SSH协议批量改密

一、SSH协议凭证改密简介

在行云管家中实现主机登录凭证的定期、自动更新，无需人工干预，即使存在主机登录凭证泄露的情况，依然能够保障安全。

点击进入“资源运维”->“主机运维”->“运维控制”->“凭证改密策略”，即可通过“创建新的改密策略”来进行改密策略设置；

主机凭证通过SSH协议批量改密支持以下方式
改密方式	改密注意事项
Agent改密	Linux服务器支持通过Agent实现改密
SSH脚本改密	脚本改密依赖于特权账号，请确保改密主机有可用的主机凭证是勾选了特权账号的样例1：Linux主机SSH协议改密-root用户改密脚本样例2：Linux主机SSH协议改密-普通用户切换用户改密脚本样例3：交换机等网络设备SSH协议改密脚本

在行云管家中，Windows和Linux服务器支持安装行云管家Agent，通过目标主机root或administrator等管理员用户安装Agent后，即可实现通过Agent进行改密改密。

如图，在“协议类型”选择“SSH协议”后，请不要开启下方的“使用此SSH脚本改密”，而是直接点击下一步即可；

如图，点击“改密脚本管理”，可以提前编写好“SSH协议”以及“TELNET协议”的改密脚本来实现改密；

注意！！！：脚本改密依赖于特权账号，请确保改密主机有可用的主机凭证是勾选了特权账号的，改密过程会通过该特权账号来实现；

（1）输入（Send）：用于向进程发送字符串，当填写内容为\n时表示确认

（2）期待（Expect）：从进程接收字符串

（3）等待（Sleep）：延迟

（4）退出（exit）：Exit

对于Linux主机，在SSH协议基础上进行改密，以下是对于root用户改密的样例：

passwd $user\n
New password
$newpassword\n
Retype new password
$newpassword\n
successfully

对于Linux主机，在SSH协议基础上进行改密，以下是对于普通用户改密的样例，会先通过sudo来切换用户：

sudo su - $sudouser\n
[sudo]
$sudopassword\n
login
passwd $user\n
New password
$newpassword\n
Retype new password
$newpassword\n
successfully

对于交换机等网络设备，在SSH协议基础上进行改密，以下是改密样例：

passwd $user
New password:
$newpassword
Retype new password:
$newpassword
successfully
--

如图，在“协议类型”选择“SSH协议”后，请开启下方的“使用此SSH脚本改密”，并选择刚已创建好的SSH协议“改密脚本”；

如图，通过自动改密执行策略，可以实现定期批量改密等功能，通过定期改密，排除密码泄露带来的安全隐患。

对于通过策略改密完成后的新密码，可以设置是否推送，是否加密（系统将把密码记录以excel文件作为附件发送到指定人员的信箱，针对excel文件可设置密码进行加密），密码内容是否分段推送（分段发送密码是指将改密记录中每台主机的密码拆分成两份，并将拆分后的文件发送给不同的团队成员，确保密码的安全）