Shell Jump gebruiken om toegang te krijgen tot een netwerkapparaat op afstand

Met Shell Jump kunt u snel verbinding maken met een netwerkapparaat met SSH of Telnet om de opdrachtregel op dat externe systeem te gebruiken. U kunt bijvoorbeeld een standaard script over meerdere systemen heen uitvoeren om een patch te installeren of een netwerkprobleem te onderzoeken. Beheerders kunnen opdrachtfiltering inschakelen om gebruikers helpen te voorkomen dat ze onbedoeld schadelijke opdrachten gebruiken op SSH-verbonden eindpunten.

Een snelkoppeling naar een Shell Jump aanmaken

Een snelkoppeling naar een Jump aanmaken

Om een snelkoppeling naar een Shell Jump aan te maken, moet u in de Jump-interface op de knop Aanmaken klikken. Selecteer in het vervolgkeuzemenu Shell Jump. Snelkoppelingen naar Shell Jumps verschijnen in de Jump-interface naast Jump-clients en andere typen jumpsnelkoppelingen.

Snelkoppelingen naar Shell Jumps zijn alleen ingeschakeld als het betreffende Jumpoint geconfigureerd is voor open of beperkte toegang via Shell Jump.

Organiseer en beheer bestaande jumpsnelkoppelingen door een of meer jumpsnelkoppelingen te selecteren en op Eigenschappen te klikken.

Om de eigenschappen van meerdere jumpsnelkoppelingen te bekijken, moeten ze allemaal van hetzelfde type zijn (bijv. allemaal Jump-clients, allemaal Externe Jumps). Om eigenschappen van andere soorten jumpsnelkoppelingen te bekijken, leest u het bijbehorende deel van deze handleiding.

Een nieuwe snelkoppeling naar een Shell Jump aanmaken

Voer een Naam in voor de jumpsnelkoppeling. De snelkoppeling is onder deze naam te vinden in de sessietabbladen. Deze tekenreeks mag maximaal 128 tekens lang zijn.

Selecteer vanuit de vervolgkeuzelijst Jumpoint het netwerk waarop de computer is aangesloten waar u toegang toe wilt krijgen. De toegangsconsole onthoudt uw Jumpointkeuze de volgende keer dat u dit type jumpsnelkoppeling aanmaakt. Voer de Hostnaam/IP in van het systeem waar u toegang toe wilt krijgen.

Kies het te gebruiken Protocol: SSH of Telnet.

Poort wordt automatisch op de standaardpoort voor het geselecteerde protocol ingesteld, maar kan worden gewijzigd als de instellingen van uw netwerk dit vereisen.

Voer de Gebruikersnaam in om u mee aan te melden.

Selecteer het Type terminal: xterm of VT100.

U kunt ook Keepalive-pakketten verzenden selecteren om te voorkomen dat niet-actieve sessies stoppen. Voer het aantal seconden in tussen de te verzenden pakketten.

Verplaats jumpsnelkoppelingen van de ene Jumpgroep naar een andere met gebruik van de afrolkeuzelijst Jumpgroep. Of u jumpsnelkoppelingen naar of van verschillende Jumpgroepen kunt verplaatsen, hangt van de machtigingen van uw account af.

Organiseer jumpsnelkoppelingen verder door de naam van een nieuwe of bestaande Tag in te voeren. Hoewel de geselecteerde Jumpsnelkoppelingen samen onder de tag worden gegroepeerd, staan ze nog steeds in een lijst onder de Jumpgroep waarin elk ervan is vastgespeld. Om een jumpsnelkoppeling naar het hoogste niveau Jumpgroep terug te zetten, moet dit veld leeg worden gelaten.

Jumpsnelkoppelingen bevatten een veld Opmerkingen voor een naam of omschrijving, waardoor jumpsnelkoppelingen sneller en eenvoudiger kunnen worden gesorteerd, opgezocht en geïdentificeerd.

Om in te stellen welke gebruikers toegang tot deze jumpsnelkoppeling hebben, of een kennisgeving van toegang moet worden verzonden en/of of machtiging of een ticket-id van uw externe ticketingsysteem vereist is om deze jumpsnelkoppeling te gebruiken, dan moet u een Jumpbeleid kiezen. Deze beleidslijnen worden door uw beheerder in de /login interface ingesteld.

Kies een Sessiebeleid om aan deze jumpsnelkoppeling toe te kennen. Het aan deze jumpsnelkoppeling toegekende sessiebeleid heeft de hoogste prioriteit bij het instellen van sessiemachtigingen. Of u een sessiebeleid kunt instellen hangt van uw accountmachtigingen af.

Een snelkoppeling naar een Shell Jump gebruiken

Om een snelkoppeling naar een Shell Jump te gebruiken om een sessie op te starten, moet u de snelkoppeling in de Jump-interface selecteren en op de knop Jump klikken.

Server hostsleutel voor Shell Jump

Als er wordt geprobeerd om een Shell Jump uit te voeren naar een SSH-apparaat zonder een in het cachegeheugen opgeslagen hostsleutel, krijgt u een waarschuwing dat de hostsleutel van de server niet in het cachegeheugen is opgeslagen en dat niet kan worden gegarandeerd dat de server de computer is die u denkt.

Als u voor Sleutel opslaan en verbinden kiest, wordt de sleutel in het cachegeheugen op het hostsysteem van de Jumpoint opgeslagen, zodat deze waarschuwing niet wordt weergegeven bij toekomstige pogingen om een Shell Jump naar dit systeem te gebruiken. Alleen verbinden start de sessie zonder de sleutel in het cachegeheugen op te slaan. Afbreken beëindigt de Shell Jump-sessie.

Als u een Shell Jump naar een extern apparaat uitvoert, start er direct een sessie met opdrachtshell voor dat apparaat. Er wordt niet om een wachtwoord gevraagd als u een Shell Jump uitvoert naar een geïmplementeerd SSH-apparaat met een onversleutelde sleutel of een versleutelde sleutel waarvan het wachtwoord in het cachegeheugen is opgeslagen. Anders moet u een wachtwoord invoeren. U kunt vervolgens opdrachten naar het externe systeem verzenden.

Beheerders kunnen opdrachtfiltering configureren op Shell-jumpsnelkoppelingen om bepaalde opdrachten te blokkeren en andere toe te staan, om te proberen te voorkomen dat de gebruiker onbedoeld een opdracht gebruikt die ongewenst resultaat tot geval kan hebben. In het geval dat een gebruiker probeert een opdracht te gebruiken die overeenkomt met een expressie die niet is toegestaan, ontvangt deze een prompt en wordt de gebruiker niet toegestaan de opdracht uit te voeren.

De opdrachtfilter van BeyondTrust gebruikt uitgebreide reguliere expressies, niet te verwarren met egrep. Zie voor meer informatie de details op msdn.microsoft.com/en-us/library/bb982727.aspx.

Shell Prompt-filtering configureren:

  1. Log in bij de interface /login als gebruiker met machtigingen om Jumpsnelkoppelingenen Sessiebeleidslijnen te configureren.
  2. Blader naar Jump > Jumpsnelkoppelingen en scroll omlaag naar de sectie Shell Jump-filtering.
  3. Voer in het tekstvak Herkende shell-prompts regexes in om te matchen met de opdrachtshells-prompts op uw eindpunt-systemen, één per regel.

 Regeleinden, of nieuwe regels, zijn niet toegestaan binnen de ingevoerde patronen voor opdracht-prompts. Voer, als een eindpunt-systeem een prompt met meerdere regels gebruikt, een expressie in die overeenkomt met alleen de laatste regel van de prompt in het tekstvak.

  1. Klik op Opslaan.

 Als u de regexes die u wilt gebruiken hebt ingevoerd, kunt u een shell-prompt testen om te bepalen of het overeenkomt met één van de regexes in de lijst. Hiermee kunt u uw regexes testen zonder een sessie te starten. Voer de expressie in het tekstvak Shell-prompt in en klik op de knop Controleren. U ontvangt een melding waarin staat of de shell-prompt die u hebt ingevoerd wel of niet overeenkomt met één van de regexes in de lijst.

Opdrachtfiltering configureren:

  1. Blader naar Gebruikers en beveiliging > Sessiebeleidslijnen en maak of een nieuw beleid of bewerk een bestaande.

 U kunt die ook configureren voor gebruikers- en/of groepsbeleid.

  1. Zoek de instellingen Opdrachtshell bewerken in de sectie Sessiebeleid :: Bewerken.
  2. Selecteer, omdat u opdrachtfiltering gaat gebruiken bij Shell Jump-items, het keuzerondje Toestaan om het gebruik van de opdrachtshell toe te staan.
  3. Kies uit Alle opdrachten toestaan, Onderstaande opdrachtpatronen op de whitelist zetten, of Onderstaande opdrachtpatronen op de blacklist zetten en specificeer in het tekstvak welke regex-patronen u wilt toestaan of blokkeren.

 Nadat u de opdrachtpatronen die u wilt toestaan of blokkeren hebt ingevoerd kunt u de opdrachten testen in het tekstvak Opdrachtentester. Hiermee kunt u uw opdrachtfilters testen zonder een sessie te starten. Hiermee kunt u uw opdrachtfilters testen zonder een sessie te starten. U ontvangt een melding waarin staat of de opdracht prompt die u hebt ingevoerd wel of niet toegestaan wordt om uitgevoerd te worden op het externe systeem op basis van de regexes die gespecificeerd zijn in de lijst.

De twee mogelijke berichten zijn:

  • De ingevoerde shell-opdracht moet op basis van uw keuzes worden toegestaan.
  • De ingevoerde shell-opdracht wordt op basis van uw keuzes niet toegestaan.

Injectie van inloggegevens gebruiken met SUDO op een Linux-eindpunt

Om injectie van inloggegevens met SUDO te gebruiken, moet een beheerder een of meer functionele accounts op elk Linux-eindpunt configureren voor toegang via Shell Jump. Omdat het configureren van een sudoers-bestand een complex proces is dat verschilt per platform, verwijzen we u naar de documentatie van uw platform voor informatie over het voltooien van dit proces. Iedere functionele account moet:

  • Verificatie via SSH toestaan (wachtwoord op SSH-sleutel)
  • De inloggegevens voor de account laten opslaan in de Beheerder van verificatiegegevens voor eindpunt
  • Een of meer vermeldingen hebben in /etc/sudoers met toestemming voor functionele account-toegang tot een of meer opdrachten om uit te voeren als root zonder een wachtwoord te vereisen (NOPASSWD).

Een beheerder moet een jumpsnelkoppeling voor een Shell Jump voor het eindpunt aanmaken.

Vervolgens moet een beheerder de beheerder voor toegang tot eindpunten en/of de wachtwoordkluis configureren om gebruikers toegang te verlenen tot de juiste functionele accounts voor die jumpsnelkoppeling.

Als een gebruiker een Jump naar de jumpsnelkoppeling voor een Shell Jump uitvoert, dan kan hij of zij kiezen uit een lijst met functionele accounts die beschikbaar zijn voor dat eindpunt. Elke functionele account heeft een eigen set opdrachten die kunnen worden uitgevoerd met SUDO, zoals ingesteld door de beheerder bij het eindpunt. De inloggegevens voor de account worden doorgegeven van Beheerder voor toegang tot eindpunten naar het eindpunt.

Jumpsnelkoppelingen kunnen zo worden ingesteld dat zij meerdere gebruikers toestaan tegelijkertijd dezelfde jumpsnelkoppelingen te openen. Als Bij bestaande sessie voegen is ingeschakeld, kunnen andere gebruikers een sessie bijwonen die al gaande is. De oorspronkelijke eigenaar van de sessie ontvangt een bericht dat een gebruiker aan de sessie is toegevoegd, maar kan deze gebruiker de toegang niet weigeren. Ga voor meer informatie over gelijktijdige Jumps naar Instellingen voor jumpsnelkoppelingen.