1、堡垒机设置部分

自动修改密码可以为Windows系统、Linux系统、Unix系统进行密码托管，并且按运维相关要求进行口令强度和周期的修改。

堡垒机上设置一台设备自动修改密码按如下步骤：

(1)设置修改密码的频率

在设备管理菜单中编辑设备，其中修改方式就是自动改密的频率，按月指每月几号修改，按周是每周几修改，自定义是多少天修改一次，比如下面的设置为一天修改一次，如果把频率设置为30，则为30天修改一次，如果设备为Linux/Unix系统，并且root用户不能自动登录，则必须在这个页面输入超级管理员口令.

(2)设置修改密码主帐号(Linux/Unix)

如果需要一台Linux/Unix主机进行自动改密，则需要一个改密主帐号，Linux/Unix是通过登录协议登录到主机运行passwd命令进行密码自动修改的，系统是通过改密主帐号完成这一操作，即不管这台主机上有多少个用户，Linux/Unix都使用改密主帐号登录到系统上，使用passwd命令来完成所有的用户的密码修改，因此，改密主帐号必须有root权限(或可以通过上步输入的密码su成root)。

设置了修改密码的频率后，需要指定主机上的改密主帐号，即打开这个主机的帐号页面，编辑为改密主帐号的那个用户，将修改密码主帐号勾选，如果这个帐号不是root权限，则必须勾选改密时su为超级用户.

(3).选择需要修改密码的用户

即使设置了改密频率和改密主帐号，系统也只修改这台主机上勾选了自动修改密码的帐号密码，即，如果用户没有勾选自动修改密码，则这个帐号即使到了改密周期，系统也不会对这个帐号进行密码修改。

编辑需要自动修改密码的用户，勾选自动修改密码选项

2、密码策略

系统可以设置自动修改密码时的密码策略，在资源管理-策略设置-自动改密菜单中，进行密码策略修改，主要包含密码长度、强度、记忆次数等，如果在这里设置了密码策略，在前台手工修改密码时，则必须符合这里的策略，否则无法修改成功

3、手工修改

(1)前台修改：

前台可以手工进行密码修改测试，使用password用户登录到系统，在密码管理-修改密码菜单中，选择相应的设备组，如果在正文的密码对话框中输入密码，则所有的设备会被强制修改为这里输入的密码，如果输入了IP和用户，则只修改相应的IP和用户的密码，在密码修改里，如果下拉强制修改，则修改所有勾选了自动修改密码的用户(即使这个用户不到改密周期)，选择好相应的条件后，点击生成密码按钮

系统会列出所有的具备条件的主机列表，这时用户可以在即时修改那列选去不希望修改密码的主机，点击立即

修改密码按钮，系统即会启动密码修改程序

(2)后台修改：

用户也可以通过ssh到堡垒机后台运行命令进行修改，后台修改的好处为可以看到系统修改的整个过程，登录到后台后运行命令

1.可执行文件的路径在/opt/freesvr/audit/passwd/sbin/freesvr-passwd

2.运行方法

2.1 可以不加参数，表示修改所有的服务器上所有用户的密码

2.2 可以加 -g groupname

参数，表示可以修改 名字为 groupname

这个设备组的所有服务器的密码(与servergroup表相关)例如

-g change

2.3 可以加 -s ip

参数，表示修改 所有地址为ip的服务器的密码

例如 -s

222.35.62.170

2.4 可以加 -u username

参数， 表示 修改 所有用户名等于 username的

帐号的密码(此参数与服务器的ip地址无关)，

例如 -u monitor

2.5 可以加 -p password

参数，指定修改后的新密码为password，

例如 -p freesvr

没有-p参数，系统将随机生成12位密码

2.6 可以加 -f

参数，表示强制修改。不加此参数，系统根据servers表里的month,week,user_define来判断此时此刻是否应该修改密码，加了-f，不论时间到了没有，强制修改。

2.7 以上个参数，都是可以加，可以不加，随意组合。唯一的禁忌就是有了-g 和 -s不能共存，例如：

修改所有的用户的命令：

/opt/freesvr/audit/passwd/sbin/freesvr-passwd

–f

只修改主机192.168.1.1上用户密码的命令：

/opt/freesvr/audit/passwd/sbin/freesvr-passwd -s

192.168.1.1 –f

只修改服务器组change中的所有服务器上的用户密码的命令：

/opt/freesvr/audit/passwd/sbin/freesvr-passwd -g

change –f

4、自动修改

使用password用户登录到前台，选择菜单密码管理-定时任务菜单，勾选改密服务的复选，然后在时间上进行选择，如果选择*表示所有的时间，比如下面表示每天的1点1分进行密码修改

注意：为了不影响用户使用，密码自动修改服务要在每天凌晨没有人使用的时候进行

5、故障排除

系统的整个密码修改过程都记录在日志文件 ：

/opt/freesvr/audit/passwd/log/freesvr_passwd.log

中，如果密码修改出现任何问题可以将这个文件取下送到厂商进行分析

另外系统修改完毕后，可以登录到后台使用自动拨测工具进行拨测，测试密码是否正常，方式为登录到系统后台，运行命令:

/opt/freesvr/audit/dial/sbin/freesvr-dial

6、密码文件取得

(1)

邮件方式

系统可以配置正确的SMTP服务器，将密码通过SMTP服务器发送到password用户的邮箱，出于权限分离，发送的密码为加密方式，加密的密码会发送到admin邮箱，加密密码也是加密的，需要password、audit、admin，三人同时输入密码才可以得到正确的解压密码。

在系统配置-参数配置-告警配置中设置发送密码文件的来源邮箱，每次修改密码后，系统都会自动将密码文件和加密的密钥发送到password和admin的邮箱。

Admin用户在资产管理-密码密钥菜单中，通过文件名可以找到对应加密密码文件的解密密钥，找到相同文件名的行，点查看，在弹出的菜单中需要audit和password用户输入密码，就可以看到这个文件的解密密钥，如果未发现密钥行，可以点击正文的添加按钮，从admin用户的邮箱中，找到加密的字符串，添加到系统后，在通过上面的方式即可以取得密钥。

6、密码上传

(1)

SFTP上传到其它Linux

系统可以使用sftp协议将密码和密钥定期上传到其它Linux上，使用admin用户登录到系统，在系统配置-系统管理-数据同步菜单，新建一个同步条目：

描述项为本条目的标识名称

同步模式需要选择为密码文件

同步地址写上传的LINUX地址

同步端口为上传的LINUX

SSH端口号

系统用户、系统用户密码为上传的LINUX上的用户名和密码，程序会用这个用户上传文件

备份目录为上传的位置

同步协议选择为sftp

点击确实后，登录到系统后台 ，使用crontab

–e命令，增加一条启动备份程序:

1 1 * * *

/home/wuxiaolong/5_backup/backup_passwd.pl

上述条目，可以在每天凌晨1点1分将密码文件上传备份。

系统配置好以后，可以直接运行

/home/wuxiaolong/5_backup/backup_passwd.pl

命令进行手工测试。