Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Cuentas administrativas predeterminadas

Colaboradores
PDF

Se debe restringir la cuenta de administrador porque se permite el acceso al rol de administrador mediante todas las aplicaciones. La cuenta de diagnóstico (diag) permite acceder al shell del sistema y se debe reservar solo para que el soporte técnico realice tareas de solución de problemas.

Hay dos cuentas administrativas predeterminadas admin : Y diag.

Las cuentas huérfanas son un vector de seguridad importante que a menudo conduce a vulnerabilidades, incluida la escalada de privilegios. Se trata de cuentas innecesarias y no utilizadas que permanecen en el repositorio de cuentas de usuario. Son principalmente cuentas predeterminadas que nunca se usaron o para las que las contraseñas nunca se actualizaron o cambiaron. Para solucionar este problema, ONTAP admite la eliminación y el cambio de nombre de las cuentas.

Nota ONTAP no puede eliminar ni cambiar el nombre de las cuentas integradas. Sin embargo, NetApp recomienda bloquear cualquier cuenta incorporada innecesaria con el comando lock.

Aunque las cuentas huérfanas son un problema de seguridad importante, NetApp recomienda probar el efecto de eliminar cuentas del repositorio de cuentas local.

Enumerar las cuentas locales

Para mostrar las cuentas locales, ejecute security login show el comando.

cluster1::*> security login show -vserver cluster1

Vserver: cluster1
                             Authentication             Acct   Is-Nsswitch
User/Group Name  Application Method    Role Name        Locked Group
---------------- ----------- --------- ---------------- ------ -----------
admin            console     password  admin            no     no
admin            http        password  admin            no     no
admin            ontapi      password  admin            no     no
admin            service-processor password admin       no     no
admin            ssh         password  admin            no     no
autosupport      console     password  autosupport      no     no
6 entries were displayed.

Elimine la cuenta de administrador predeterminada

La admin cuenta tiene el rol de administrador y se le permite el acceso utilizando todas las aplicaciones.

Pasos

  1. Cree otra cuenta de nivel de administrador.

    Para eliminar por completo la cuenta predeterminada admin , primero debe crear otra cuenta de nivel de administrador que utilice la console aplicación de inicio de sesión.

    Nota Hacer estos cambios puede causar algunos efectos no deseados. Pruebe siempre los nuevos ajustes que puedan afectar el estado de seguridad de la solución en un clúster que no sea de producción primero.

    Ejemplo:

    cluster1::*> security login create -user-or-group-name NewAdmin -application console -authentication-method password -vserver cluster1
    cluster1::*> security login show -vserver cluster1

Vserver: cluster1
                             Authentication             Acct   Is-Nsswitch
User/Group Name  Application Method    Role Name        Locked Group
---------------- ----------- --------- ---------------- ------ -----------
NewAdmin         console     password  admin            no     no
admin            console     password  admin            no     no
admin            http        password  admin            no     no
admin            ontapi      password  admin            no     no
admin            service-processor password admin       no     no
admin            ssh         password  admin            no     no
autosupport      console     password  autosupport      no     no
7 entries were displayed.

  2. Después de crear la nueva cuenta de administrador, pruebe el acceso a esa cuenta con el NewAdmin inicio de sesión de la cuenta. Con la NewAdmin conexión, configure la cuenta para que tenga las mismas aplicaciones de conexión que la cuenta de administración predeterminada o anterior (por ejemplo, http ontapi, , service-processor`o `ssh). Este paso garantiza que se mantenga el control de acceso.

    Ejemplo:

    cluster1::*> security login create -vserver cluster1 -user-or-group-name NewAdmin -application ssh -authentication-method password
cluster1::*> security login create -vserver cluster1 -user-or-group-name NewAdmin -application http -authentication-method password
cluster1::*> security login create -vserver cluster1 -user-or-group-name NewAdmin -application ontapi -authentication-method password
cluster1::*> security login create -vserver cluster1 -user-or-group-name NewAdmin -application service-processor -authentication-method password

  3. Después de probar todas las funciones, puede desactivar la cuenta de administrador para todas las aplicaciones antes de eliminarla de ONTAP. Este paso sirve como prueba final para confirmar que no hay funciones persistentes que se basen en la cuenta de administrador anterior.

    cluster1::*> security login lock -vserver cluster1 -user-or-group-name admin -application *

  4. Para eliminar la cuenta de administrador predeterminada y todas las entradas para ella, ejecute el siguiente comando:

    cluster1::*> security login delete -vserver cluster1 -user-or-group-name admin -application *
cluster1::*> security login show -vserver cluster1

Vserver: cluster1
                             Authentication             Acct   Is-Nsswitch
User/Group Name  Application Method    Role Name        Locked Group
---------------- ----------- --------- ---------------- ------ -----------
NewAdmin         console     password  admin            no     no
NewAdmin         http        password  admin            no     no
NewAdmin         ontapi      password  admin            no     no
NewAdmin         service-processor password admin       no     no
NewAdmin         ssh         password  admin            no     no
autosupport      console     password  autosupport      no     no
7 entries were displayed.

Establezca la contraseña de la cuenta de diagnóstico (diag)

El sistema de almacenamiento se proporciona una cuenta de diagnóstico llamada diag . Puede utilizar diag la cuenta para realizar tareas de solución de problemas en la systemshell. La diag cuenta es la única cuenta que se puede utilizar para acceder al systemshell a través del diag comando con privilegios systemshell.

Precaución El systemshell y la cuenta asociada diag están pensados para fines de diagnóstico de bajo nivel. Su acceso requiere el nivel de privilegio de diagnóstico y se reserva solo para utilizarse con orientación del soporte técnico para realizar tareas de solución de problemas. Ni la diag cuenta ni la systemshell está destinada a fines administrativos generales.
Antes de empezar

Antes de acceder a systemshell, debe definir diag la contraseña de la cuenta mediante el security login password comando. Debe utilizar principios de contraseña seguros y cambiar la diag contraseña a intervalos regulares.

Pasos

  1. Establezca diag la contraseña de usuario de la cuenta:

    cluster1::> set -privilege diag

Warning: These diagnostic commands are for use by NetApp personnel only.
Do you want to continue? \{y|n}: y

cluster1::*> systemshell -node node-01
    (system node systemshell)
diag@node-01's password:

Warning: The system shell provides access to low-level
diagnostic tools that can cause irreparable damage to
the system if not used properly. Use this environment
only when directed to do so by support personnel.

node-01%