默认管理帐户
-
本文档站点的 PDF
- NAS 存储管理
单独 PDF 文档的收集
Creating your file...
应限制管理员帐户、因为管理员角色可以使用所有应用程序进行访问。diag帐户允许访问系统Shell、并且只能由技术支持人员保留以执行故障排除任务。
有两个默认管理帐户: admin
和 diag
。
孤立帐户是一个主要的安全媒介、通常会导致漏洞、包括特权升级。这些帐户是用户帐户存储库中保留的不必要和未使用的帐户。它们主要是从未使用过的默认帐户、或者从未更新或更改过密码的默认帐户。为了解决此问题、ONTAP支持删除和重命名帐户。
ONTAP无法删除或重命名内置帐户。但是、NetApp建议使用lock命令锁定任何不需要的内置帐户。 |
尽管孤立帐户是一个严重的安全问题、但NetApp强烈建议测试从本地帐户存储库中删除帐户的效果。
列出本地帐户
要列出本地帐户、请运行命令。 security login show
cluster1::*> security login show -vserver cluster1 Vserver: cluster1 Authentication Acct Is-Nsswitch User/Group Name Application Method Role Name Locked Group ---------------- ----------- --------- ---------------- ------ ----------- admin console password admin no no admin http password admin no no admin ontapi password admin no no admin service-processor password admin no no admin ssh password admin no no autosupport console password autosupport no no 6 entries were displayed.
删除默认管理员帐户
该 admin
帐户具有管理员角色、并允许使用所有应用程序进行访问。
-
创建另一个管理员级别帐户。
要完全删除默认
admin
帐户、必须先创建另一个使用登录应用程序的管理员级别帐户console
。进行这些更改可能会产生一些不希望看到的影响。始终首先在非生产集群上测试可能影响解决方案安全状态的新设置。 示例
cluster1::*> security login create -user-or-group-name NewAdmin -application console -authentication-method password -vserver cluster1
cluster1::*> security login show -vserver cluster1 Vserver: cluster1 Authentication Acct Is-Nsswitch User/Group Name Application Method Role Name Locked Group ---------------- ----------- --------- ---------------- ------ ----------- NewAdmin console password admin no no admin console password admin no no admin http password admin no no admin ontapi password admin no no admin service-processor password admin no no admin ssh password admin no no autosupport console password autosupport no no 7 entries were displayed.
-
创建新的管理员帐户后、请使用帐户登录测试对该帐户的访问权限
NewAdmin
。登录时NewAdmin
,将帐户配置为与默认或以前的管理员帐户(例如、、或)具有相同的登录应用程序http
ontapi
service-processor
ssh
。此步骤可确保保持访问控制。示例
cluster1::*> security login create -vserver cluster1 -user-or-group-name NewAdmin -application ssh -authentication-method password cluster1::*> security login create -vserver cluster1 -user-or-group-name NewAdmin -application http -authentication-method password cluster1::*> security login create -vserver cluster1 -user-or-group-name NewAdmin -application ontapi -authentication-method password cluster1::*> security login create -vserver cluster1 -user-or-group-name NewAdmin -application service-processor -authentication-method password
-
测试完所有功能后、您可以先禁用所有应用程序的管理员帐户、然后再从ONTAP中将其删除。此步骤可作为最终测试、以确认不存在依赖先前管理员帐户的持久功能。
cluster1::*> security login lock -vserver cluster1 -user-or-group-name admin -application *
-
要删除默认管理员帐户及其所有条目、请运行以下命令:
cluster1::*> security login delete -vserver cluster1 -user-or-group-name admin -application * cluster1::*> security login show -vserver cluster1 Vserver: cluster1 Authentication Acct Is-Nsswitch User/Group Name Application Method Role Name Locked Group ---------------- ----------- --------- ---------------- ------ ----------- NewAdmin console password admin no no NewAdmin http password admin no no NewAdmin ontapi password admin no no NewAdmin service-processor password admin no no NewAdmin ssh password admin no no autosupport console password autosupport no no 7 entries were displayed.
设置诊断(diag)帐户密码
存储系统会提供一个名为的诊断帐户 diag
。您可以使用 diag
帐户在中执行故障排除任务 systemshell
。该 diag
帐户是唯一可用于通过特权命令访问systemshell的帐户 diag
systemshell
。
systemshell和关联 diag 帐户用于进行低级诊断。其访问需要诊断权限级别、并且仅在技术支持指导下使用、以执行故障排除任务。帐户和均不 diag systemshell 用于一般管理目的。
|
在访问之前 systemshell
,您必须使用命令设置 diag
帐户密码 security login password
。您应使用强密码原则并定期更改 diag
密码。
-
设置
diag
帐户用户密码:cluster1::> set -privilege diag Warning: These diagnostic commands are for use by NetApp personnel only. Do you want to continue? \{y|n}: y cluster1::*> systemshell -node node-01 (system node systemshell) diag@node-01's password: Warning: The system shell provides access to low-level diagnostic tools that can cause irreparable damage to the system if not used properly. Use this environment only when directed to do so by support personnel. node-01%