Contas administrativas padrão
A conta de administrador deve ser restrita porque a função de administrador tem acesso permitido usando todos os aplicativos. A conta diag permite o acesso ao shell do sistema e deve ser reservada apenas para o suporte técnico para executar tarefas de solução de problemas.
Existem duas contas administrativas padrão: admin
E diag
.
As contas órfãs são um grande vetor de segurança que muitas vezes leva a vulnerabilidades, incluindo a escalação do Privileges. Estas são contas desnecessárias e não utilizadas que permanecem no repositório de contas de usuário. São principalmente contas padrão que nunca foram usadas ou para as quais senhas nunca foram atualizadas ou alteradas. Para resolver esse problema, o ONTAP suporta a remoção e renomeação de contas.
O ONTAP não pode remover ou renomear contas internas. No entanto, o NetApp recomenda bloquear quaisquer contas internas desnecessárias com o comando LOCK. |
Embora as contas órfãs sejam um problema de segurança significativo, o NetApp recomenda fortemente testar o efeito da remoção de contas do repositório de contas local.
Listar contas locais
Para listar as contas locais, execute o security login show
comando.
cluster1::*> security login show -vserver cluster1 Vserver: cluster1 Authentication Acct Is-Nsswitch User/Group Name Application Method Role Name Locked Group ---------------- ----------- --------- ---------------- ------ ----------- admin console password admin no no admin http password admin no no admin ontapi password admin no no admin service-processor password admin no no admin ssh password admin no no autosupport console password autosupport no no 6 entries were displayed.
Definir a palavra-passe da conta de diagnóstico (diag)
Uma conta de diagnóstico nomeada diag
é fornecida com o sistema de storage. Você pode usar a diag
conta para executar tarefas de solução de problemas no systemshell
. A diag
conta é a única conta que pode ser usada para acessar o systemshell através do diag
comando `systemshell`privilegiado .
O systemshell e a conta associada diag destinam-se a fins de diagnóstico de baixo nível. Seu acesso requer o nível de privilégio de diagnóstico e é reservado apenas para ser usado com orientação do suporte técnico para executar tarefas de solução de problemas. Nem a diag conta nem o systemshell destinam-se a fins administrativos gerais.
|
Antes de aceder ao systemshell
, tem de definir a diag
palavra-passe da conta utilizando o security login password
comando . Você deve usar princípios de senha fortes e alterar a diag
senha em intervalos regulares.
-
Defina a
diag
senha do usuário da conta:cluster1::> set -privilege diag Warning: These diagnostic commands are for use by NetApp personnel only. Do you want to continue? \{y|n}: y cluster1::*> systemshell -node node-01 (system node systemshell) diag@node-01's password: Warning: The system shell provides access to low-level diagnostic tools that can cause irreparable damage to the system if not used properly. Use this environment only when directed to do so by support personnel. node-01%