Linux堡垒机如何实现敏感指令审计

Linux堡垒机指令审计功能分为事中和事后，事后的录像审计、指令检索功能大部分堡垒机产品都比较类似。这里主要讲一下事中的敏感指令审计，敏感指令阻断与拦截是安全审计的重要特性，可以有效避免团队成员进行违规操作、敏感操作、误操作给公司带来不必要的损失。

定义Linux堡垒机指令规则

1、登录行云管家linux堡垒机后，首先点击“策略编辑”，默认情况下，指令规则列表为空，用户可按照业务情况，添加相应的规则。在定义敏感指令时，还需要指定指令匹配规则及相应的响应动作，只要在关键设备中执行的指令被匹配，既会触发指令审计策略，按照用户设定的响应动作进行处理；

2、微信审核消息：审核角色成员账号如果绑定了微信，其微信将收到指令审批信息，可直接点击进入进行审批操作；

Linux堡垒机敏感指令审核

1、Linux堡垒机指令黑名单一旦设置，所有团队成员（包括团队拥有者和团队管理员）执行的指令被认定为敏感指令时，均会执行相应的响应动作。但在某些特殊场景下，如果需要给个别成员较高的权限，在操作时不受指令黑名单的影响，可以为其赋予临时禁用指令审批规则的权限；1、进入“团队/权限管理/角色管理”，为这类成员创建一个专门的角色，如“禁用指令审批角色”，将相应成员加入到角色中；

3、该角色中的成员在访问会话时，在会话详情中，可以看到“指令审批”，只要当前主机属于关键设备且开启了指令黑白名单，均可将指令审批设置为关闭，这样在当前会话中，所执行的指令将不受运维策略的影响。