堡垒机提供自动改密服务,可根据已配置的密码策略生成随机密码,自动轮转托管的主机账号密码。本文将介绍如何创建改密任务,如何执行改密任务以及其他相关操作。

背景信息

根据等级保护制度规定,服务器的密码需要定期更换。长期使用固定的主机账号密码存在安全隐患,定期人工维护主机账号密码的轮转是一项繁重且容易出错的工作。堡垒机提供自动改密服务。

限制条件

  • 仅堡垒机高可用版实例支持使用改密任务功能。
  • 仅支持为Linux主机账户修改密码,不支持为Windows主机账户修改密码。
  • 改密任务仅支持托管使用SSH协议添加密码的主机账户。如果改密任务添加的SSH主机账户不正确或网络不可达,改密任务会执行失败。

支持的操作系统

操作系统名称 版本
Alibaba Cloud Linux
  • 3.2104 64位
  • 2.1903 LTS 64位
  • 2.1903 64位快速启动版
CentOS 支持所有版本
Ubuntu 支持所有版本
Debian 支持所有版本
Open SUSE
  • 15.1 64位
  • 15.2 64位
  • 42.3 64位
说明 改密任务不支持修改root账号密码,仅支持修改普通账号密码。
SUSE Linux
  • SUSE Linux Enterprise Server 15 SP2 64位
  • SUSE Linux Enterprise Server 12 SP5 64位
  • SUSE Linux Enterprise Server 11 SP4 64位
CoreOS
  • 2303.4.0 64位
  • 2247.6.0 64位
  • 2023.4.0 64位
  • 1745.7.0 64位

创建改密任务

  1. 登录堡垒机系统,具体操作,请参见登录堡垒机系统
  2. 在左侧导航栏,选择资产管理 > 改密任务
  3. 改密任务页面,单击创建改密任务
  4. 改密任务面板,参考以下表格配置改密任务的参数。创建改密任务
    参数 说明
    任务名称 输入改密任务的名称。
    执行方式 选择改密任务的执行方式。可选以下方式:
    • 周期执行:需要设置执行时间和周期,执行时间至少应为当前时间5分钟后,周期最长支持设置365天。堡垒机会根据设置的执行时间和周期多次执行改密任务。
    • 定时执行:需要设置任务的执行时间(执行时间至少应为当前时间5分钟后)。到达设置的时间后,堡垒机会自动开始执行改密任务。
    密码规则 设置修改后的密码的复杂度和密码长度。以下是相关说明:
    • 密码复杂度:支持选择数字、小写字母、大写字母和其他字符。堡垒机会根据您选择的字符类型随机生成新密码。建议至少选择两种字符。
    • 密码长度:设置最小的密码长度。例如最小的密码长度设置为8时,会随机生成长度为8~32位的密码。
    备注 输入改密任务的补充说明信息。
  5. 单击创建
    创建成功后控制台将显示创建改密任务成功的信息。
  6. 单击关联账户
  7. 托管账户页签下,单击添加主机账户
  8. 添加主机账户对话框中,选择需要添加的主机账户并单击添加添加主机账户
    为改密任务添加主机账户有以下限制条件:
    • 一个主机账户仅能添加到一个改密任务中。
    • 主机账户使用协议为SSH且已设置密码。如果主机账户认证类型为SSH密钥或共享密钥,则无法添加到改密任务中。
    操作成功后,您将收到改密任务与主机账号关联成功的提示信息。您可以在改密任务页面查看已创建的改密任务。

立即执行改密任务

创建改密任务后,改密任务会根据您设置的时间或周期自动执行。如果需要立即执行改密任务,您可以在改密任务页面选中需要执行的改密任务,单击立即执行
说明
  • 同时立即执行多个改密任务时,会依次执行。
  • 如果立即执行的时间和周期或定时执行任务的时间重合,则堡垒机仅执行一次改密任务。否则立即执行操作不会影响改密任务设置的执行时间和执行周期。立即执行改密任务后,到达改密任务设置的执行时间或执行周期时,改密任务仍会正常执行。

修改、启用、停止或删除改密任务

创建改密任务后,您可以在改密任务页面对已创建的改密任务进行修改、启用、停止、删除操作。

  • 修改

    堡垒机支持修改任务的基本信息和关联账户。在改密任务页面,单击需要修改的任务名称,在任务详情页签下修改该任务的基本信息,并单击更新。如果需要修改托管账户,您可以单击托管账户页签。在托管账户页签下,您可以添加主机账户或移除主机账户。

  • 停止

    如果在某段时间内无需使用某个或多个任务,您可以执行停止任务操作。在改密任务页面,选中需要停止的改密任务,单击停止。停止任务后,改密任务的状态将变更为已取消,该任务将不会再自动执行,您也无法立即执行该任务。

  • 启用

    如果需要再次启用某个或多个被停止的任务,您可以执行启用任务操作。在改密任务页面,选中需要启用的改密任务,单击启用。启用任务后,改密任务的状态将变更为等待执行,该任务将会按照您设置的执行时间和执行周期自动执行。

  • 删除
    如果确定无需再使用某个或多个任务,您可以执行删除任务操作。在改密任务页面,选中需要删除的改密任务,单击删除,并在提示信息框中再次单击删除
    说明 删除的改密任务无法再找回,建议您谨慎操作。

导出密码

改密任务执行成功后,您可以使用导出密码功能获取主机账户的当前密码。在改密任务页面,定位到需要导出密码的任务并单击其操作列导出密码,在导出密码对话框中输入4~32位的文件加密密码,并单击导出密码。主机账户的当前密码将被压缩为.zip文件并下载到您的本地电脑中。
说明 您需要妥善保存在导出密码对话框中输入的文件加密密码,获取密码文件中的密码时需要输入该密码。
导出密码