기본 관리 계정
변경 제안
PDF
관리자 역할은 모든 응용 프로그램을 사용하여 액세스할 수 있으므로 관리자 계정을 제한해야 합니다. diag 계정은 시스템 쉘에 액세스할 수 있으며 기술 지원 부서의 문제 해결 작업을 수행하기 위한 목적으로만 예약되어야 합니다.
기본 관리 계정에는 및 의 두 admin `diag`가지가 있습니다.
고립된 계정은 권한 에스컬레이션을 비롯한 취약점을 유발하는 주요 보안 수단입니다. 이러한 계정은 사용자 계정 저장소에 남아 있는 불필요하고 사용되지 않는 계정입니다. 이러한 계정은 기본적으로 사용되지 않았거나 암호가 업데이트 또는 변경되지 않은 기본 계정입니다. 이 문제를 해결하기 위해 ONTAP에서는 계정 제거 및 이름 변경을 지원합니다.
|
ONTAP에서 기본 제공 계정을 제거하거나 이름을 바꿀 수 없습니다. 그러나 NetApp에서는 lock 명령을 사용하여 필요하지 않은 기본 제공 계정을 잠그는 것이 좋습니다. |
분리된 계정은 중요한 보안 문제이지만 NetApp에서는 로컬 계정 리포지토리에서 계정을 제거할 경우의 영향을 테스트하는 것이 좋습니다.
로컬 계정을 나열합니다
로컬 계정을 나열하려면 security login show 명령을 실행합니다.
cluster1::*> security login show -vserver cluster1
Vserver: cluster1
Authentication Acct Is-Nsswitch
User/Group Name Application Method Role Name Locked Group
---------------- ----------- --------- ---------------- ------ -----------
admin console password admin no no
admin http password admin no no
admin ontapi password admin no no
admin service-processor password admin no no
admin ssh password admin no no
autosupport console password autosupport no no
6 entries were displayed.
진단(diag) 계정 암호를 설정합니다
라는 진단 계정이 diag 스토리지 시스템과 함께 제공됩니다. 계정을 사용하여 에서 문제 해결 작업을 수행할 수 diag systemshell`있습니다. 이 `diag 계정은 권한이 있는 명령을 통해 시스템 쉘에 액세스하는 데 사용할 수 있는 유일한 계정입니다. diag systemshell
|
시스템 셸 및 관련 diag 계정은 저수준 진단 목적으로 사용됩니다. 이러한 액세스 권한은 진단 권한 수준이 필요하며, 기술 지원 부서의 지침에 따라 문제 해결 작업을 수행할 수 있는 경우에만 사용됩니다. 계정과 은 일반 관리 목적으로 사용할 수 diag systemshell 없습니다.
|
에 액세스하기 전에 systemshell`명령을 사용하여 계정 암호를 설정해야 `diag security login password 합니다. 강력한 암호 원칙을 사용하고 정기적으로 암호를 변경해야 diag 합니다.
-
계정 사용자 암호 설정
diag:cluster1::> set -privilege diag Warning: These diagnostic commands are for use by NetApp personnel only. Do you want to continue? \{y|n}: y cluster1::*> systemshell -node node-01 (system node systemshell) diag@node-01's password: Warning: The system shell provides access to low-level diagnostic tools that can cause irreparable damage to the system if not used properly. Use this environment only when directed to do so by support personnel. node-01%