OneTerm开源堡垒机实战(四):访问授权与安全管控

LH_R2025-09-18 10:16

前言

在上一期文章中,我们介绍了 OneTerm 的扩展功能与效率提升。本篇将带你深入了解 OneTerm 的访问授权体系,帮助你实现更精细化的权限管理与安全防护。

OneTerm 是维易开源矩阵中的一款 Web 端堡垒机系统,采用 Go + Vue 技术栈开发,基于 4A 理念(认证 Authen、授权 Authorize、账号 Account、审计 Audit)设计。其核心价值在于对 IT 运维操作的全流程管控与审计,帮助企业提升内部管理能力与安全合规水平。

这是《OneTerm 开源堡垒机实战》系列的第四篇 ------ 访问授权与安全管控。

Github: github.com/veops/onete...

在线体验: term.veops.cn/oneterm/wor...

👉 如果体验之后觉得不错,欢迎点一个 Star ⭐️,Star 就是对我们最大的支持!

访问授权

OneTerm 的授权体系围绕三类资源:目录、资产、账号,通过六项细粒度权限(连接、分享、上传、下载、复制、粘贴),结合访问时间、敏感命令拦截、IP 白名单等安全策略,帮助管理员灵活制定和调整授权规则,满足不同业务场景下的合规与安全需求。

六项权限如下:

  • 连接:是否允许登录当前资产
  • 分享:是否允许临时分享当前资产
  • 上传:是否允许上传文件
  • 下载:是否允许下载文件
  • 复制:是否允许复制内容
  • 粘贴:是否允许粘贴内容

所有授权数据均在 [资源管控 - 访问授权] 页面统一管理,实现节点、资产及账号的权限集中管控。授权配置支持以下四种方式:

  1. 系统默认配置
  2. 通用权限配置
  3. 资产单独配置
  4. 批量快捷授权

系统默认配置

在 [系统设置 - 访问控制] 页面,可统一配置六项权限的系统默认值,便于全局统一管理和快速初始化。

通用权限配置

在 [资源管控 - 访问授权] 页面,可以创建通用权限规则。核心在于目标对象的选择和访问控制的灵活配置。

由上图表单所示, 目标选择控制的有3类目标:目录、资产、账号。因为资产最终呈现给用户的是一个目录树(资产树),因此可以对目录节点进行授权。这三类对象都支持4种类型的选择: 全部、选择、正则、标签,用户可以按需灵活的定义授权的目标对象。

访问控制核心是授权角色和权限配置列表:

  • 授权角色是基于ACL来实现的,支持角色继承,这个在ACL里可以定义,角色主要分为用户角色和虚拟角色。用户角色实际上就是用户;一个部门可以定义为虚拟角色,这样通过角色继承就能实现组织架构的权限管理!
  • 权限配置列表有:连接、分享、上传、下载、复制、粘贴。
  • 还可对访问时间、命令拦截、IP白名单进行定义,满足堡垒机对安全的需求。

详细的访问授权参数参考: 访问授权参数说明

资产单独配置

在 [资源管控 - 资产管理] 页面编辑资产时, 有和通用权限相似的配置, 只是无需再选择目标对象。保存后,该资产的权限配置会同步展示在 [资源管控 - 访问授权] 页面,便于统一管理。

批量快捷授权

批量快捷授权适用于对多个资源快速调整操作权限,支持目录、资产、账号的批量授权。

目录授权

  • 管理员默认拥有资产树全部权限。普通用户如需管理资产树节点,需进行授权。
  • 节点权限支持向下继承,授权节点后,用户将自动获得该节点及其所有子节点和资产的相关权限。

在 [资源管控 - 资产管理] 页面,点击资产树节点旁的【授权目录】,即可弹出授权窗口,配置访问权限和目录操作权限。

如上图所示,用户可配置访问权限和目录操作权限

  • 访问权限: 选择授权角色并勾选操作权限,点击确定后,所选角色将获得相应的操作权限。
    • 访问权限授权成功后, 会在 [资源管控 - 访问授权] 页面中对应生成一条授权配置
    • 授权配置命名规则: node-目录ID-UUID
  • 目录操作权限: 授权后,用户可在当前页面对有权限的节点及其子节点及资产进行查看、修改、删除和授权等操作。

资产授权

在 [资源管控 - 资产管理] 页面勾选资产表格左侧复选框,然后单击表格右上方【授权】按钮,即可打开资产授权弹窗

功能与目录授权类似, 只是只有选择一个资产时, 才能配置资产操作权限

账号授权

在 [资源管控 - 账号管理] 页面勾选帐号表格左侧复选框,然后单击表格上方【授权】按钮,即可打开帐号授权弹窗

功能与目录授权类似, 只是只有选择一个账号时, 才能配置账号操作权限

结尾

OneTerm 不仅仅是一款堡垒机产品,更是一个现代化的企业安全运维平台。它将复杂的安全管控需求转化为简单易用的操作体验,真正做到了安全与效率的完美平衡。

本篇介绍了 OneTerm 的访问授权功能。后续我们还会带来更多高级配置技巧与最佳实践。如果你对企业安全运维感兴趣,或正在寻找优秀的堡垒机解决方案,欢迎持续关注我们的更新!

如果你有任何问题和建议,无论是功能上的,还是文档、交互体验方面的,欢迎随时提出来,或者直接联系我!让我们一起把这个项目做大做强!

相关推荐
poemyang1 小时前
技术圈的“绯闻女孩”:Gossip是如何把八卦秘密传遍全网的?
后端·面试·架构
BingoGo2 小时前
PHP 如何利用 Opcache 来实现保护源码
后端·php
拳打南山敬老院2 小时前
漫谈 MCP 构建之Resources篇
前端·后端·ai编程
我不是混子2 小时前
Java中关于Integer的使用
后端
Raven100862 小时前
DataWhale共学-向量数据库task01
后端
expect7g2 小时前
Flink KeySelector
大数据·后端·flink
Raymond运维2 小时前
MariaDB源码编译安装(二)
运维·数据库·mariadb
知了一笑2 小时前
独立做产品,做一个,还是做多个找爆款?
前端·后端·产品
码事漫谈2 小时前
深入剖析C++内存模型:超越原子性的多线程编程基石
后端
热门推荐
01GitHub 镜像站点02UV 工具安装与国内镜像源配置指南03Claude Code 平替:OpenAI发布 Codex CLI ,GPT-5 国内直接使用04UV安装并设置国内源0546个Nano-banana 精选提示词,持续更新中06保姆级教程:手把手教你用Dify实现完美多轮对话(附Chatflow和提示词)07A股预测还能更准?开源大模型Kronos带你跑通预测+回测全流程08Spec-Kit 使用指南09智能库存管理的需求预测模型:从业务痛点到落地代码的完整实践10解决 WSL Ubuntu 中 /etc/resolv.conf 自动重置问题