行雲管家V4.5正式發布：支持Telnet協議和SSH跳板機

在這個版本中，我們支持了如：基於Telnet協議訪問主機、SSH跳板機、AWS中國資源成本分析、AWS中國S3等用戶極力呼籲的功能，期待大家更多的需求與反饋。

4.5版本更新包括但不限於以下內容：

1.私有部署版

提升團隊成員賬號管理能力：

a）支持郵件/簡訊綁定：

我們在管理控制台支持了郵件伺服器相關配置，用戶可以通過郵件伺服器的配置來完成門戶賬號的郵箱綁定與郵件消息通知；

在開啟郵件服務或簡訊網關後，用戶可以通過綁定郵件或手機號進行賬號管理。

b）支持通過郵件和簡訊進行密碼找回：在開啟了簡訊網關或郵件伺服器情況下，用戶如果忘記密碼都可以通過郵件或簡訊驗證的方式找回密碼。

採用本地存儲時，支持多文件及文件夾的下載：

為了提升私有部署版本下大量文件下載的效率，當部署的行雲管家實例使用本地存儲方案時，支持多文件或文件夾的打包下載。

新增針對私有部署版本的安全策略相關設置：

為了增強私有部署版本中門戶登錄與管理控制台登錄的安全性，防止盜用賬號、暴力破解等影響系統安全情況的發生，我們在管理控制台的基本配置中新增了安全策略設置模塊，包括：

a）用戶登錄二次驗證：在配置了微信公眾號或簡訊網關的前提下，可以在管理控制台中設置用戶使用微信或簡訊的登錄二次驗證，以驗證是否為本人登錄，保證登錄安全。

b）門戶安全策略：可以設定白名單或黑名單策略。

白名單：將只允許白名單中的IP登錄門戶，適用於明確訪問來源的場景;

黑名單：黑名單中的IP將被禁止登錄門戶，同時可以設置方暴力破解策略，鎖定多次嘗試密碼失敗的登錄賬號或IP；嘗試次數、鎖定時間均由用戶自定義配置。

c）管理控制台安全策略：為增強管理控制台的賬號登錄安全，可以設置IP白名單，僅允許特定IP訪問，不在白名單中的IP將不能訪問管理控制台。

管理控制台增加系統日誌：

為了更好的查看私有化部署版本中門戶與管理控制台的登錄情況，我們在管理控制台中新增系統日誌，記錄了用戶登錄、二次驗證和管理員的登錄相關信息。

管理控制台新增鎖定/解鎖用戶功能：

鑒於防暴力破解機制的存在，可能導致某些用戶由於觸發防暴力破解而被系統鎖定，在管理控制台的用戶信息中可以對相關用戶進行解鎖操作，增強管理控制台使用安全性；同時，管理員也可以主動對一些不再使用的賬號進行永久鎖定。

針對管理控制台中系統管理員密碼策略的優化：

為了提升私有部署版本管理控制台的安全性，防止管理員密碼過於簡單或被破解，我們針對系統管理員在密碼長度、策略以及定期更改密碼方面做出相應優化。

2.主機

新增基於Telnet協議訪問主機：

在行雲管家的以往版本中，支持RDP、SSH、VNC三種協議。這三種協議已經能夠滿足大多數的用戶需求，但仍然不足於覆蓋完整的運維操作場景，我們在新的版本中在原有的三種協議基礎上新增了基於Telnet協議訪問的方式，Telnet協議適合接入網路、存儲等支持Telnet的設備。

支持SSH跳板機：

為了方便用戶能通過Putty、SecureCRT等本地訪問工具遠程訪問目標伺服器，並能使用行雲管家的審計功能，我們支持了SSH跳板機：

a）為了實現本地訪問工具遠程訪問的審計，需要先通過快捷方式或登錄憑證創建一個本地訪問工具串。

b）將訪問串中的IP地址、訪問埠、用戶名、登錄密碼等信息填寫到對應的本地訪問工具從而通過該工具遠程訪問目標伺服器。

AWS中國資源支持與優化：

在新的版本中，我們增加了對AWS中國的支持，具體有以下改進：

a）支持對象存儲服務S3：在對象存儲模塊中可以導入Amazon S3的Bucket以完成對其的管理與監控。

b）支持AWS中國的雲主機資源成本分析：在成本中心裡可以對AWS中國的雲主機資源進行成本統計與成本優化評估。

c）支持AWS中國寧夏節點：完成對AWS中國所有節點的支持。

針對主機標籤的優化：

為了提升用戶使用主機標籤的體驗，方便用戶更方便的使用主機標籤以適應自身運維業務，我們在新的版本中針對這一功能做出了優化，包括：

a）增加批量撤銷標籤：用戶可以針對某個標籤下的主機進行批量撤銷標籤。

b）標籤視圖增加自定義主機列表欄位：用戶可根據自己的業務情況，以標籤為維度，自定義主機列表展示的欄位。

c）增加批量修改標籤值：為某標籤下主機批量定義標籤值，以提升效率。

d）增加修改單個主機標籤：單機標籤進行編輯，可修改為已有標籤也可修改為新標籤。

騰訊雲API3.0的支持：

騰訊雲在6月份發布了API3.0版本，相對2.0版本，騰訊雲的API3.0版本進行了性能優化、訪問延時下降、支持RAM子賬號。行雲管家及時響應，對騰訊雲3.0API進行了支持，方便用戶更好的使用行雲管家來使用騰訊雲相關功能，使用戶的體驗更加順暢，便捷。

支持批量修改密碼：

在新的版本中，我們支持了通過對登錄憑證的方式來對主機批量更改密碼的功能。用戶可以定期通過登錄憑證管理中的批量改密功能定期修改主機賬號密碼，以提高主機賬號的安全性。

同時我們在作業中心的默認腳本庫中，為用戶預置一個修改Linux操作系統密碼的腳本，用戶可以直接使用該腳本來修改主機密碼。

新增直接訪問主機與SSH跳板機訪問主機的許可權：

為了提高訪問主機的安全性，我們新增「直接訪問主機」與「SSH跳板機訪問主機」的功能許可權，沒有許可權的用戶將不能以任何方式通過行雲管家平台來訪問目標伺服器。

「直接訪問主機」功能許可權：該許可權用於控制團隊成員是否能夠在行雲管家中直接輸入主機的IP、主機賬號、自主創建快捷方式等手段來直接訪問某台主機；

「SSH跳板機訪問主機」功能許可權：該許可權用於控制團隊成員是否具備使用本地SSH工具來訪問主機的能力；

郵件通知的優化：

在以往版本中，郵件通知僅支持用戶註冊、綁定郵箱等個人操作，本版本對郵件通知的場景做了延伸，能夠支持體檢通知、監控告警等場景。

3.自動化運維

任務編排支持文件採集：

在作業中心，很早就支持文件採集功能，但這一特性在任務編排中一直缺失。本版本我們在執行命令、執行腳本、分發文件的基礎上支持了文件採集。使任務編排的節點類型保持與作業中心同步。

4.堡壘機

關鍵主機運維策略中部分策略加上適應場景：

為了方便用戶靈活的配置不用場景下的的運維策略，我們針對雙因子認證以及指令審批規則的設置上進行優化：

a）雙因子認證：當開啟雙因子認證時，用戶可以針對訪問主機、重啟主機等10個應用場景做自定義配置，配置之後只對選擇的場景啟用雙因子認證。

b）指令審批規則：可以指定審批規則的應用場景。

運維策略增加日誌脫敏：

用戶使用行雲管家過程中，用戶使用SSH會話、命令控制台等功能時，不可避免會有密碼等敏感數據在使用過程中出現，在舊的版本中，行雲管家會將這些信息直接記錄在日誌中，為保障用戶數據不被泄露，我們在4.5的版本中支持了日誌脫敏功能，脫敏內容包括：

a）SSH會話日誌指令脫敏：通過正則表達式，對SSH會話所執行的指令進行匹配，匹配到的指令在會話日誌中將進行隱藏。

b）命令控制台命令脫敏：通過正則表達式，對命令控制台所執行的命令進行匹配，匹配到的命令在作業日誌中將進行隱藏。

c）腳本控制台參數脫敏：當某些腳本中所執行的參數具有敏感數據時，可以將腳本加入脫敏清單，從而使執行日誌中的所有參數進行脫敏。

同時，相關法規有明確要求：日誌脫敏後，仍然需要保留原始數據供查閱。因此，我們在許可權管理中新增了「查看脫敏日誌原始數據」許可權，來設置哪些團隊成員允許查看脫敏日誌的原始內容。

5.日誌

對平台內所有日誌的優化：

為保證用戶能更清晰的查看團隊的運維日誌，我們對行雲管家中的所有日誌進行了優化：

a）將審計日誌從安全審計模塊中剝離，並與操作日誌進行合併，形成運維日誌。

b）將平台內的所有日誌重新梳理，重新定義一些日誌的展示欄位及詳細信息。

c）補充了一些遺漏的操作日誌：如運維策略日誌操作。

了解更多：https://www.cloudbility.com/cj/?refid=tengxun_Cloudbility_20180814_1

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！