本文详细介绍如何利用堡垒机实现Windows、Linux及Unix系统的自动密码修改功能,包括设置改密频率、选择改密主账号、指定需改密的用户等步骤,并介绍了密码策略设置、前后台手动改密方法及故障排查技巧。
1、堡垒机设置部分
自动修改密码可以为Windows系统、Linux系统、Unix系统进行密码托管,并且按运维相关要求进行口令强度和周期的修改。
堡垒机上设置一台设备自动修改密码按如下步骤:
(1)设置修改密码的频率
在设备管理菜单中编辑设备,其中修改方式就是自动改密的频率,按月指每月几号修改,按周是每周几修改,自定义是多少天修改一次,比如下面的设置为一天修改一次,如果把频率设置为30,则为30天修改一次,如果设备为Linux/Unix系统,并且root用户不能自动登录,则必须在这个页面输入超级管理员口令.
(2)设置修改密码主帐号(Linux/Unix)
如果需要一台Linux/Unix主机进行自动改密,则需要一个改密主帐号,Linux/Unix是通过登录协议登录到主机运行passwd命令进行密码自动修改的,系统是通过改密主帐号完成这一操作,即不管这台主机上有多少个用户,Linux/Unix都使用改密主帐号登录到系统上,使用passwd命令来完成所有的用户的密码修改,因此,改密主帐号必须有root权限(或可以通过上步输入的密码su成root)。
设置了修改密码的频率后,需要指定主机上的改密主帐号,即打开这个主机的帐号页面,编辑为改密主帐号的那个用户,将修改密码主帐号勾选,如果这个帐号不是root权限,则必须勾选改密时su为超级用户.
(3).选择需要修改密码的用户
即使设置了改密频率和改密主帐号,系统也只修改这台主机上勾选了自动修改密码的帐号密码,即,如果用户没有勾选自动修改密码,则这个帐号即使到了改密周期,系统也不会对这个帐号进行密码修改。
编辑需要自动修改密码的用户,勾选自动修改密码选项
2、密码策略
系统可以设置自动修改密码时的密码策略,在资源管理-策略设置-自动改密菜单中,进行密码策略修改,主要包含密码长度、强度、记忆次数等,如果在这里设置了密码策略,在前台手工修改密码时,则必须符合这里的策略,否则无法修改成功
3、手工修改
(1)前台修改:
前台可以手工进行密码修改测试,使用password用户登录到系统,在密码管理-修改密码菜单中,选择相应的设备组,如果在正文的密码对话框中输入密码,则所有的设备会被强制修改为这里输入的密码,如果输入了IP和用户,则只修改相应的IP和用户的密码,在密码修改里,如果下拉强制修改,则修改所有勾选了自动修改密码的用户(即使这个用户不到改密周期),选择好相应的条件后,点击生成密码按钮
系统会列出所有的具备条件的主机列表,这时用户可以在即时修改那列选去不希望修改密码的主机,点击立即
修改密码按钮,系统即会启动密码修改程序
(2)后台修改:
用户也可以通过ssh到堡垒机后台运行命令进行修改,后台修改的好处为可以看到系统修改的整个过程,登录到后台后运行命令
1.可执行文件的路径在/opt/freesvr/audit/passwd/sbin/freesvr-passwd
2.运行方法
2.1 可以不加参数,表示修改所有的服务器上所有用户的密码
2.2 可以加 -g groupname
参数,表示可以修改 名字为 groupname
这个设备组的所有服务器的密码(与servergroup表相关)例如
-g change
2.3 可以加 -s ip
参数,表示修改 所有地址为ip的服务器的密码
例如 -s
222.35.62.170
2.4 可以加 -u username
参数, 表示 修改 所有用户名等于 username的
帐号的密码(此参数与服务器的ip地址无关),
例如 -u monitor
2.5 可以加 -p password
参数,指定修改后的新密码为password,
例如 -p freesvr
没有-p参数,系统将随机生成12位密码
2.6 可以加 -f
参数,表示强制修改。不加此参数,系统根据servers表里的month,week,user_define来判断此时此刻是否应该修改密码,加了-f,不论时间到了没有,强制修改。
2.7 以上个参数,都是可以加,可以不加,随意组合。唯一的禁忌就是有了-g 和 -s不能共存,例如:
修改所有的用户的命令:
/opt/freesvr/audit/passwd/sbin/freesvr-passwd
–f
只修改主机192.168.1.1上用户密码的命令:
/opt/freesvr/audit/passwd/sbin/freesvr-passwd -s
192.168.1.1 –f
只修改服务器组change中的所有服务器上的用户密码的命令:
/opt/freesvr/audit/passwd/sbin/freesvr-passwd -g
change –f
4、自动修改
使用password用户登录到前台,选择菜单密码管理-定时任务菜单,勾选改密服务的复选,然后在时间上进行选择,如果选择*表示所有的时间,比如下面表示每天的1点1分进行密码修改
注意:为了不影响用户使用,密码自动修改服务要在每天凌晨没有人使用的时候进行
5、故障排除
系统的整个密码修改过程都记录在日志文件 :
/opt/freesvr/audit/passwd/log/freesvr_passwd.log
中,如果密码修改出现任何问题可以将这个文件取下送到厂商进行分析
另外系统修改完毕后,可以登录到后台使用自动拨测工具进行拨测,测试密码是否正常,方式为登录到系统后台,运行命令:
/opt/freesvr/audit/dial/sbin/freesvr-dial
6、密码文件取得
(1)
邮件方式
系统可以配置正确的SMTP服务器,将密码通过SMTP服务器发送到password用户的邮箱,出于权限分离,发送的密码为加密方式,加密的密码会发送到admin邮箱,加密密码也是加密的,需要password、audit、admin,三人同时输入密码才可以得到正确的解压密码。
在系统配置-参数配置-告警配置中设置发送密码文件的来源邮箱,每次修改密码后,系统都会自动将密码文件和加密的密钥发送到password和admin的邮箱。
Admin用户在资产管理-密码密钥菜单中,通过文件名可以找到对应加密密码文件的解密密钥,找到相同文件名的行,点查看,在弹出的菜单中需要audit和password用户输入密码,就可以看到这个文件的解密密钥,如果未发现密钥行,可以点击正文的添加按钮,从admin用户的邮箱中,找到加密的字符串,添加到系统后,在通过上面的方式即可以取得密钥。
6、密码上传
(1)
SFTP上传到其它Linux
系统可以使用sftp协议将密码和密钥定期上传到其它Linux上,使用admin用户登录到系统,在系统配置-系统管理-数据同步菜单,新建一个同步条目:
描述项为本条目的标识名称
同步模式需要选择为密码文件
同步地址写上传的LINUX地址
同步端口为上传的LINUX
SSH端口号
系统用户、系统用户密码为上传的LINUX上的用户名和密码,程序会用这个用户上传文件
备份目录为上传的位置
同步协议选择为sftp
点击确实后,登录到系统后台 ,使用crontab
–e命令,增加一条启动备份程序:
1 1 * * *
/home/wuxiaolong/5_backup/backup_passwd.pl
上述条目,可以在每天凌晨1点1分将密码文件上传备份。
系统配置好以后,可以直接运行
/home/wuxiaolong/5_backup/backup_passwd.pl
命令进行手工测试。
扫一扫
2666
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
