现场使用堡垒机纳管了一台虚机,虚机内添加了很多设备的rdpapp服务。
环境如下:
现在想让一个普通用户xxx仅可访问虚机中某三台设备的rdpapp服务,但是按照下图去配置对应普通用户登陆后还是可以访问虚机提供的的所有rdpapp服务。
配置如下:
目标设备:
服务列表:
所属访问规则:
可登陆用户:
访问权限规则:
访问权限规则明细:
在这里可以看到服务名称中仅勾选了两台WAF和一台漏扫。
但是实际使用对应的普通账户登录后查看:
很明显该用户实际可以访问的服务不止在访问规则中允许的三个。
明明在对应访问权限规则的服务名称中仅勾选了三个,为什么实际登陆后可以访问虚机提供的所有服务呢?
测试1:规则中勾选服务协议但是不勾选对应服务名称
普通用户登陆后:
可见对应协议下的服务名称就算没有勾选也可以正常使用
测试2:勾选服务名称但是不勾选对应的服务协议
普通用户登陆后:
可见就算不勾选服务协议,但是勾选了对应的服务名称用户也可以正常使用
普通用户登录后:
可以看到,就算服务名称没有勾选ssh2,但是对应用户登录后还是可以使用ssh2的服务
综上可得:
访问权限规则中”服务协议”与“服务名称”是“或”的关系,但是服务协议的优先级又高于服务名称。
也就是说服务协议和服务名称二选一普通用户都可以正常使用对应的服务,但是在勾选了服务协议(ssh)的情况下,即使不勾选属于该服务协议的某一个服务名称(ssh2),普通用户也能正常使用该服务协议对应的所有服务(ssh1、ssh2、ssh3)。
现场在访问权限规则中不勾选rdpapp服务协议,只勾选允许的服务名称后问题解决。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作