Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Cuentas administrativas predeterminadas

Colaboradores
PDF

Se debe restringir la cuenta de administrador porque se permite el acceso al rol de administrador mediante todas las aplicaciones. La cuenta de diagnóstico (diag) permite acceder al shell del sistema y se debe reservar solo para que el soporte técnico realice tareas de solución de problemas.

Hay dos cuentas administrativas predeterminadas admin : Y diag.

Las cuentas huérfanas son un vector de seguridad importante que a menudo conduce a vulnerabilidades, incluida la escalada de privilegios. Se trata de cuentas innecesarias y no utilizadas que permanecen en el repositorio de cuentas de usuario. Son principalmente cuentas predeterminadas que nunca se usaron o para las que las contraseñas nunca se actualizaron o cambiaron. Para solucionar este problema, ONTAP admite la eliminación y el cambio de nombre de las cuentas.

Nota ONTAP no puede eliminar ni cambiar el nombre de las cuentas integradas. Sin embargo, NetApp recomienda bloquear cualquier cuenta incorporada innecesaria con el comando lock.

Aunque las cuentas huérfanas son un problema de seguridad importante, NetApp recomienda probar el efecto de eliminar cuentas del repositorio de cuentas local.

Enumerar las cuentas locales

Para mostrar las cuentas locales, ejecute security login show el comando.

cluster1::*> security login show -vserver cluster1

Vserver: cluster1
                             Authentication             Acct   Is-Nsswitch
User/Group Name  Application Method    Role Name        Locked Group
---------------- ----------- --------- ---------------- ------ -----------
admin            console     password  admin            no     no
admin            http        password  admin            no     no
admin            ontapi      password  admin            no     no
admin            service-processor password admin       no     no
admin            ssh         password  admin            no     no
autosupport      console     password  autosupport      no     no
6 entries were displayed.

Establezca la contraseña de la cuenta de diagnóstico (diag)

El sistema de almacenamiento se proporciona una cuenta de diagnóstico llamada diag . Puede utilizar diag la cuenta para realizar tareas de solución de problemas en la systemshell. La diag cuenta es la única cuenta que se puede utilizar para acceder al systemshell a través del diag comando con privilegios systemshell.

Precaución El systemshell y la cuenta asociada diag están pensados para fines de diagnóstico de bajo nivel. Su acceso requiere el nivel de privilegio de diagnóstico y se reserva solo para utilizarse con orientación del soporte técnico para realizar tareas de solución de problemas. Ni la diag cuenta ni la systemshell está destinada a fines administrativos generales.
Antes de empezar

Antes de acceder a systemshell, debe definir diag la contraseña de la cuenta mediante el security login password comando. Debe utilizar principios de contraseña seguros y cambiar la diag contraseña a intervalos regulares.

Pasos

  1. Establezca diag la contraseña de usuario de la cuenta:

    cluster1::> set -privilege diag

Warning: These diagnostic commands are for use by NetApp personnel only.
Do you want to continue? \{y|n}: y

cluster1::*> systemshell -node node-01
    (system node systemshell)
diag@node-01's password:

Warning: The system shell provides access to low-level
diagnostic tools that can cause irreparable damage to
the system if not used properly. Use this environment
only when directed to do so by support personnel.

node-01%