当前位置：首页 > news >正文

OneTerm开源堡垒机实战（四）：访问授权与安全管控

news 2025/9/19 9:08:41

在这里插入图片描述

前言

在上一期文章中，我们介绍了 OneTerm 的扩展功能与效率提升。本篇将带你深入了解 OneTerm 的访问授权体系，帮助你实现更精细化的权限管理与安全防护。

OneTerm 是维易开源矩阵中的一款 Web 端堡垒机系统，采用 Go + Vue 技术栈开发，基于 4A 理念（认证 Authen、授权 Authorize、账号 Account、审计 Audit）设计。其核心价值在于对 IT 运维操作的全流程管控与审计，帮助企业提升内部管理能力与安全合规水平。

这是《OneTerm 开源堡垒机实战》系列的第四篇 —— 访问授权与安全管控。

Github: https://github.com/veops/oneterm.
在线体验: https://term.veops.cn/oneterm/workstation

👉 如果体验之后觉得不错，欢迎点一个 Star ⭐️，Star 就是对我们最大的支持！

访问授权

OneTerm 的授权体系围绕三类资源：目录、资产、账号，通过六项细粒度权限（连接、分享、上传、下载、复制、粘贴），结合访问时间、敏感命令拦截、IP 白名单等安全策略，帮助管理员灵活制定和调整授权规则，满足不同业务场景下的合规与安全需求。

在这里插入图片描述

六项权限如下：

连接：是否允许登录当前资产
分享：是否允许临时分享当前资产
上传：是否允许上传文件
下载：是否允许下载文件
复制：是否允许复制内容
粘贴：是否允许粘贴内容

所有授权数据均在 [资源管控 - 访问授权] 页面统一管理，实现节点、资产及账号的权限集中管控。授权配置支持以下四种方式：

系统默认配置
通用权限配置
资产单独配置
批量快捷授权

系统默认配置

在 [系统设置 - 访问控制] 页面，可统一配置六项权限的系统默认值，便于全局统一管理和快速初始化。

在这里插入图片描述

通用权限配置

在 [资源管控 - 访问授权] 页面，可以创建通用权限规则。核心在于目标对象的选择和访问控制的灵活配置。

在这里插入图片描述

由上图表单所示, 目标选择控制的有3类目标：目录、资产、账号。因为资产最终呈现给用户的是一个目录树(资产树)，因此可以对目录节点进行授权。这三类对象都支持4种类型的选择: 全部、选择、正则、标签，用户可以按需灵活的定义授权的目标对象。

访问控制核心是授权角色和权限配置列表：

授权角色是基于ACL来实现的，支持角色继承，这个在ACL里可以定义，角色主要分为用户角色和虚拟角色。用户角色实际上就是用户；一个部门可以定义为虚拟角色，这样通过角色继承就能实现组织架构的权限管理！
权限配置列表有：连接、分享、上传、下载、复制、粘贴。
还可对访问时间、命令拦截、IP白名单进行定义，满足堡垒机对安全的需求。

详细的访问授权参数参考: 访问授权参数说明

资产单独配置

在 [资源管控 - 资产管理] 页面编辑资产时, 有和通用权限相似的配置, 只是无需再选择目标对象。保存后，该资产的权限配置会同步展示在 [资源管控 - 访问授权] 页面，便于统一管理。

在这里插入图片描述

批量快捷授权

批量快捷授权适用于对多个资源快速调整操作权限，支持目录、资产、账号的批量授权。

目录授权

管理员默认拥有资产树全部权限。普通用户如需管理资产树节点，需进行授权。
节点权限支持向下继承，授权节点后，用户将自动获得该节点及其所有子节点和资产的相关权限。

在 [资源管控 - 资产管理] 页面，点击资产树节点旁的【授权目录】，即可弹出授权窗口，配置访问权限和目录操作权限。

在这里插入图片描述

如上图所示，用户可配置访问权限和目录操作权限

访问权限: 选择授权角色并勾选操作权限，点击确定后，所选角色将获得相应的操作权限。
- 访问权限授权成功后, 会在 [资源管控 - 访问授权] 页面中对应生成一条授权配置
- 授权配置命名规则: node-目录ID-UUID
目录操作权限: 授权后，用户可在当前页面对有权限的节点及其子节点及资产进行查看、修改、删除和授权等操作。