字符主机自动改密配置与应用.doc

字符型主机自动改密的配置以及应用 目录 一、创建好密码管理员 1 二、主机资产以及账号的添加（此处以linux主机为例） 2 三、流程命令管理（改密脚本的制定） 5 四、目标主机账号选择改密脚本 8 五、账号改密计划的制定 10 六、改密审计记录查询 13 七、主机账号以及密码的保存与查看 14 八、其他主机的自动改密配置 18 1、AIX Version 5主机 18 2、思科交换机 19 3、SCO UNIX主机 21 4、SUSE LINUX主机 21 一、创建好密码管理员 密码管理员的创建涉及到资产账号的查看以及接受。 重中之重的是密码管理员的邮箱账号、附件加密密码的建立。以下示图因为界面太大了，所以只能分开截图。填好后点击“确定”即可。 二、主机资产以及账号的添加（此处以linux主机为例） 1、添加目标主机： 注意操作系统、登录提示、密码提示等信息一定要配置正常，否则会影响到主机的改密计划和登录。 2、添加主机账号和密码： 在界面中，我们可以看到3种账号属性“普通登录账号、特权切换命令、特权登录账号”： 普通登录账号：用于登录目标主机运维操作的账号。例如：user等普通账号 特权切换命令：用于切换到特权账号模式下的命令。例如：“su –”等切换命令。 特权登录账号：用于某一账号登录到目标主机后有修改账号密码的权利。例如：root账号等。 （1）、添加特权登录账号： 根据系统账号密码策略强度限制，普通账号在修改一次密码后需要过一段时间才能再次修改密码，为了实现短时间内多次修改普通账号密码，需要将有改密权限的账号添加到此处。Linux只有root账号有改密权限。所以要将root账户以及密码添加进去，并且选中“特权登录账号”。 在图中我们一定要注意“普通提示符”，有的主机系统的提示符不是“#”，那么此处就需要修改了。 还有就是勾选“启用密码同步”功能。这里是与改密计划同步的功能设置。 说明：如果要改root账号密码的话，就可以启用密码同步。如果root账号无法直接登录，那密码就改不了。 （2）、添加普通登录账号： 此处要注意的是提示符，有的主机系统不一定是“$”，那么我们就需要修改了。 还有就是要勾选“启用密码同步”功能。这里是与改密计划同步的功能设置。 （3）、添加特权切换命令： 注意图中的红色框框，是一定不能出错的。 账号名称：“su –”，这里因目标主机系统的账号切换命令而变。 账号密码：此处添加的是特权登录账号的密码，这个密码就是我们输入完su –并且回车之后，会提示要输入密码。这个就提示符就是图中的“普通提示符”的“assword:”后面的密码。 普通提示符：有的主机系统不一定是“assword:”，那么就需要修改了。 其他就不必选了。 添加完之后，我们就可看到以下添加好的账号了： 三、流程命令管理（改密脚本的制定） 在流程命令管理中，我们可以到3种命令集类型：流程运维、自动改密和额外登录： 流程运维：是针对自动命令的执行脚本的制定。 自动改密：是针对目标主机密码需自动改密脚本的制定。 额外登录：是针对特殊服务器（如HP服务器等）的登录方式而需的脚本制定。 此处我们讲解的是“自动改密”脚本的制定方法。其他命令集类型设置要了解可以参考用户使用手册。 1、 命令集名称（自动改密名称的建立）： 为了更好的理解改密脚本，我这里特意用汉字以示区分：“普通账号自动修改密码”和“root账号自动修改密码”。输入完名字，选中“自动改密”，最后点击“添加”即可。 2、 普通账号自动改密的设置： 点击普通账号自动改密后面的“命令编辑”，跳转到以下界面中： 点击界面中的“添加”按钮，跳转到以下界面： 说明：此处就关联到目标主机账号添加时的参数设置了。 A、提示： 账号提示符：对应的是需要自动改密的目标主机账号（普通登录账号）的提示符。如：$符号等。 特权提示符：对应的是特权登录账号的提示符。如：#符号等。 切换密码提示符：对应的是特权切换命令的提示符。如：输入完“su -”回车后出现的“password:”提示符。 B、命令： 特权切换命令：对应的是类似“su -”等切换命令。 （特权||切换）密码：对应的是输入完“su -”回车后，输入的密码（就是拥有改密权限账号的密码）。 账号密码：指的是对当前要修改的账号的密码。（一般用于要输入old password:） 自动密码：从堡垒机获取一个随机字符串作为密码。 指定命令：对某些主机系统进行账号改密命令的设置（passwd %{ACCOUNT}或username %{ACCOUNT} password %{NEWPASSWD}）。%{ACCOUNT}等是一种变量命令；passwd或username是因目标主机的改密命令变而定。 C、添加关系： 提示 命令 账号提示符（普通用户终端操作提示符$） ←→特权切换命令(su -) 切换密码提示符(Password:) ←→（特权||切换）密码(root超级用户密码) 特权提示符（超级用户终端操作提示符#） ←→指定命令（passwd %{ACCOUNT}类似“passwd user”改密命令） New UNIX password:（输入新密码提示符） ←→自动密码（来自于堡垒机生成字符串） Retype new UNIX password:（密码确认提示符）←→自动密码（堡垒机生成确认字符串） 特权提示符（超级用户终端操作提示符#） ←→exit（密码更改完毕退出超级用户登录窗口） 账号提示符（普通用户终端操作提示符$）←→exit（退出当前用户操作窗口） 全部添加好以后，如下图： 其实以上脚本设置过程就相当于Linux改密的步骤： 3、 root账号自动改密的设置： 针对root账号的改密脚本的设置相对比较简单。因为不用切换用户，root本身就拥有改密权限。只需添加以下对应关系即可：（前提：必须可以直接登录root账号，否则是不能对root账号改密） 改密流程类似以下步骤： 四、目标主机账号选择改密脚本 点击“目标主机”进入主机资产配置界面： 选择你要指定脚本的主机账号，点击“账号”即可进入： 点击“设置”按钮，即可弹出一个页面： 选择自动改密脚本： 脚本的选取跟在“流程命令管理”中制定的脚本是对应的，如果选择不正确的改密脚本会造成改密不成功。选中后，点击“确定”即可。 选择各自账号对应的改密脚本： 说明： 这里之所以选择不同的脚本，当然跟我制定的改密脚本不同。当然也可以制定一个通用的脚本。例如：root账号也可以用“普通账号自动改密”脚本。 记住： 改密脚本的制定是根据用户的实际环境而定的。我这里只是以linux主机为例。 五、账号改密计划的制定 在“安全策略管理”中，点击“账号改密计划”： 点击界面中的“添加”： 说明： 计划名称：给改密计划命名。 周期更新：选择主机密码更新的时间。 密码长度：就是改密的密码长度要求。 密码强度：制定随机自动生成的密码要求。 制定密码：启用指定的密码给目标主机账号，并以更改。 密码保存：修改成功以后，由密码管理员来管理并可查看修改结果。 例如：我要制定一个改密计划，每周的星期六下午2点钟对主机账号修改随机密码。密码要求有数字、大小写字母，并由堡垒机密码管理员账号：zhuaibing管理。 例如：我要制定一个改密计划，3月8号下午18点钟对目标主机修改我指定的一个密码，并由密码管理员账号：passwd管理。 制定完计划后，我们就是选择目标主机和主机账号了： 点击“增加目标设备”或“增加目标设备组”：进行目标主机或目标主机组的选择。 点击“增加系统账号”：进行目标主机账号的选择。 改密计划制定好以后就可以等待它的更新时间了。 六、改密审计记录查询 改密审计记录的查询可以更好的帮助我们判断账号是否更改成功。 点击“命令审计管理”中的“字符改密审计”： 在界面中，点击“屏幕”即可查看改密过程： 点击界面中的“播放”，可以看到录像记录： 七、主机账号以及密码的保存与查看 前面我们讲到了密码管理员的建立，以及改密计划中密码管理员的选择。此时就显示出密码管理员的作用了。因为主机账号以及其密码就是由密码管理员保存的。 密码管理员对主机账号以及其密码的保存有2种方式： 第一种：附件密码的保存方式。就是在创建密码管理员时，要设置附件密码。 查看方式： 用密码管理员登录到堡垒机后，将资产账号以及其密码导出： 进行解压： 输入附件密码即可： 第二种：附件密码+证书密码的保存方式。证书密码的设置在系统配置管理中的“安全证书管理”里中配置。 用密码管理员账号登录，下载好附件后，我们要用专门的解密工具才查看到文件。具体的使用方式可参考密码管理员使用操作文档。这里就不演示了。如果没有文档就向公司申请该操作文档。 最后文档显示结果如下：最好以写字板为打开方式，这样显示才稍微明了些。 八、其他主机的自动改密配置 1、AIX Version 5主机 （1）、AIX的普通账号手动改密步骤： AIX Version 5 (C) Copyrights by IBM and by others 1982, 2000. login: test test's Password: ******************************************************************************* * * * * * Welcome to AIX Version 5.1! * * * * * * Please see the README file in /usr/lpp/bos for information pertinent to * * this release of the AIX Operating System. * * * * * ******************************************************************************* Last unsuccessful login: Fri Mar 11 11:35:15 BEIST 2011 on /dev/pts/1 from 192.1 68.200.38 Last login: Fri Mar 11 11:35:23 BEIST 2011 on /dev/pts/1 from 192.168.200.38 $ passwd Changing password for "test" test's Old password: test's New password: Enter the new password again: $ exit （2）、脚本制定方式： 序号 提示符 命令 管理 1 帐号提示符 passwd 编辑 | 上移 | 下移 | 删除 2 Old password: 帐号密码 编辑 | 上移 | 下移 | 删除 3 New password: 自动密码 编辑 | 上移 | 下移 | 删除 4 new password again: 自动密码 编辑 | 上移 | 下移 | 删除 5 帐号提示符 exit 编辑 | 上移 | 下移 | 删除 2、思科交换机 （1）、交换机账号添加方式： 交换机远程登录账号添加： 交换机切换命令添加（即enable命令，因为enable不是登录账号）： （2）、交换机手动改密步骤： （3）、交换机改密脚本制定： 序号 提示符 命令 1 帐号提示符 特权切换命令 2 切换提示符 特权切换密码 3 # conf t 4 (config)# username %{ACCOUNT} password %{NEWPASSWD} 5 (config)# exit 6 # wr 7 # exit 3、SCO UNIX主机 （1）、手动改密步骤： SCO OpenServer(TM) Release 5 (hfyh.server5) (ttyp0) login: root Password: Last successful login for root: Wed Mar 16 09:46:17 2011 on ttyp0 Last unsuccessful login for root: Wed Mar 16 08:08:58 2011 on ttyp0 SCO OpenServer(TM) Release 5 (C) 1976-2000 The Santa Cruz Operation, Inc. (C) 1980-1994 Microsoft Corporation All rights reserved. For complete copyright credits, enter "copyrights" at the command prompt. NOTICE: Unregistered SCO software is installed on your system. Please refer to SCO's online help for registration information. you have mail TERM = (vt100)enter（这个随便输的，没有要求。或者直接回车也可以） tput: unknown terminal "enter" # passwd Setting password for user: root Last successful password change for root: Wed Mar 16 09:45:18 2011 Last unsuccessful password change for root: Wed Mar 16 09:47:07 2011 Choose password You can choose whether you pick a password, or have the system create one for you. 1. Pick a password 2. Pronounceable password will be generated for you Enter choice (default is 1): 1 Please enter new password: New password: Re-enter password: # exit （2）、改密脚本制定： 序号 提示符 命令 1 TERM = (vt100) enter 2 # passwd 3 Enter choice (default is 1): 1 4 New password: 自动密码 5 Re-enter password: 自动密码 6 # exit 4、SUSE LINUX主机 （1）、手动改密步骤： Welcome to SUSE LINUX Enterprise Server 9 (x86_64) - Kernel 2.6.5-7.244-smp (18: 44 on Wednesday, 16 March 2011). bkserver login: SJTEST@bkserver:~> passwd Changing password for SJTEST. Old Password: New password: Re-enter new password: Password changed SJTEST@bkserver:~> （2）、改密脚本制定： 序号 提示符 命令 1 > passwd 2 Old Password: 帐号密码 3 New password: 自动密码 4 Re-enter new password: 自动密码 5 > exit