uitgevoerd op het externe systeem op basis van de regexes die gespecificeerd zijn in de lijst.

De twee mogelijke berichten zijn:

  • "De ingevoerde shell-opdracht wordt op basis van uw keuzes toegestaan."
  • "De ingevoerde shell-opdracht wordt op basis van uw keuzes niet toegestaan."

Inloggegevensinjectie gebruiken met SUDO op een Linux-eindpunt

Om inloggegevensinjectie met SUDO te gebruiken, moet een beheerder een of meer functionele accounts op elk Linux-eindpunt configureren voor toegang via Shell Jump. Omdat het configureren van een sudoers-bestand een complex proces is dat verschilt per platform, verwijzen we u naar de documentatie van uw platform voor informatie over het voltooien van dit proces. Iedere functionele account moet:

  • Verificatie via SSH toestaan (wachtwoord of SSH-sleutel).
  • De referenties voor het account laten opslaan in de Endpoint Credential Manager (ECM).
  • Een of meer vermeldingen hebben in /etc/sudoers met toestemming voor functionele account-toegang tot een of meer opdrachten om uit te voeren als root zonder een wachtwoord te vereisen (NOPASSWD).

Een beheerder moet een Jumpitem voor een Shell Jump voor het eindpunt aanmaken.

Vervolgens moet een beheerder de ECM en/of de wachtwoordkluis configureren om gebruikers toegang te verlenen tot de juiste functionele accounts voor dat Jumpitem.

Als een gebruiker een Jump naar het Jumpitem voor een Shell Jump uitvoert, dan kan hij of zij kiezen uit een lijst met functionele accounts die beschikbaar zijn voor dat eindpunt. Elk functioneel account heeft een eigen set opdrachten die kunnen worden uitgevoerd met SUDO, zoals ingesteld door de beheerder bij het eindpunt. De referenties voor het account worden vanuit de ECM doorgegeven naar het eindpunt.

Jumpitems kunnen zo worden ingesteld dat zij meerdere gebruikers toestaan tegelijkertijd dezelfde Jumpitems te openen. Als Bij bestaande sessie voegen is ingeschakeld, kunnen andere gebruikers een sessie bijwonen die al gaande is. De oorspronkelijke eigenaar van de sessie ontvangt een bericht dat een gebruiker aan de sessie is toegevoegd, maar kan deze gebruiker de toegang niet weigeren. Ga voor meer informatie over gelijktijdige Jumps naar Instellingen voor Jumpitems.