安全运维策略
主机凭证批量改密

一、主机凭证批量改密简介

在行云管家中实现主机登录凭证的定期、自动更新,无需人工干预,即使存在主机登录凭证泄露的情况,依然能够保障安全。

二、改密实现方式

2.1、Agent方式改密

在行云管家中,Windows和Linux服务器支持安装行云管家Agent,通过目标主机root或administrator等管理员用户安装Agent后,即可实现通过Agent进行改密改密。

  • 注意:网络或其他不支持安装Agent的设备不能通过这个方式改密,请使用下述“改密脚本”方式进行改密。

2.2、改密脚本改密

如图,点击“改密脚本管理”,可以对“SSH协议”以及“TELNET协议”设置改密脚本来实现改密;

  • 注意:由于每台设备的改密命令可能都不一样,所以改密脚本需要管理员参考以下方式自行编写;

(1)SSH协议主机凭证修改主机密码将采用以下方式:

  • 行云管家Agent改密:作为一种可靠的改密方式,我们建议您使用行云管家Agent来修改主机密码,请确保关联主机已正常运行行云管家Agent;

  • 使用此SSH脚本改密:如果某些主机上无法安装或未正常运行行云管家Agent,您也可以配置下面的SSH改密脚本;

注意!!!:脚本改密依赖于特权账号,请确保改密主机有可用的主机凭证是勾选了特权账号的,改密过程会通过该特权账号来实现;

(2)TELNET协议主机凭证修改主机密码只能采用改密脚本进行改密:

(3)改密脚本节点指引:

  • 输入(Send):用于向进程发送字符串,当填写内容为\n时表示确认

  • 期待(Expect):从进程接收字符串

  • 等待(Sleep):延迟

  • 退出(exit):Exit

(4)如何基于SSH协议创建一个改密脚本?如图

三、支持哪些协议改密

创建凭证改密策略过程中,当前支持SSH、RDP、TELNET这三种协议改密策略。

3.1、SSH协议改密

SSH协议主机凭证修改主机密码将采用以下方式:

(1)行云管家Agent改密:作为一种可靠的改密方式,我们建议您使用行云管家Agent来修改主机密码,请确保关联主机已正常运行行云管家Agent;

(2)使用此SSH脚本改密:如果某些主机上无法安装或未正常运行行云管家Agent,您也可以配置下面的SSH改密脚本;

  • 注意:脚本改密依赖于特权账号,请确保改密主机有可用的特权账号用于执行脚本;

3.2、RDP协议改密-本地账户

RDP协议主机凭证修改主机本地账户密码将采用以下方式:

(1)行云管家Agent改密;

(2)基于SMB RPC协议进行改密;

  • 注意:SMB RPC协议依赖于特权账号,请确保改密主机有可用的特权账号供调用;

3.3、RDP协议改密-Windows域账户

域账户改密必须需要在用户的AD域中配置好SSL证书服务;

3.4、TELNET协议改密

TELNET协议主机凭证修改主机密码只能采用改密脚本进行改密:

四、改密具体策略设置

4.1、自动改密策略规则时候这

如图,通过自动改密执行策略,可以实现定期批量改密等功能,通过定期改密,排除密码泄露带来的安全隐患。

4.2、改密推送规则设置

对于通过策略改密完成后的新密码,可以设置是否推送,是否加密(系统将把密码记录以excel文件作为附件发送到指定人员的信箱,针对excel文件可设置密码进行加密),密码内容是否分段推送(分段发送密码是指将改密记录中每台主机的密码拆分成两份,并将拆分后的文件发送给不同的团队成员,确保密码的安全)

  • 注意:开启密码推送需要开启邮箱功能,接收的用户需要绑定有邮箱;

五、管理改密策略

在创建好自动改密策略后,我们可以在创建好的策略里修改改密策略,还可以手动触发改密策略;

5.1、手动执行改密策略

如图,我们可以不用等到自动改密策略的时间,点击如图手动改密即可立刻改密;

5.2、编辑改密策略

如图,在我们创建好策略后,还可以在此处进行策略修改;

5.3、查看改密记录

如图,还可以点击右边的“查看更多”来查看更多改密记录;