麒麟linux修改密码,麒麟堡垒机密码定期修改手册
1、堡垒机设置部分
自动修改密码可以为Windows系统、Linux系统、Unix系统进行密码托管,并且按运维相关要求进行口令强度和周期的修改。
堡垒机上设置一台设备自动修改密码按如下步骤:
(1)设置修改密码的频率
在设备管理菜单中编辑设备,其中修改方式就是自动改密的频率,按月指每月几号修改,按周是每周几修改,自定义是多少天修改一次,比如下面的设置为一天修改一次,如果把频率设置为30,则为30天修改一次,如果设备为Linux/Unix系统,并且root用户不能自动登录,则必须在这个页面输入超级管理员口令.
(2)设置修改密码主帐号(Linux/Unix)
如果需要一台Linux/Unix主机进行自动改密,则需要一个改密主帐号,Linux/Unix是通过登录协议登录到主机运行passwd命令进行密码自动修改的,系统是通过改密主帐号完成这一操作,即不管这台主机上有多少个用户,Linux/Unix都使用改密主帐号登录到系统上,使用passwd命令来完成所有的用户的密码修改,因此,改密主帐号必须有root权限(或可以通过上步输入的密码su成root)。
设置了修改密码的频率后,需要指定主机上的改密主帐号,即打开这个主机的帐号页面,编辑为改密主帐号的那个用户,将修改密码主帐号勾选,如果这个帐号不是root权限,则必须勾选改密时su为超级用户.
(3).选择需要修改密码的用户
即使设置了改密频率和改密主帐号,系统也只修改这台主机上勾选了自动修改密码的帐号密码,即,如果用户没有勾选自动修改密码,则这个帐号即使到了改密周期,系统也不会对这个帐号进行密码修改。
编辑需要自动修改密码的用户,勾选自动修改密码选项
2、密码策略
系统可以设置自动修改密码时的密码策略,在资源管理-策略设置-自动改密菜单中,进行密码策略修改,主要包含密码长度、强度、记忆次数等,如果在这里设置了密码策略,在前台手工修改密码时,则必须符合这里的策略,否则无法修改成功
3、手工修改
(1)前台修改:
前台可以手工进行密码修改测试,使用password用户登录到系统,在密码管理-修改密码菜单中,选择相应的设备组,如果在正文的密码对话框中输入密码,则所有的设备会被强制修改为这里输入的密码,如果输入了IP和用户,则只修改相应的IP和用户的密码,在密码修改里,如果下拉强制修改,则修改所有勾选了自动修改密码的用户(即使这个用户不到改密周期),选择好相应的条件后,点击生成密码按钮
系统会列出所有的具备条件的主机列表,这时用户可以在即时修改那列选去不希望修改密码的主机,点击立即
修改密码按钮,系统即会启动密码修改程序
(2)后台修改:
用户也可以通过ssh到堡垒机后台运行命令进行修改,后台修改的好处为可以看到系统修改的整个过程,登录到后台后运行命令
1.可执行文件的路径在/opt/freesvr/audit/passwd/sbin/freesvr-passwd
2.运行方法
2.1 可以不加参数,表示修改所有的服务器上所有用户的密码
2.2 可以加 -g groupname
参数,表示可以修改 名字为 groupname
这个设备组的所有服务器的密码(与servergroup表相关)例如
-g change
2.3 可以加 -s ip
参数,表示修改 所有地址为ip的服务器的密码
例如 -s
222.35.62.170
2.4 可以加 -u username
参数, 表示 修改 所有用户名等于 username的
帐号的密码(此参数与服务器的ip地址无关),
例如 -u monitor
2.5 可以加 -p password
参数,指定修改后的新密码为password,
例如 -p freesvr
没有-p参数,系统将随机生成12位密码
2.6 可以加 -f
参数,表示强制修改。不加此参数,系统根据servers表里的month,week,user_define来判断此时此刻是否应该修改密码,加了-f,不论时间到了没有,强制修改。
2.7 以上个参数,都是可以加,可以不加,随意组合。唯一的禁忌就是有了-g 和 -s不能共存,例如:
修改所有的用户的命令:
/opt/freesvr/audit/passwd/sbin/freesvr-passwd
–f
只修改主机192.168.1.1上用户密码的命令:
/opt/freesvr/audit/passwd/sbin/freesvr-passwd -s
192.168.1.1 –f
只修改服务器组change中的所有服务器上的用户密码的命令:
/opt/freesvr/audit/passwd/sbin/freesvr-passwd -g
change –f
4、自动修改
使用password用户登录到前台,选择菜单密码管理-定时任务菜单,勾选改密服务的复选,然后在时间上进行选择,如果选择*表示所有的时间,比如下面表示每天的1点1分进行密码修改
注意:为了不影响用户使用,密码自动修改服务要在每天凌晨没有人使用的时候进行
5、故障排除
系统的整个密码修改过程都记录在日志文件 :
/opt/freesvr/audit/passwd/log/freesvr_passwd.log
中,如果密码修改出现任何问题可以将这个文件取下送到厂商进行分析
另外系统修改完毕后,可以登录到后台使用自动拨测工具进行拨测,测试密码是否正常,方式为登录到系统后台,运行命令:
/opt/freesvr/audit/dial/sbin/freesvr-dial
6、密码文件取得
(1)
邮件方式
系统可以配置正确的SMTP服务器,将密码通过SMTP服务器发送到password用户的邮箱,出于权限分离,发送的密码为加密方式,加密的密码会发送到admin邮箱,加密密码也是加密的,需要password、audit、admin,三人同时输入密码才可以得到正确的解压密码。
在系统配置-参数配置-告警配置中设置发送密码文件的来源邮箱,每次修改密码后,系统都会自动将密码文件和加密的密钥发送到password和admin的邮箱。
Admin用户在资产管理-密码密钥菜单中,通过文件名可以找到对应加密密码文件的解密密钥,找到相同文件名的行,点查看,在弹出的菜单中需要audit和password用户输入密码,就可以看到这个文件的解密密钥,如果未发现密钥行,可以点击正文的添加按钮,从admin用户的邮箱中,找到加密的字符串,添加到系统后,在通过上面的方式即可以取得密钥。
6、密码上传
(1)
SFTP上传到其它Linux
系统可以使用sftp协议将密码和密钥定期上传到其它Linux上,使用admin用户登录到系统,在系统配置-系统管理-数据同步菜单,新建一个同步条目:
描述项为本条目的标识名称
同步模式需要选择为密码文件
同步地址写上传的LINUX地址
同步端口为上传的LINUX
SSH端口号
系统用户、系统用户密码为上传的LINUX上的用户名和密码,程序会用这个用户上传文件
备份目录为上传的位置
同步协议选择为sftp
点击确实后,登录到系统后台 ,使用crontab
–e命令,增加一条启动备份程序:
1 1 * * *
/home/wuxiaolong/5_backup/backup_passwd.pl
上述条目,可以在每天凌晨1点1分将密码文件上传备份。
系统配置好以后,可以直接运行
/home/wuxiaolong/5_backup/backup_passwd.pl
命令进行手工测试。
麒麟linux修改密码,麒麟堡垒机密码定期修改手册相关推荐
- 免otp动态密码登录堡垒机
环境准备 安装brew 参考文档:https://brew.sh/index_zh-cn.html 安装oath-toolkit 和expect brew install oath-toolkit b ...
- Linux Centos7 搭建简易堡垒机安装jailkit实现chroot
Linux Centos7 搭建简易堡垒机安装jailkit实现chroot 一.什么是堡垒机 堡垒机,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手 ...
- Mac堡垒机密码加身份验证器动态口令全自动登录(带全局登录命令)
公司堡垒机采用密码+身份认证器双重验证登录,每次登录都需要找手机或者浏览器上的谷歌身份验证器插件看动态码,特别不方便,折腾半天实现了mac上自动登录功能,记录一下. 需求描述: 实现免密登录 实现身份 ...
- 堡垒机-麒麟堡垒机动态口令使用手册
一.管理员部分 1.在其它-licenses菜单查看动态口令许可是否打开,如果未打开联系厂商重新生成许可 2.找厂商生成密钥文件,密钥文件中包含令牌种子,在其它-动态令牌菜单将密钥文件导入即可看到所有 ...
- 麒麟linux创建用户组,麒麟Linux系统用户和组管理指南(21页)-原创力文档
中标麒麟Linux服务器操作系统培训系列 中标麒麟Linux系统用户和组管理指南 技术创新,变革未来 本章目标 •熟悉中标麒麟Linux服务器操作系统中用户和组的 基本操作命令和方法: •了解用户和用 ...
- 堡垒机动态口令使用手册
一.麒麟开源堡垒机动态口令设置管理员部分 1.在其它-licenses菜单查看动态口令许可是否打开,如果未打开联系厂商重新生成许可 2.找厂商生成密钥文件,密钥文件中包含令牌种子,在其它-动态令牌菜单 ...
- 麒麟linux恢复bin,(麒麟教学)关于晶晨处理器TTL命令恢复镜像文件教程
今天交大家如何通过命令来恢复晶晨处理器盒子镜像文件的教程, 今天就拿烽火H G 6 80-L机顶盒做教程,处理器是S905LB型号的 则说明为晶晨处理器,首先需要用TTL刷机小板与机顶盒主板 进行连接 ...
- 麒麟linux改中文,麒麟助手改版小结 - 优麒麟操作系统的个人空间 - OSCHINA - 中文开源技术交流社区...
"恰到好处的解决方案才能让人满足"--Susan Weinschenk <设计师要懂的心理学> "同质化的竞争环境下,决定竞争差距的关键因素就是执行力和创新的 ...
- 【Linux】之Jumpserver堡垒机添加Windows主机资产
文章目录 资产要求 SSH连接资产要求 RDP连接资产要求 Windows设置 1. 打开 Windows 远程设置 2.防火墙放行 RDP 端口 3.下载 OpenSSH 4. 安装 OpenSSH ...
最新文章
- win10安装emacs+spacemacs,建议用官方安装方式
- 外部的Navicat连接docker中的mysql
- easyui数据表格显示复选框_WinCC 报警控件、在线趋势/表格控件数据查询
- [笔试题目] 腾讯2015年9月基础研究笔试题
- 请问运行py文件的时候怎么样可以不让那个黑框一闪...
- Mybatis中#{}与${}的使用
- 【JSOI2014】【BZOJ5039】序列维护(线段树模板)
- FileZilla Server远程管理
- Linux -- file 命令
- java集合框架图(详细版)
- vs2012旗舰版 有效注册密钥
- HMM隐马尔科夫模型及MATLAB实现
- 微信小程序 实现简单倒计时功能
- 新学期个人作息时间安排
- webpack-theme-color-replacer动态修改Ant Design Vue主题色
- 微信小程序开发系列(五)——小程序中存储emoji表情符
- 串联电阻和并联电阻的计算方法
- 财务自由?这样做微信开发可以吗?
- 中国银行 CA 密码无法输入(红叉)
- 袁绍说,吾比曹操英勇伟大,因为吾方战死数量远超