安全中心 堡垒机
登录凭证管理

一、登录凭证管理

在IT资源日常运维过程中,往往要将登录凭证交给运维人员,这种“交出凭证”的方式导致了登录凭证的广泛传播,随着登录凭证的广泛传播,IT资源的安全风险急剧增加;另外,在主机数量众多时,需要管理较多的登录凭证,这时对登录凭证的管理会变得复杂困难,并且导致运维效率低下。

通过对登录凭证进行统一管理,并且在行云管家系统内将登录凭证与纳管IT资源进行关联,避免登录凭证传播与泄露,保障安全;同时,在行云管家中实现登录凭证的定期、自动更新,无需人工干预,即使存在登录凭证泄露的情况,依然能够保障安全。

行云管家在“安全中心/堡垒机/主机运维控制”中进行登录凭证管理:

二、密码凭证

在使用RDP、SSH和VNC协议登录远程主机时,往往可以使用密码作为登录凭证进行登录。

2.1、创建密码凭证

(1)点击“创建新的主机登录凭证”,弹出创建凭证向导

(2)输入凭证名称,选择访问协议(RDP、SSH及VNC协议均可以以密码凭证进行登录访问),输入登录账号,凭证类型选择为“密码”,并点击“下一步”

(3)点击“添加主机”,选择要使用本凭证的主机,使之与凭证进行关联(也可以暂时不添加主机,后续对凭证进行管理时再行添加),并点击“下一步”

(4)选择凭证的授权对象,确定允许哪些用户使用本凭证,并点击“下一步”

(5)凭证创建完成,点击“关闭”结束向导

(6)返回凭证列表页面,即可查看到新创建的凭证

2.2、添加关联主机并设置登录密码

1、点击要进行主机关联操作的凭证,进入凭证详情页面

(2)点击“添加主机”,弹出主机选择对话框

(3)勾选要与凭证关联的主机,点击“添加”,即可添加主机

(4)点击关联主机列表中主机对应的“登录密码”列,弹出主机登录密码设置框

(5)设置主机的远程连接端口号及登录密码,并点击“确定”,即可设置主机的登录密码,并保存于凭证中

2.3、设置密码修改策略

通过设置密码修改策略,可以实现定期批量改密等功能,通过定期改密,排除密码泄露带来的安全隐患。

对主机进行定期自动改密,要求主机安装并正常运行了行云管家Agent。(参见:Agent

  • 注意:批量改密功能不支持对Windows的域用户进行改密;

(1)点击“密码修改策略”框中的“立即设置”,将弹出密码修改策略对话框

(2)在“编辑策略”中,指定主机密码策略,开启“自动执行”,并设置自动执行周期

(3)在“邮件推送”中,指定自动修改主机密码后发送邮件通知用户,点击“确定”,即可设置密码修改策略

三、密钥凭证

访问Linux主机通常使用SSH协议,而SSH协议支持密码和密钥两种身份认证机制,基于安全性考虑,通常建议使用密钥进行登录认证。

3.1、创建密钥凭证

(1)点击“创建新的主机登录凭证”,弹出创建凭证向导

(2)输入凭证名称,选择访问协议为“SSH访问协议”,输入登录账号,凭证类型选择为“密钥”,并点击“下一步”

(3)点击“添加主机”,选择要使用本凭证的主机,使之与凭证进行关联(也可以暂时不添加主机,后续对凭证进行管理时再行添加),并点击“下一步”

(4)选择凭证的授权对象,确定允许哪些用户使用本凭证,并点击“下一步”

(5)凭证创建完成,点击“关闭”结束向导

(6)返回凭证列表页面,即可查看到新创建的凭证

3.2、添加关联主机并设置登录密钥

(1)点击要进行主机关联操作的凭证,进入凭证详情页面

(2)点击“添加主机”,弹出主机选择对话框

(3)勾选要与凭证关联的主机,点击“添加”,即可添加主机

(4)点击关联主机列表中主机对应的“登录密钥”列,弹出主机登录密钥设置框

(5)设置主机的远程连接端口号,指定登录密钥(可以上传使用您本地的密钥对私钥或使用行云管家中管理的密钥对)及密钥字符集,并点击“确定”,即可设置主机的登录密钥,并保存于凭证中(SSH密钥对管理

3.3、设置密钥下发策略

通过设置密钥下发策略,进行密钥下发,实现SSH密钥的批量管理及下发。

(1)点击“密钥下发策略”框中的“立即设置”,将弹出密钥下发策略对话框

(2)在“编辑策略”中,开启“密钥下发”

(3)在“邮件推送”中,指定密钥下发后发送邮件通知用户,点击“确定”,即可设置密钥下发策略

3.4、下发密钥

通过向主机下发密钥,可以实现批量修改主机密钥操作。

向主机下发密钥,要求主机安装并正常运行了行云管家Agent。(Agent请用root来安装,否则可能导致无法下发密钥)

(1)点击“密钥下发策略”框中的“下发密钥”,将弹出密钥下发向导

(2)指定密钥类型为“上传本地密钥”或“使用行云管家密钥对”,并指定密钥对,设置修改方式为“追加方式”或“覆盖方式”,设置是否禁用密码登录方式,点击“下一步” (SSH密钥对管理

(3)勾选要下发密钥的主机,点击“下一步”,开始向主机下发密钥

(4)密钥下发完成,点击“关闭”,完成密钥下发操作

(5)在“改密记录”中可以查看到密钥下发记录,同时,密钥下发策略 中指定的通知邮箱将会收的密钥下发通知

设置登录凭证后,即可使用登录凭证来访问与登录凭证关联的主机。使用登录凭证访问主机