一、主机凭证批量改密简介
在行云管家中实现主机登录凭证的定期、自动更新,无需人工干预,即使存在主机登录凭证泄露的情况,依然能够保障安全。
二、改密实现方式
2.1、Agent方式改密
在行云管家中,Windows和Linux服务器支持安装行云管家Agent,通过目标主机root或administrator等管理员用户安装Agent后,即可实现通过Agent进行改密改密。
- 注意:网络或其他不支持安装Agent的设备不能通过这个方式改密,请使用下述“改密脚本”方式进行改密。
2.2、改密脚本改密
如图,点击“改密脚本管理”,可以对“SSH协议”以及“TELNET协议”设置改密脚本来实现改密;
- 注意:由于每台设备的改密命令可能都不一样,所以改密脚本需要管理员参考以下方式自行编写;
(1)SSH协议主机凭证修改主机密码将采用以下方式:
-
行云管家Agent改密:作为一种可靠的改密方式,我们建议您使用行云管家Agent来修改主机密码,请确保关联主机已正常运行行云管家Agent;
-
使用此SSH脚本改密:如果某些主机上无法安装或未正常运行行云管家Agent,您也可以配置下面的SSH改密脚本;
注意!!!:脚本改密依赖于特权账号,请确保改密主机有可用的主机凭证是勾选了特权账号的,改密过程会通过该特权账号来实现;
(2)TELNET协议主机凭证修改主机密码只能采用改密脚本进行改密:
(3)改密脚本节点指引:
-
输入(Send):用于向进程发送字符串,当填写内容为\n时表示确认
-
期待(Expect):从进程接收字符串
-
等待(Sleep):延迟
-
退出(exit):Exit
(4)如何基于SSH协议创建一个改密脚本?如图
三、支持哪些协议改密
创建凭证改密策略过程中,当前支持SSH、RDP、TELNET这三种协议改密策略。
3.1、SSH协议改密
SSH协议主机凭证修改主机密码将采用以下方式:
(1)行云管家Agent改密:作为一种可靠的改密方式,我们建议您使用行云管家Agent来修改主机密码,请确保关联主机已正常运行行云管家Agent;
(2)使用此SSH脚本改密:如果某些主机上无法安装或未正常运行行云管家Agent,您也可以配置下面的SSH改密脚本;
- 注意:脚本改密依赖于特权账号,请确保改密主机有可用的特权账号用于执行脚本;
3.2、RDP协议改密-本地账户
RDP协议主机凭证修改主机本地账户密码将采用以下方式:
(1)行云管家Agent改密;
(2)基于SMB RPC协议进行改密;
- 注意:SMB RPC协议依赖于特权账号,请确保改密主机有可用的特权账号供调用;
3.3、RDP协议改密-Windows域账户
域账户改密必须需要在用户的AD域中配置好SSL证书服务;
3.4、TELNET协议改密
TELNET协议主机凭证修改主机密码只能采用改密脚本进行改密:
四、改密具体策略设置
4.1、自动改密策略规则时候这
如图,通过自动改密执行策略,可以实现定期批量改密等功能,通过定期改密,排除密码泄露带来的安全隐患。
4.2、改密推送规则设置
对于通过策略改密完成后的新密码,可以设置是否推送,是否加密(系统将把密码记录以excel文件作为附件发送到指定人员的信箱,针对excel文件可设置密码进行加密),密码内容是否分段推送(分段发送密码是指将改密记录中每台主机的密码拆分成两份,并将拆分后的文件发送给不同的团队成员,确保密码的安全)
- 注意:开启密码推送需要开启邮箱功能,接收的用户需要绑定有邮箱;
五、管理改密策略
在创建好自动改密策略后,我们可以在创建好的策略里修改改密策略,还可以手动触发改密策略;
5.1、手动执行改密策略
如图,我们可以不用等到自动改密策略的时间,点击如图手动改密即可立刻改密;
5.2、编辑改密策略
如图,在我们创建好策略后,还可以在此处进行策略修改;
5.3、查看改密记录
如图,还可以点击右边的“查看更多”来查看更多改密记录;
