命令控制策略用于控制用戶訪問資源的關鍵操作權限，實現Linux主機運維操作的細粒度控制。

新建命令控制策略

針對SSH和Telnet字符協議主機，根據管理員配置的策略限制，Guacd代理對用戶運維過程中執行的命令進行審計和過濾，并返回審計的命令、過濾結果和命令返回的內容，用于會話操作記錄、動態授權、斷開連接等動作。

命令控制策略支持以下功能項：

1 支持按策略列表頁策略排序區分優先級，排序越靠前優先級越高。

2 支持控制允許執行、拒絕執行、斷開連接、動態授權四種命令動作。

• 允許執行：觸發該策略規則后，放行命令操作。默認允許執行所有操作。
• 拒絕執行：觸發該策略規則后，拒絕執行該命令，界面提示“命令“xxx”已被攔截”。
• 斷開連接：觸發該策略規則后，拒絕執行該命令，斷開會話連接，界面提示“本次連接已被管理員強制斷開！”
• 動態授權：觸發該策略規則后，拒絕執行該命令，界面提示“命令“xxx”已被攔截，請提交命令授權工單申請動態授權”，同時生成命令授權工單。用戶需提交工單，并審核通過后，才能繼續執行該命令。

約束限制

僅SSH和Telnet協議類型的Linux主機，支持命令控制策略設置操作細粒度控制。

前提條件

已獲取“命令控制策略”模塊操作權限。

新建命令控制策略

1 登錄云堡壘機系統。

2 選擇“策略 > 命令控制策略 > 策略列表”，進入命令控制策略列表頁面。

3 單擊“新建”，彈出新建策略窗口。

選擇一個策略，單擊“更多 > 插入”，亦可新建命令控制策略。配置完成后，在已創建的策略前新建一個策略。

4 配置策略基本信息。

策略基本信息參數說明

參數	說明
策略名稱	自定義的命令控制策略名稱，系統內“策略名稱”不能重復。
執行動作	選擇策略控制用戶的執行動作。 包括“斷開連接”、“拒絕執行”、“動態授權”、“允許執行”。 斷開連接：當會話執行策略生效的命令時，直接斷開會話。 拒絕執行：當會話執行策略生效的命令時，直接拒絕命令的執行。 動態授權：當會話執行策略生效的命令時，直接拒絕命令的執行，需要向管理員提交審批，管理員通過之后才能執行。 允許執行：當會話執行策略生效的命令時，允許執行。
有效期	策略生效時間和策略的失效時間。
時段限制	限制策略的生效時間段。

5 單擊“下一步”，關聯命令或命令集。

• 關聯命令：可設置多個命令，每行輸入一條命令。詳細設置說明請參見4.7.2.4 自定義關聯命令。
• 關聯命令集：關聯已創建的命令集。詳細命令集說明請參見4.7.2.3 管理命令集。

6 單擊“下一步”，關聯用戶或用戶組。

• 當用戶組關聯策略后，新用戶加入到用戶組中會自動繼承用戶組的策略權限。

關聯用戶

7 關聯資源賬戶或帳戶組，選擇已創建資源賬戶或帳戶組。

• 當帳戶組關聯策略后，新帳戶加入到帳戶組中會自動賦予帳戶組的策略權限。

關聯資源賬戶

8 單擊“確定”，返回策略列表頁面，查看新建的命令控制策略。

用戶在運維過程中，觸發策略規則，即會被限制相關操作。

“關聯用戶”和“關聯用戶組”中用戶需提交命令授權工單權限，即已配置擁有命令授權工單權限的“角色”。否則用戶登錄系統后無法查看命令授權工單模塊，不能提交工單獲取權限。

后續管理

命令控制策略創建完成后，可在策略列表頁面，管理已創建策略，包括管理關聯用戶或資源、刪除策略、啟停策略、策略排序等。

• 若需補充關聯用戶或資源，可單擊“關聯”，快速關聯用戶、用戶組、資源賬戶、帳戶組。
• 若需刪除策略，可選擇目標策略，單擊“刪除”，立即刪除策略。
• 若需禁用策略授權，可勾選一個或多個“已啟用”狀態的策略，單擊“禁用”，策略狀態變更為“已禁用”，策略授權立即失效。
• 若需排序策略優先等級，可選中策略行上下拖動策略，改變策略排序。

查詢和修改命令控制策略

若命令控制策略有變更，例如運維人員有變動，授權資源權限有變化等。可查看和修改已創建的策略配置，包括修改策略基本信息、修改關聯密碼或命令集。修改關聯用戶或用戶組、修改關聯資源賬戶或帳戶組等。

• 修改策略配置，且策略狀態為“已啟用”時，策略規則才生效。
• 修改策略配置后，若關聯用戶已登錄資源，需退出登錄重新連接，相關策略規則在下一次運維操作時才會生效。

前提條件

已獲取“命令控制策略”模塊操作權限。

查看和修改策略配置

1 登錄云堡壘機系統。

2 選擇“策略 > 命令控制策略”，進入命令控制策略列表頁面。

3 查詢命令控制策略。

• 快速查詢

在搜索框中輸入關鍵字，根據策略名稱、用戶、資源名稱、主機地址、資源賬戶、命令集、命令/參數等快速查詢策略。

• 高級搜索

在相應屬性搜索框中分別關鍵字，精確查詢策略。

高級搜索

4 單擊目標策略名稱，或者單擊“管理”，進入策略詳情頁面。

查看策略配置

5 查看和修改策略基本信息。

在“基本信息”區域，單擊“編輯”，彈出基本信息編輯窗口，即可修改策略的基本信息。

可修改信息包括“策略名稱”、“有效期”、“執行動作”、“時間限制”等。

查看策略基本信息

6 查看和修改策略關聯的命令。

• 在“命令”區域，單擊“編輯”，彈出關聯命令窗口，可立即修改命令參數。
• 單擊“移除”，可立即刪除該關聯命令。

查看關聯命令

7 查看和修改策略關聯的命令集。

• 在“命令集”區域，單擊“編輯”，彈出關聯命令集窗口，可立即添加或移除關聯的命令集。
• 在相應命令集行，單擊“移除”，可立即刪除該關聯命令集。

查看關聯命令集

8 查看和修改策略關聯的用戶。

• 在“用戶”區域，單擊“編輯”，彈出關聯用戶窗口，可立即添加或移除關聯的用戶。
• 在相應用戶行，單擊“移除”，可立即刪除該關聯用戶，取消授權。

查看關聯用戶

9 查看和修改策略關聯的用戶組。

• 在“用戶組”區域，單擊“編輯”，彈出關聯用戶組窗口，可立即添加或移除關聯的用戶組。
• 在相應用戶組行，單擊“移除”，可立即刪除該關聯用戶組，取消授權。

查看關聯用戶組

10 查看和修改策略關聯的資源賬戶。

• 在“資源賬戶”區域，單擊“編輯”，彈出關聯資源賬戶窗口，可立即添加或移除關聯的資源賬戶。
• 在相應資源賬戶行，單擊“移除”，可立即刪除該資源賬戶，取消授權。

查看關聯資源賬戶

11 查看和修改策略關聯的帳戶組。

• 在“帳戶組”區域，單擊“編輯”，彈出關聯帳戶組窗口，可立即添加或移除關聯的帳戶組。
• 在相應帳戶組行，單擊“移除”，可立即刪除該帳戶組，取消授權。

查看關聯帳戶組

管理命令集

為簡化添加大量命令的繁瑣操作，可查詢并添加常見命令參數，包括Linux主機和網絡設備常見命令參數。

本小節主要介紹如何新建關聯命令集、查看命令集、修改命令集、刪除命令集。

前提條件

已獲取“命令控制策略”模塊操作權限。

新建命令集

1 登錄云堡壘機系統。

2 選擇“策略 > 命令控制策略 > 命令集”，進入命令集列表頁面。

命令集列表頁面

3 創建命令集。

單擊“新建”，彈出新建命令集窗口。

配置命令集名稱。

系統內“命令集名稱”不能重復

單擊“確定”，返回規則集列表頁面，查看新建的命令集。

新建命令集

4 添加命令集規則。

在目標命令集行，單擊“操作”列的“添加命令”，彈出添加命令窗口。

選擇命令集合或者單條命令。

目前系統預置了“Linux系統”和“網絡設備”常見命令和參數。

單擊“確定”，命令添加完成。

添加命令

查詢和修改命令集

1 登錄云堡壘機系統。

2 選擇“策略 > 命令控制策略 > 命令集”，進入命令集列表頁面。

命令集列表

3 查詢命令集。

快速查詢：在搜索框中輸入關鍵字，根據命令集名稱、命令/參數等快速查詢策略。

4 單擊命令集名稱，或者單擊“管理”，進入命令集詳情頁面。

命令集詳情

5 查看和修改命令集基本信息。

在“基本信息”區域，單擊“編輯”，彈出基本信息編輯窗口，即可修改命令集的基本信息。

可修改信息包括“命令集名稱”，“部門”不可修改。

6 查看和修改命令參數。

• 在“命令”區域，單擊“添加”，彈出添加命令窗口，可立即添加預置的命令參數。
• 單擊“移除”，可立即刪除該命令參數。

查看命令參數

刪除命令集

1 登錄云堡壘機系統。

2 選擇“策略 > 命令控制策略 > 命令集”，進入命令集列表頁面。

3 單擊指定命令集“操作”列的“刪除”，可刪除該命令集。

4 同時勾選多個命令集，單擊列表下方的“刪除”，可以批量刪除多個命令集。

自定義關聯命令

命令控制策略關聯的自定義的命令，關聯命令后，在執行相關命令或參數時，觸發攔截和允許操作。

自定義關聯命令大小寫敏感，嚴格按照設置的關聯命令進行審核和過濾，若執行命令與設置命令不一致，則不能觸發策略規則。詳細設置說明和示例，請參考如下說明：

• 支持單命令格式。如設置拒絕執行查詢命令，即設置關聯命令為 ls ，執行單命令操作時觸發策略規則。
• 支持命令路徑格式。如設置動態授權查詢日志，即設置關聯命令為 ls /var/log/ ，執行命令參數操作時觸發策略規則。此時若執行 ls /var/log ，則無法觸發策略攔截規則。
• 支持命令帶“ ”通配符，“ ”表示任意多個字符。如設置拒絕執行所有刪除命令，即設置關聯命令為 rm *** ，執行命令加任意參數觸發策略攔截，如執行 rm -rf 。 此時若執行rm**命令本身，則不會觸發策略攔截規則。
• 支持命令帶“?”通配符，“?”表示任意單個字符，輸入幾個“?”就代表幾個未知字符。如設置拒絕執行刪除兩個字符名稱的文件或目錄，即設置關聯命令為 rm -rf ?? ，執行命令加任意兩個字符觸發策略攔截，如執行 rm -rf ts 。此時若執行 rm -rf test ，則不會觸發策略攔截規則。
• 支持命令帶“[]”通配符，“[]”表示框內的任意字符、范圍、取反（使用“|”或“^”取反）。如設置動態授權刪除帶abcd名稱的文件或目錄，即設置關聯命令為 rm -rf [abcd] ，執行命令加任意abcd字符觸發策略攔截，如執行 rm -rf cloud 。此時若執行rm -rf test或 rm -rf ABCD ，則不會觸發策略攔截規則。