简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。
默认管理帐户
贡献者
建议更改
PDF
应限制管理员帐户、因为管理员角色可以使用所有应用程序进行访问。diag帐户允许访问系统Shell、并且只能由技术支持人员保留以执行故障排除任务。
有两个默认管理帐户: admin 和 diag。
孤立帐户是一个主要的安全媒介、通常会导致漏洞、包括特权升级。这些帐户是用户帐户存储库中保留的不必要和未使用的帐户。它们主要是从未使用过的默认帐户、或者从未更新或更改过密码的默认帐户。为了解决此问题、ONTAP支持删除和重命名帐户。
|
ONTAP无法删除或重命名内置帐户。但是、NetApp建议使用lock命令锁定任何不需要的内置帐户。 |
尽管孤立帐户是一个严重的安全问题、但NetApp强烈建议测试从本地帐户存储库中删除帐户的效果。
列出本地帐户
要列出本地帐户、请运行命令。 security login show
cluster1::*> security login show -vserver cluster1
Vserver: cluster1
Authentication Acct Is-Nsswitch
User/Group Name Application Method Role Name Locked Group
---------------- ----------- --------- ---------------- ------ -----------
admin console password admin no no
admin http password admin no no
admin ontapi password admin no no
admin service-processor password admin no no
admin ssh password admin no no
autosupport console password autosupport no no
6 entries were displayed.
设置诊断(diag)帐户密码
存储系统会提供一个名为的诊断帐户 diag 。您可以使用 diag 帐户在中执行故障排除任务 systemshell。该 diag 帐户是唯一可用于通过特权命令访问systemshell的帐户 diag systemshell。
|
systemshell和关联 diag 帐户用于进行低级诊断。其访问需要诊断权限级别、并且仅在技术支持指导下使用、以执行故障排除任务。帐户和均不 diag systemshell 用于一般管理目的。
|
开始之前
在访问之前 systemshell,您必须使用命令设置 diag 帐户密码 security login password 。您应使用强密码原则并定期更改 diag 密码。
步骤
-
设置
diag帐户用户密码:cluster1::> set -privilege diag Warning: These diagnostic commands are for use by NetApp personnel only. Do you want to continue? \{y|n}: y cluster1::*> systemshell -node node-01 (system node systemshell) diag@node-01's password: Warning: The system shell provides access to low-level diagnostic tools that can cause irreparable damage to the system if not used properly. Use this environment only when directed to do so by support personnel. node-01%