版本資訊
預設管理帳戶
建議變更
-
此文件 PDF 的網站
-
NAS儲存管理
-
個別的 PDF 文件集合
Creating your file...
應限制管理帳戶、因為系統管理員的角色可以使用所有應用程式進行存取。診斷帳戶可存取系統 Shell 、且應僅保留給技術支援人員、以執行疑難排解工作。
有兩個預設的系統管理帳戶: admin 和 diag。
孤立帳戶是一種主要的安全媒介、通常會導致弱點、包括權限升級。這些是不必要且未使用的帳戶、保留在使用者帳戶儲存庫中。這些帳戶主要是從未使用過的預設帳戶、或從未更新或變更過密碼的帳戶。為了解決此問題、 ONTAP 支援移除和重新命名帳戶。
|
ONTAP 無法移除或重新命名內建帳戶。不過、 NetApp 建議您使用鎖定命令鎖定任何不需要的內建帳戶。 |
雖然孤立帳戶是重大的安全問題、 NetApp 強烈建議您測試從本機帳戶儲存庫移除帳戶的效果。
列出本機帳戶
若要列出本機帳戶、請執行 security login show 命令。
cluster1::*> security login show -vserver cluster1
Vserver: cluster1
Authentication Acct Is-Nsswitch
User/Group Name Application Method Role Name Locked Group
---------------- ----------- --------- ---------------- ------ -----------
admin console password admin no no
admin http password admin no no
admin ontapi password admin no no
admin service-processor password admin no no
admin ssh password admin no no
autosupport console password autosupport no no
6 entries were displayed.
移除預設的管理帳戶
該 admin 帳戶具有管理員角色、並允許使用所有應用程式進行存取。
-
建立另一個管理層級帳戶。
若要完全移除預設
admin帳戶、您必須先建立另一個使用登入應用程式的管理員層級帳戶console。
進行這些變更可能會造成一些不必要的影響。請務必先測試可能影響非正式作業叢集解決方案安全狀態的新設定。 範例:
cluster1::*> security login create -user-or-group-name NewAdmin -application console -authentication-method password -vserver cluster1
cluster1::*> security login show -vserver cluster1 Vserver: cluster1 Authentication Acct Is-Nsswitch User/Group Name Application Method Role Name Locked Group ---------------- ----------- --------- ---------------- ------ ----------- NewAdmin console password admin no no admin console password admin no no admin http password admin no no admin ontapi password admin no no admin service-processor password admin no no admin ssh password admin no no autosupport console password autosupport no no 7 entries were displayed. -
建立新的管理員帳戶後、請使用帳戶登入來測試該帳戶的存取權限
NewAdmin。登入時NewAdmin、請將帳戶設定為與預設或先前的管理帳戶(例如、、、或)具有相同的登入應用程式httpontapiservice-processorssh。此步驟可確保維持存取控制。範例:
cluster1::*> security login create -vserver cluster1 -user-or-group-name NewAdmin -application ssh -authentication-method password cluster1::*> security login create -vserver cluster1 -user-or-group-name NewAdmin -application http -authentication-method password cluster1::*> security login create -vserver cluster1 -user-or-group-name NewAdmin -application ontapi -authentication-method password cluster1::*> security login create -vserver cluster1 -user-or-group-name NewAdmin -application service-processor -authentication-method password
-
在測試所有功能之後、您可以先停用所有應用程式的管理帳戶、然後再從 ONTAP 移除。此步驟是最後一項測試、可確認沒有任何仰賴先前管理帳戶的遺留功能。
cluster1::*> security login lock -vserver cluster1 -user-or-group-name admin -application *
-
若要移除預設的管理帳戶及其所有項目、請執行下列命令:
cluster1::*> security login delete -vserver cluster1 -user-or-group-name admin -application * cluster1::*> security login show -vserver cluster1 Vserver: cluster1 Authentication Acct Is-Nsswitch User/Group Name Application Method Role Name Locked Group ---------------- ----------- --------- ---------------- ------ ----------- NewAdmin console password admin no no NewAdmin http password admin no no NewAdmin ontapi password admin no no NewAdmin service-processor password admin no no NewAdmin ssh password admin no no autosupport console password autosupport no no 7 entries were displayed.
設定診斷(診斷)帳戶密碼
您的儲存系統會隨附一個名為的診斷帳戶 diag 。您可以使用 diag 帳戶執行中的疑難排解工作 systemshell。 diag`帳戶是唯一可用於通過特權命令訪問 systemshell 的帳戶 `diag systemshell。
|
systemshell 和相關 diag 帳戶是為了低層級的診斷目的而設計。他們的存取權限需要診斷權限層級、且僅保留在技術支援人員的指引下使用、以執行疑難排解工作。帳戶和都不是 diag systemshell 用於一般管理用途。
|
在存取之前 systemshell、您必須使用命令設定 diag 帳戶密碼 security login password 。您應該使用強式密碼原則、並定期變更 diag 密碼。
-
設定
diag帳戶使用者密碼:cluster1::> set -privilege diag Warning: These diagnostic commands are for use by NetApp personnel only. Do you want to continue? \{y|n}: y cluster1::*> systemshell -node node-01 (system node systemshell) diag@node-01's password: Warning: The system shell provides access to low-level diagnostic tools that can cause irreparable damage to the system if not used properly. Use this environment only when directed to do so by support personnel. node-01%