PrivX(服务器访问与管理软件)

　　PrivX是一款精简、易于实施且易于使用的访问管理软件，可对本地和云环境进行特权访问，PrivX可帮助管理员根据用户角色和权限启用和控制对服务器，网络设备和其他关键基础结构的访问；在该领域，此程序与其它特权访问管理(PAM)应用都会脱颖而出，与内部和传统工具相比，PrivX提供了独特的现代功能，不仅可以增强您的IT安全性，还可以提高业务速度并降低特权访问的实施和运营成本；用户可以使用工作站上安装的SSH客户端连接到目标主机/帐户，而无需使用PrivX GUI，根据PrivX对连接进行身份验证，此配置需要在用户工作站上安装PrivX代理；需要的用户可以下载体验

软件功能

　　现代，面向未来的建筑

　　您的云环境具有弹性并可以按需扩展

　　PrivX通过机上和机外目标主机自动处理动态环境-并且PrivX基于微服务构建，因此可以水平扩展以满足您的需求。

　　通过单个控制台实时，灵活，实时地访问整个多云和本地服务器资源。

　　统一特权访问权限

　　统一跨多个目录服务的身份生命周期，并简化了对云和本地资产的访问。

　　PrivX与您的Microsoft AD / LDAP，AWS Cognito和OpenID Connect ID管理系统集成

　　并随着人们的加入，移动或离开而自动保持同步。

　　撤消特权帐户

　　确保在访问授权到期之前或之后，没有特权访问权限可供用户使用。

　　PrivX授予对目标系统的一次性，临时，按需访问权限。

　　被称为JIT / ZSP（即时/零站立特权）模型的个人不存在“始终在线”特权帐户，从而减少了威胁面。

　　消除凭证生命周期管理

　　通过对目标主机的凭据访问，PrivX消除了对密码的依赖。

　　降低了密码存储和轮换的成本，并消除了对访问密钥管理的需求，同时最大程度地减少了威胁面。

　　PrivX使用独特的短期证书实时验证每个安全连接，从而消除了对凭据的需求。

　　不变的基础设施

　　PrivX将配置用户权限与通过精细角色访问基础结构的特权帐户分开。

　　这种分离将云配置的敏捷性带入了本地资产，这些资产一旦配置后就可以重用，从而使您的基础架构不可变。

　　保持跟踪并保持合规

　　符合标准并执行事后取证：PrivX为您提供无干扰的监控，包括审计跟踪以及内部和第三方访问流量的可搜索记录。

　　PrivX管理员可以从UI看到收集到的审核事件

　　并且可以将审核事件转发到SIEM或AWS CloudWatch或Azure Event Hub等云收集器工具。

软件特色

　　内置云

　　主机的自动发现和开/关可以满足您对动态云的需求。

　　通过单个高效的用户界面控制对AWS，GCP，Azure和本地主机中的工作负载的访问。

　　快速+低总拥有成本

　　凭证访问消除了密码存储和管理的成本和痛苦。

　　集成并与ID管理系统保持同步。添加新主机时，它们会自动发现。

　　无需安装或维护主机或客户端代理。

　　先进的安全性

　　即时的临时访问会减少常规特权并消除密码收集的风险。

　　审核和会话记录简化了合规性和事件后取证。

使用说明

　　PrivX SSH代理

　　PrivX SSH代理与PrivX CA通信以请求

　　SSH客户端的证书和SSH密钥。

　　建立

　　使用PrivX代理之前，您首先需要配置

　　PrivX服务器URL：

　　-在以下位置启动PrivX Agent

　　'开始菜单'->'SSH通信安全'->'PrivX Windows代理'

　　-右键点击PrivX Agent托盘图标，然后点击“设置”

　　-输入PrivX服务器网址，然后单击“测试”

　　注意：如果PrivX服务器正在使用不受信任的TLS证书，则需要

　　检查证书详细信息是否有效。

　　-点击“查看”以打开证书属性

　　-检查证书详细信息。您不需要安装证书

　　到系统。

　　-单击“确定”，保存PrivX服务器URL和证书

　　PrivX服务器URL和证书存储在Windows注册表中。您可以

　　稍后通过返回“设置”来修改PrivX服务器URL。

　　登录

　　右键单击“ PrivX代理”托盘图标，然后单击“登录”，以登录到PrivX服务器。

　　'登录'。使用您的PrivX用户名和密码登录并完成多因素

　　必要时进行身份验证。

　　注意：必须通过PrivX Web执行多因素身份验证设置

　　用户界面。如果PrivX Agent登录失败并显示“失败：需要通过Web UI登录”

　　然后请使用网络浏览器登录PrivX服务器并完成多

　　因素认证设置。

　　连接到目标主机

　　右键单击即可查看PrivX角色和可访问的目标主机。

　　PrivX Agent托盘图标，然后单击“连接”。

　　如果您希望明确指定要用于目标主机的PrivX角色

　　登录，在“角色”下拉菜单中选择适当的角色，然后单击“确定”。当一个

　　选择角色，PrivX代理将仅从PrivX服务器询问凭据

　　连接到目标主机时扮演的角色。您也可以明确指定

　　通过在“目标”下拉列表中选择目标来确定目标主机。

　　要连接到目标主机，请在“客户端”中选择适当的SSH客户端，然后

　　点击“连接”。或者，您可以使用SSH客户端连接到

　　目标。

　　右键单击PrivX Agent托盘图标，然后单击“退出”。

　　PrivX服务器设置

　　PrivX服务器提供PrivX服务，例如PrivX GUI和基于证书的身份验证服务。

　　要设置PrivX服务器：

　　设置存储库以下载PrivX软件包和依赖项。

　　添加EPEL存储库：

　　然后添加PrivX存储库：

　　在Red Hat或CentOS 7上：

　　使用以下方法安装最新的PrivX软件包：

　　应用程序二进制文件已安装到该/opt/privx/bin/目录。配置已安装到/opt/privx/etc/目录。实用程序脚本位于/opt/privx/scripts/目录中。

　　要自动执行PrivX配置，您可以选择使用环境变量定义安装后设置。安装后脚本跳过提示在环境变量中找到任何设置的提示。

　　安装后脚本的环境变量在以下列表中列出：

　　/opt/privx/scripts/postinstall_env使用以下命令导出环境变量：

　　NTP服务的地址。

　　PKCS＃11密钥库设置。仅在使用外部HSM时启用和配置此功能。有关其他HSM设置说明，请参阅https://help.ssh.com/中的“ 高级部署”文章。

　　服务器的DNS和IP地址。

　　数据库设置（如果使用外部数据库）：

　　IP或DNS名称格式的数据库地址。例如：database.example.comPrivX数据库的任意名称。

　　PrivX数据库用户的任意名称和密码。

　　PostgreSQL用户postgres的密码。

　　外部Redis服务器的地址和密码（如果使用外部数据库）。

　　初始超级用户帐户的凭据。

　　安装PrivX许可证以启用产品功能。您可以通过浏览到位于（用privx.example.comPrivX服务器的DNS或IP地址代替）的PrivX GUI来做到这一点：

　　https://privx.example.com/使用超级用户凭据登录。

　　在GUI中，导航到PrivX UI中的“设置”→“许可证 ”，然后在“ 在线许可证更新”下提供您的许可证代码。单击更新，PrivX将自动与许可证服务器联系以获取并安装您的许可证。

　　PrivX许可证提供了有限数量的激活。停用PrivX服务器时，还请记住按照“停用PrivX许可证”部分中的说明释放激活。

　　未经许可的产品不允许添加主机或建立SSH或RDP连接。为了激活许可证，请确保正确设置系统时间。

　　现在，您已经设置了PrivX服务器。

　　您可以在以下页面上的状态页上验证PrivX微服务的状态（替换privx.example.com为PrivX服务器的DNS或IP地址）：

　　https://privx.example.com/status.html特别是在大型生产部署中，PrivX可能会随着时间累积大量日志数据。我们建议您为syslog和microservice日志配置日志轮换，以防止PrivX服务器用尽磁盘空间。

　　设置可选组件

　　本节提供了可选PrivX组件的安装说明。

　　PrivX Extender设置

　　PrivX Extenders中继主机连接，允许连接到无法从PrivX服务器访问的目标主机。

　　设置PrivX Extender：

　　创建一个PrivX Extender。

　　在设置→部署→部署PrivX VPC / VPN扩展器上，单击添加扩展器。

　　至少提供扩展器名称。地址 es和子网是可选的，并且仅在您通过扩展器验证成功连接后才能设置。

　　如果您打算为高可用性（HA）设置多个扩展器，请同时指定路由前缀。

　　单击“ 保存”以创建扩展器，并下载扩展器配置。以后需要此文件来设置Extender主机。

　　通过以下两种方式之一在Extender主机上安装PrivX Extender软件