本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。
預設管理帳戶
貢獻者
建議變更
PDF
應限制管理帳戶、因為系統管理員的角色可以使用所有應用程式進行存取。診斷帳戶可存取系統 Shell 、且應僅保留給技術支援人員、以執行疑難排解工作。
有兩個預設的系統管理帳戶: admin 和 diag。
孤立帳戶是一種主要的安全媒介、通常會導致弱點、包括權限升級。這些是不必要且未使用的帳戶、保留在使用者帳戶儲存庫中。這些帳戶主要是從未使用過的預設帳戶、或從未更新或變更過密碼的帳戶。為了解決此問題、 ONTAP 支援移除和重新命名帳戶。
|
ONTAP 無法移除或重新命名內建帳戶。不過、 NetApp 建議您使用鎖定命令鎖定任何不需要的內建帳戶。 |
雖然孤立帳戶是重大的安全問題、 NetApp 強烈建議您測試從本機帳戶儲存庫移除帳戶的效果。
列出本機帳戶
若要列出本機帳戶、請執行 security login show 命令。
cluster1::*> security login show -vserver cluster1
Vserver: cluster1
Authentication Acct Is-Nsswitch
User/Group Name Application Method Role Name Locked Group
---------------- ----------- --------- ---------------- ------ -----------
admin console password admin no no
admin http password admin no no
admin ontapi password admin no no
admin service-processor password admin no no
admin ssh password admin no no
autosupport console password autosupport no no
6 entries were displayed.
設定診斷(診斷)帳戶密碼
您的儲存系統會隨附一個名為的診斷帳戶 diag 。您可以使用 diag 帳戶執行中的疑難排解工作 systemshell。 diag`帳戶是唯一可用於通過特權命令訪問 systemshell 的帳戶 `diag systemshell。
|
systemshell 和相關 diag 帳戶是為了低層級的診斷目的而設計。他們的存取權限需要診斷權限層級、且僅保留在技術支援人員的指引下使用、以執行疑難排解工作。帳戶和都不是 diag systemshell 用於一般管理用途。
|
開始之前
在存取之前 systemshell、您必須使用命令設定 diag 帳戶密碼 security login password 。您應該使用強式密碼原則、並定期變更 diag 密碼。
步驟
-
設定
diag帳戶使用者密碼:cluster1::> set -privilege diag Warning: These diagnostic commands are for use by NetApp personnel only. Do you want to continue? \{y|n}: y cluster1::*> systemshell -node node-01 (system node systemshell) diag@node-01's password: Warning: The system shell provides access to low-level diagnostic tools that can cause irreparable damage to the system if not used properly. Use this environment only when directed to do so by support personnel. node-01%