Cuentas administrativas predeterminadas
-
PDF de este sitio de documentos
- Configuración, actualización y reversión de ONTAP
- Administración de clústeres
-
Administración de volúmenes
-
Gestión de almacenamiento lógico con CLI
- Utilice cuotas para restringir o realizar un seguimiento del uso de los recursos
-
Gestión de almacenamiento lógico con CLI
-
Gestión del almacenamiento nas
- Configure NFS con la CLI
- Gestione NFS con la interfaz de línea de comandos
-
Gestione SMB con la interfaz de línea de comandos
- Gestione servidores SMB
- Gestione el acceso a archivos mediante SMB
- Gestión del almacenamiento san
- Autenticación y control de acceso
- Seguridad y cifrado de datos
- Protección de datos y recuperación ante desastres
Recopilación de documentos PDF independientes
Creating your file...
Se debe restringir la cuenta de administrador porque se permite el acceso al rol de administrador mediante todas las aplicaciones. La cuenta de diagnóstico (diag) permite acceder al shell del sistema y se debe reservar solo para que el soporte técnico realice tareas de solución de problemas.
Hay dos cuentas administrativas predeterminadas admin
: Y diag
.
Las cuentas huérfanas son un vector de seguridad importante que a menudo conduce a vulnerabilidades, incluida la escalada de privilegios. Se trata de cuentas innecesarias y no utilizadas que permanecen en el repositorio de cuentas de usuario. Son principalmente cuentas predeterminadas que nunca se usaron o para las que las contraseñas nunca se actualizaron o cambiaron. Para solucionar este problema, ONTAP admite la eliminación y el cambio de nombre de las cuentas.
ONTAP no puede eliminar ni cambiar el nombre de las cuentas integradas. Sin embargo, NetApp recomienda bloquear cualquier cuenta incorporada innecesaria con el comando lock. |
Aunque las cuentas huérfanas son un problema de seguridad importante, NetApp recomienda probar el efecto de eliminar cuentas del repositorio de cuentas local.
Enumerar las cuentas locales
Para mostrar las cuentas locales, ejecute security login show
el comando.
cluster1::*> security login show -vserver cluster1 Vserver: cluster1 Authentication Acct Is-Nsswitch User/Group Name Application Method Role Name Locked Group ---------------- ----------- --------- ---------------- ------ ----------- admin console password admin no no admin http password admin no no admin ontapi password admin no no admin service-processor password admin no no admin ssh password admin no no autosupport console password autosupport no no 6 entries were displayed.
Elimine la cuenta de administrador predeterminada
La admin
cuenta tiene el rol de administrador y se le permite el acceso utilizando todas las aplicaciones.
-
Cree otra cuenta de nivel de administrador.
Para eliminar por completo la cuenta predeterminada
admin
, primero debe crear otra cuenta de nivel de administrador que utilice laconsole
aplicación de inicio de sesión.Hacer estos cambios puede causar algunos efectos no deseados. Pruebe siempre los nuevos ajustes que puedan afectar el estado de seguridad de la solución en un clúster que no sea de producción primero. Ejemplo:
cluster1::*> security login create -user-or-group-name NewAdmin -application console -authentication-method password -vserver cluster1
cluster1::*> security login show -vserver cluster1 Vserver: cluster1 Authentication Acct Is-Nsswitch User/Group Name Application Method Role Name Locked Group ---------------- ----------- --------- ---------------- ------ ----------- NewAdmin console password admin no no admin console password admin no no admin http password admin no no admin ontapi password admin no no admin service-processor password admin no no admin ssh password admin no no autosupport console password autosupport no no 7 entries were displayed.
-
Después de crear la nueva cuenta de administrador, pruebe el acceso a esa cuenta con el
NewAdmin
inicio de sesión de la cuenta. Con laNewAdmin
conexión, configure la cuenta para que tenga las mismas aplicaciones de conexión que la cuenta de administración predeterminada o anterior (por ejemplo,http
ontapi
, ,service-processor`o `ssh
). Este paso garantiza que se mantenga el control de acceso.Ejemplo:
cluster1::*> security login create -vserver cluster1 -user-or-group-name NewAdmin -application ssh -authentication-method password cluster1::*> security login create -vserver cluster1 -user-or-group-name NewAdmin -application http -authentication-method password cluster1::*> security login create -vserver cluster1 -user-or-group-name NewAdmin -application ontapi -authentication-method password cluster1::*> security login create -vserver cluster1 -user-or-group-name NewAdmin -application service-processor -authentication-method password
-
Después de probar todas las funciones, puede desactivar la cuenta de administrador para todas las aplicaciones antes de eliminarla de ONTAP. Este paso sirve como prueba final para confirmar que no hay funciones persistentes que se basen en la cuenta de administrador anterior.
cluster1::*> security login lock -vserver cluster1 -user-or-group-name admin -application *
-
Para eliminar la cuenta de administrador predeterminada y todas las entradas para ella, ejecute el siguiente comando:
cluster1::*> security login delete -vserver cluster1 -user-or-group-name admin -application * cluster1::*> security login show -vserver cluster1 Vserver: cluster1 Authentication Acct Is-Nsswitch User/Group Name Application Method Role Name Locked Group ---------------- ----------- --------- ---------------- ------ ----------- NewAdmin console password admin no no NewAdmin http password admin no no NewAdmin ontapi password admin no no NewAdmin service-processor password admin no no NewAdmin ssh password admin no no autosupport console password autosupport no no 7 entries were displayed.
Establezca la contraseña de la cuenta de diagnóstico (diag)
El sistema de almacenamiento se proporciona una cuenta de diagnóstico llamada diag
. Puede utilizar diag
la cuenta para realizar tareas de solución de problemas en la systemshell
. La diag
cuenta es la única cuenta que se puede utilizar para acceder al systemshell a través del diag
comando con privilegios systemshell
.
El systemshell y la cuenta asociada diag están pensados para fines de diagnóstico de bajo nivel. Su acceso requiere el nivel de privilegio de diagnóstico y se reserva solo para utilizarse con orientación del soporte técnico para realizar tareas de solución de problemas. Ni la diag cuenta ni la systemshell está destinada a fines administrativos generales.
|
Antes de acceder a systemshell
, debe definir diag
la contraseña de la cuenta mediante el security login password
comando. Debe utilizar principios de contraseña seguros y cambiar la diag
contraseña a intervalos regulares.
-
Establezca
diag
la contraseña de usuario de la cuenta:cluster1::> set -privilege diag Warning: These diagnostic commands are for use by NetApp personnel only. Do you want to continue? \{y|n}: y cluster1::*> systemshell -node node-01 (system node systemshell) diag@node-01's password: Warning: The system shell provides access to low-level diagnostic tools that can cause irreparable damage to the system if not used properly. Use this environment only when directed to do so by support personnel. node-01%