字符主机自动改密配置与应用

字符型主机自动改密的配置以及应用目录一、创建好密码管理员...................................................................................................1二、主机资产以及账号的添加（此处以linux主机为例）.......................................2三、流程命令管理（改密脚本的制定）.......................................................................5四、目标主机账号选择改密脚本...................................................................................8五、账号改密计划的制定.............................................................................................10六、改密审计记录查询.................................................................................................13七、主机账号以及密码的保存与查看.........................................................................14八、其他主机的自动改密配置.....................................................................................181、AIXVersion5主机................................................................................................182、思科交换机...............................................................................................................193、SCOUNIX主机..........................................................................................................214、SUSELINUX主机......................................................................................................22一、创建好密码管理员密码管理员的创建涉及到资产账号的查看以及接受。重中之重的是密码管理员的邮箱账号、附件加密密码的建立。以下示图因为界面太大了，所以只能分开截图。填好后点击“确定”即可。二、主机资产以及账号的添加（此处以linux主机为例）1、添加目标主机：注意操作系统、登录提示、密码提示等信息一定要配置正常，否则会影响到主机的改密计划和登录。2、添加主机账号和密码：在界面中，我们可以看到3种账号属性“普通登录账号、特权切换命令、特权登录账号”：普通登录账号：用于登录目标主机运维操作的账号。例如：user等普通账号特权切换命令：用于切换到特权账号模式下的命令。例如：“su–”等切换命令。特权登录账号：用于某一账号登录到目标主机后有修改账号密码的权利。例如：root账号等。（1）、添加特权登录账号：根据系统账号密码策略强度限制，普通账号在修改一次密码后需要过一段时间才能再次修改密码，为了实现短时间内多次修改普通账号密码，需要将有改密权限的账号添加到此处。Linux只有root账号有改密权限。所以要将root账户以及密码添加进去，并且选中“特权登录账号”。在图中我们一定要注意“普通提示符”，有的主机系统的提示符不是“#”，那么此处就需要修改了。还有就是勾选“启用密码同步”功能。这里是与改密计划同步的功能设置。说明：如果要改root账号密码的话，就可以启用密码同步。如果root账号无法直接登录，那密码就改不了。（2）、添加普通登录账号：此处要注意的是提示符，有的主机系统不一定是“$”，那么我们就需要修改了。还有就是要勾选“启用密码同步”功能。这里是与改密计划同步的功能设置。（3）、添加特权切换命令：注意图中的红色框框，是一定不能出错的。账号名称：“su–”，这里因目标主机系统的账号切换命令而变。账号密码：此处添加的是特权登录账号的密码，这个密码就是我们输入完su–并且回车之后，会提示要输入密码。这个就提示符就是图中的“普通提示符”的“assword:”后面的密码。普通提示符：有的主机系统不一定是“assword:”，那么就需要修改了。其他就不必选了。添加完之后，我们就可看到以下添加好的账号了：三、流程命令管理（改密脚本的制定）在流程命令管理中，我们可以到3种命令集类型：流程运维、自动改密和额外登录：流程运维：是针对自动命令的执行脚本的制定。自动改密：是针对目标主机密码需自动改密脚本的制定。额外登录：是针对特殊服务器（如HP服务器等）的登录方式而需的脚本制定。此处我们讲解的是“自动改密”脚本的制定方法。其他命令集类型设置要了解可以参考用户使用手册。1、命令集名称（自动改密名称的建立）：为了更好的理解改密脚本，我这里特意用汉字以示区分：“普通账号自动修改密码”和“root账号自动修改密码”。输入完名字，选中“自动改密”，最后点击“添加”即可。2、普通账号自动改密的设置：点击普通账号自动改密后面的“命令编辑”，跳转到以下界面中：点击界面中的“添加”按钮，跳转到以下界面：说明：此处就关联到目标主机账号添加时的参数设置了。A、提示：账号提示符：对应的是需要自动改密的目标主机账号（普通登录账号）的提示符。如：$符号等。特权提示符：对应的是特权登录账号的提示符。如：#符号等。切换密码提示符：对应的是特权切换命令的提示符。如：输入完“su-”回车后出现的“password:”提示符。B、命令：特权切换命令：对应的是类似“su-”等切换命令。（特权||切换）密码：对应的是输入完“su-”回车后，输入的密码（就是拥有改密权限账号的密码）。账号密码：指的是对当前要修改的账号的密码。（一般用于要输入oldpassword:）自动密码：从堡垒机获取一个随机字符串作为密码。指定命令：对某些主机系统进行账号改密命令的设置（passwd%{ACCOUNT}或username%{ACCOUNT}password%{NEWPASSWD}）。%{ACCOUNT}等是一种变量命令；passwd或username是因目标主机的改密命令变而定。C、添加关系：提示命令账号提示符（普通用户终端操作提示符$）←→特权切换命令(su-)切换密码提示符(Password:)←→（特权||切换）密码(root超级用户密码)特权提示符（超级用户终端操作提示符#）←→指定命令（passwd%{ACCOUNT}类似“passwduser”改密命令）NewUNIXpassword:（输入新密码提示符）←→自动密码（来自于堡垒机生成字符串）RetypenewUNIXpassword:（密码确认提示符）←→自动密码（堡垒机生成确认字符串）特权提示符（超级用户终端操作提示符#）←→exit（密码更改完毕退出超级用户登录窗口）账号提示符（普通用户终端操作提示符$）←→exit（退出当前用户操作窗口）全部添加好以后，如下图：其实以上脚本设置过程就相当于Linux改密的步骤：3、root账号自动改密的设置：针对root账号的改密脚本的设置相对比较简单。因为不用切换用户，root本身就拥有改密权限。只需添加以下对应关系即可：（前提：必须可以直接登录root账号，否则是不能对root账号改密）改密流程类似以下步骤：四、目标主机账号选择改密脚本点击“目标主机”进入主机资产配置界面：选择你要指定脚本的主机账号，点击“账号”即可进入：点击“设置”按钮，即可弹出一个页面：选择自动改密脚本：脚本的选取跟在“流程命令管理”中制定的脚本是对应的，如果选择不正确的改密脚本会造成改密不成功。选中后，点击“确定”即可。选择各自账号对应的改密脚本：说明：这里之所以选择不同的脚本，当然跟我制定的改密脚本不同。当然也可以制定一个通用的脚本。例如：root账号也可以用“普通账号自动改密”脚本。记住：改密脚本的制定是根据用户的实际环境而定的。我这里只是以linux主机为例。五、账号改密计划的制定在“安全策略管理”中，点击“账号改密计划”：点击界面中的“添加”：说明：计划名称：给改密计划命名。周期更新：选择主机密码更新的时间。密码长度：就是改密的密码长度要求。密码强度：制定随机自动生成的密码要求。制定密码：启用指定的密码给目标主机账号，并以更改。密码保存：修改成功以后，由密码管理员来管理并可查看修改结果。例如：我要制定一个改密计划，每周的星期六下午2点钟对主机账号修改随机密码。密码要求有数字、大小写字母，并由堡垒机密码管理员账号：zhuaibing管理。例如：我要制定一个改密计划，3月8号下午18点钟对目标主机修改我指定的一个密码，并由密码管理员账号：passwd管理。制定完计划后，我们就是选择目标主机和主机账号了：点击“增加目标设备”或“增加目标设备组”：进行目标主机或目标主机组的选择。点击“增加系统账号”：进行目标主机账号的选择。改密计划制定好以后就可以等待它的更新时间了。六、改密审计记录查询改密审计记录的查询可以更好的帮助我们判断账号是否更改成功。点击“命令审计管理”中的“字符改密审计”：在界面中，点击“屏幕”即可查看改密过程：点击界面中的“播放”，可以看到录像记录：七、主机账号以及密码的保存与查看前面我们讲到了密码管理员的建立，以及改密计划中密码管理员的选择。此时就显示出密码管理员的作用了。因为主机账号以及其密码就是由密码管理员保存的。密码管理员对主机账号以及其密码的保存有2种方式：第一种：附件密码的保存方式。就是在创建密码管理员时，要设置附件密码。查看方式：用密码管理员登录到堡垒机后，将资产账号以及其密码导出：进行解压：输入附件密码即可：第二种：附件密码+证书密码的保存方式。证书密码的设置在系统配置管理中的“安全证书管理”里中配置。用密码管理员账号登录，下载好附件后，我们要用专门的解密工具才查看到文件。具体的使用方式可参考密码管理员使用操作文档。这里就不演示了。如果没有文档就向公司申请该操作文档。最后文档显示结果如下：最好以写字板为打开方式，这样显示才稍微明了些。八、其他主机的自动改密配置1、AIXVersion5主机（1）、AIX的普通账号手动改密步骤：AIXVersion5(C)CopyrightsbyIBMandbyothers1982,2000.login:testtest'sPassword:************************************************************************************WelcometoAIXVersion5.1!******PleaseseetheREADMEfilein/usr/lpp/bosforinformationpertinentto**thisreleaseoftheAIXOperatingSystem.************************************************************************************Lastunsuccessfullogin:FriMar1111:35