字符主机自动改密配置与应用

字符型主机自动改密的配置以及应用字符型主机自动改密的配置以及应用 目录目录 一 创建好密码管理员 1 二 主机资产以及账号的添加 此处以 linux 主机为例 2 三 流程命令管理 改密脚本的制定 5 四 目标主机账号选择改密脚本 8 五 账号改密计划的制定 10 六 改密审计记录查询 13 七 主机账号以及密码的保存与查看 14 八 其他主机的自动改密配置 18 1 AIX Version 5 主机 18 2 思科交换机 19 3 SCO UNIX 主机 21 4 SUSE LINUX 主机 21 一 创建好密码管理员一 创建好密码管理员 密码管理员的创建涉及到资产账号的查看以及接受 重中之重的是密码管理员的邮箱账号 附件加密密码的建立 以下示图因为界面太大 了 所以只能分开截图 填好后点击 确定 即可 二 主机资产以及账号的添加 二 主机资产以及账号的添加 此处以此处以 linuxlinux 主机为例主机为例 1 添加目标主机 添加目标主机 注意操作系统 登录提示 密码提示等信息一定要配置正常 否则会影响到主机的改 密计划和登录 2 添加主机账号和密码 添加主机账号和密码 在界面中 我们可以看到 3 种账号属性 普通登录账号 特权切换命令 特权登录账 号 普通登录账号 用于登录目标主机运维操作的账号 例如 user 等普通账号 特权切换命令 用于切换到特权账号模式下的命令 例如 su 等切换命令 特权登录账号 用于某一账号登录到目标主机后有修改账号密码的权利 例如 root 账号 等 1 添加特权登录账号 根据系统账号密码策略强度限制 普通账号在修改一次密码后需要过一段时间才能再 次修改密码 为了实现短时间内多次修改普通账号密码 需要将有改密权限的账号添加到 此处 Linux 只有 root 账号有改密权限 所以要将 root 账户以及密码添加进去 并且选中 特权登录账号 在图中我们一定要注意 普通提示符 有的主机系统的提示符不是 那么此处就 需要修改了 还有就是勾选 启用密码同步 功能 这里是与改密计划同步的功能设置 说明 如果要改 root 账号密码的话 就可以启用密码同步 如果 root 账号无法直接登 录 那密码就改不了 2 添加普通登录账号 此处要注意的是提示符 有的主机系统不一定是 那么我们就需要修改了 还有就是要勾选 启用密码同步 功能 这里是与改密计划同步的功能设置 3 添加特权切换命令 注意图中的红色框框 是一定不能出错的 账号名称 su 这里因目标主机系统的账号切换命令而变 账号密码 此处添加的是特权登录账号的密码 这个密码就是我们输入完 su 并且回 车之后 会提示要输入密码 这个就提示符就是图中的 普通提示符 的 assword 后 面的密码 普通提示符 有的主机系统不一定是 assword 那么就需要修改了 其他就不必选了 添加完之后 我们就可看到以下添加好的账号了 三 流程命令管理 改密脚本的制定 三 流程命令管理 改密脚本的制定 在流程命令管理中 我们可以到 3 种命令集类型 流程运维 自动改密和额外登录 流程运维 是针对自动命令的执行脚本的制定 自动改密 是针对目标主机密码需自动改密脚本的制定 额外登录 是针对特殊服务器 如 HP 服务器等 的登录方式而需的脚本制定 此处我们讲解的是 自动改密 脚本的制定方法 其他命令集类型设置要了解可以参 考用户使用手册 1 命令集名称 自动改密名称的建立 命令集名称 自动改密名称的建立 为了更好的理解改密脚本 我这里特意用汉字以示区分 普通账号自动修改密码 和 root 账号自动修改密码 输入完名字 选中 自动改密 最后点击 添加 即可 2 普通账号自动改密的设置 普通账号自动改密的设置 点击普通账号自动改密后面的 命令编辑 跳转到以下界面中 点击界面中的 添加 按钮 跳转到以下界面 说明 此处就关联到目标主机账号添加时的参数设置了 A 提示 账号提示符 对应的是需要自动改密的目标主机账号 普通登录账号 的提示符 如 符 号等 特权提示符 对应的是特权登录账号的提示符 如 符号等 切换密码提示符 对应的是特权切换命令的提示符 如 输入完 su 回车后出现的 password 提示符 B 命令 特权切换命令 对应的是类似 su 等切换命令 特权 切换 密码 对应的是输入完 su 回车后 输入的密码 就是拥有改密权限账 号的密码 账号密码 指的是对当前要修改的账号的密码 一般用于要输入 old password 自动密码 从堡垒机获取一个随机字符串作为密码 指定命令 对某些主机系统进行账号改密命令的设置 passwd ACCOUNT 或 username ACCOUNT password NEWPASSWD ACCOUNT 等是一种变量命令 passwd 或 username 是因目标主机的改密命令变而定 C 添加关系 提示 命令 账号提示符 普通用户终端操作提示符 特权切换命令 su 切换密码提示符 Password 特权 切换 密码 root 超级用户密码 特权提示符 超级用户终端操作提示符 指定命令 passwd ACCOUNT 类似 passwd user 改密命令 New UNIX password 输入新密码提示符 自动密码 来自于堡垒机生成字符串 Retype new UNIX password 密码确认提示符 自动密码 堡垒机生成确认字符串 特权提示符 超级用户终端操作提示符 exit 密码更改完毕退出超级用户登录窗 口 账号提示符 普通用户终端操作提示符 exit 退出当前用户操作窗口 全部添加好以后 如下图 其实以上脚本设置过程就相当于 Linux 改密的步骤 3 root 账号自动改密的设置 账号自动改密的设置 针对 root 账号的改密脚本的设置相对比较简单 因为不用切换用户 root 本身就拥有改密 权限 只需添加以下对应关系即可 前提 必须可以直接登录 root 账号 否则是不能对 root 账号改密 改密流程类似以下步骤 四 目标主机账号选择改密脚本四 目标主机账号选择改密脚本 点击 目标主机 进入主机资产配置界面 选择你要指定脚本的主机账号 点击 账号 即可进入 点击 设置 按钮 即可弹出一个页面 选择自动改密脚本 脚本的选取跟在 流程命令管理 中制定的脚本是对应的 如果选择不正确的改密脚 本会造成改密不成功 选中后 点击 确定 即可 选择各自账号对应的改密脚本 说明 这里之所以选择不同的脚本 当然跟我制定的改密脚本不同 当然也可以制定一个通 用的脚本 例如 root 账号也可以用 普通账号自动改密 脚本 记住 改密脚本的制定是根据用户的实际环境而定的 我这里只是以 linux 主机为例 五 账号改密计划的制定五 账号改密计划的制定 在 安全策略管理 中 点击 账号改密计划 点击界面中的 添加 说明 计划名称 给改密计划命名 周期更新 选择主机密码更新的时间 密码长度 就是改密的密码长度要求 密码强度 制定随机自动生成的密码要求 制定密码 启用指定的密码给目标主机账号 并以更改 密码保存 修改成功以后 由密码管理员来管理并可查看修改结果 例如 我要制定一个改密计划 每周的星期六下午 2 点钟对主机账号修改随机密码 密码要求有数字 大小写字母 并由堡垒机密码管理员账号 zhuaibing 管理 例如 我要制定一个改密计划 3 月 8 号下午 18 点钟对目标主机修改我指定的一个密 码 并由密码管理员账号 passwd 管理 制定完计划后 我们就是选择目标主机和主机账号了 点击 增加目标设备 或 增加目标设备组 进行目标主机或目标主机组的选择 点击 增加系统账号 进行目标主机账号的选择 改密计划制定好以后就可以等待它的更新时间了 六 改密审计记录查询六 改密审计记录查询 改密审计记录的查询可以更好的帮助我们判断账号是否更改成功 点击 命令审计管理 中的 字符改密审计 在界面中 点击 屏幕 即可查看改密过程 点击界面中的 播放 可以看到录像记录 七 主机账号以及密码的保存与查看七 主机账号以及密码的保存与查看 前面我们讲到了密码管理员的建立 以及改密计划中密码管理员的选择 此时就显示 出密码管理员的作用了 因为主机账号以及其密码就是由密码管理员保存的 密码管理员对主机账号以及其密码的保存有 2 种方式 第一种 附件密码的保存方式 就是在创建密码管理员时 要设置附件密码 第一种 附件密码的保存方式 就是在创建密码管理员时 要设置附件密码 查看方式 用密码管理员登录到堡垒机后 将资产账号以及其密码导出 进行解压 输入附件密码即可 第二种 附件密码第二种 附件密码 证书密码的保存方式 证书密码的设置在系统配置管理中的证书密码的保存方式 证书密码的设置在系统配置管理中的 安全证安全证 书管理书管理 里中配置 里中配置 用密码管理员账号登录 下载好附件后 我们要用专门的解密工具才查看到文件 具 体的使用方式可参考密码管理员使用操作文档 这里就不演示了 如果没有文档就向公司 申请该操作文档 最后文档显示结果如下 最好以写字板为打开方式 这样显示才稍微明了些 八 其他主机的自动改密配置八 其他主机的自动改密配置 1 1 AIXAIX VersionVersion 5 5 主机主机 1 AIX 的普通账号手动改密步骤 AIX Version 5 C Copyrights by IBM and by others 1982 2000 login test test s Password Welcome to AIX Version 5 1 Please see the README file in usr lpp bos for information pertinent to this release of the AIX Operating System Last unsuccessful login Fri Mar 11 11 35 15 BEIST 2011 on dev pts 1 from 192 1 68 200 38 Last login Fri Mar 11 11 35 23 BEIST 2011 on dev pts 1 from 192 168 200 38 passwd Changing password for test test s Old password test s New password Enter the new password again exit 2 脚本制定方式 序号 提示符 命令 管理 1 帐号提示符 passwd 编辑 上移 下移 删除 2 Old password 帐号密码 编辑 上移 下移 删除 3 New password 自动密码 编辑 上移 下移 删除 4 new password again 自动密码 编辑 上移 下移 删除 5 帐号提示符 exit 编辑 上移 下移 删除 2 2 思科交换机 思科交换机 1 交换机账号添加方式 交换机远程登录账号添加 交换机切换命令添加 即 enable 命令 因为 enable 不是登录账号 2 交换机手动改密步骤 3 交换机改密脚本制定 序号 提示符 命令 1 帐号提示符 特权切换命令 2 切换提示符 特权切换密码 3 conf t 4 config username ACCOUNT password NEWPASSWD 5 config exit 6 wr 7 exit 3 3 SCOSCO UNIXUNIX 主机主机 1 手动改密步骤 SCO OpenServer TM Release 5 hfyh server5 ttyp0 login root Password Last successful login for root Wed Mar 16 09 46 17 2011 on ttyp0 Last unsuccessful login for root Wed Mar 16 08 08 58 2011 on ttyp0 SCO OpenServer TM Release 5 C 1976 2000 The Santa Cruz Operation Inc C 1980 1994 Microsoft Corporation All rights reserved For complete copyright credits enter copyrights at the command prompt NOTICE Unregistered SCO software is installed on your system Please refer to SCO s online help for registration information you have mail TERM vt100 enter 这个随便输的 没有要求 或者直接回车也可以 tput unknown terminal enter passwd Setting password for user root Last successful password change for root Wed Mar 16 09 45 18 2011 Last unsuccessful password change for root Wed Mar 16 09 47 07 2011 Choose password You can choose whether you pick a password or have the system create one for you 1 Pick a password 2 Pronounceable password will