本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
堡垒机改密任务能够根据您配置的密码或密钥规则,定期或定时地轮转密码或密钥,从而有效提升业务的安全性。本文介绍如何使用改密任务。
背景信息
根据等级保护制度规定,主机账户密码或密钥需要定期更换。长期使用固定的主机账号密码或密钥存在安全隐患,而定期人工维护主机账号密码或密钥的轮转是一项繁重且容易出错的工作,因此,堡垒机提供的自动改密服务能够有效解决人工维护主机账号密码轮转过程中可能遇到的问题,极大地提高了运维效率和安全性。
限制条件
支持的操作系统版本
前提条件
创建改密任务
登录堡垒机系统。具体操作,请参见登录系统。
在左侧导航栏,选择。
在改密任务页面,单击创建改密任务。
在改密任务面板,参考下表配置改密任务的参数,单击创建。
配置项
说明
任务名称
输入改密任务的名称。
任务类型
支持密钥轮转和密码轮转。
执行方式
选择改密任务的执行方式。可选以下方式:
周期执行:堡垒机会根据设置的执行时间和周期自动执行改密任务。
执行时间应至少设定为当前时间的五分钟后。
周期最长支持设置365天。
定时执行:到达任务设置的执行时间后,堡垒机自动开始执行改密任务。执行时间至少应为当前时间5分钟后。
密码规则
任务类型选择为密码轮转时,支持设置密码的复杂度和密码长度。
密码复杂度:支持选择数字、小写字母、大写字母和其他字符。堡垒机会根据您选择的字符类型随机生成新密码。建议至少选择两种字符。
密码长度:设置密码长度的最小值和最大值。取值范围:8~32。最小值设置为8,最大值设置为32表示会随机生成长度为8~32位的密码。
密码策略:设置密码中最少包含的字符数、字符重复次数及不包含字符。最少字母字符数和最少其他字符数的总和不能超过密码长度。
数字、小写字母、大写字母和其他字符取值范围:0~32。
某一字符重复次数取值范围:1~32。
不包含字符集:表示生成的密码不会包含此集合中的字符。
密钥规则
任务类型选择为密钥轮转时,支持设置密钥算法、密钥长度及加密口令。
密钥算法:支持RSA和ED25519。
密钥长度:密钥算法选择为RSA时,密钥长度支持设置2048、3072和4096位。
加密口令:设置密钥加密口令。密钥加密口令(Key Encryption Password)是一种用于保护加密密钥的安全机制。
备注
输入改密任务的补充说明信息。
单击关联账户,在托管账户页签,单击添加主机账户。
在添加主机账户对话框中,选择需要添加的主机账户并单击添加。
添加成功后,您将收到改密任务与主机账号关联成功的提示信息。您可以在改密任务页面查看已创建的改密任务。
说明一个主机账户只能关联一个改密任务。
当改密任务类型为密码轮转时,仅已托管了密码的账户可以添加到改密任务中;当改密任务类型为密钥轮转时,仅已托管了SSH私钥的账户可以添加到改密任务中;共享密钥不支持轮转。
相关操作
立即执行改密任务
创建改密任务后,改密任务会根据您设置的时间或周期自动执行。如果需要立即执行改密任务,您可以在改密任务页面选中需要执行的改密任务,在列表下方单击立即执行。
同时立即执行多个改密任务时,会依次执行。
如果周期或定时执行任务的时间与立即执行的时间重合,则堡垒机仅执行一次改密任务。否则立即执行操作不会影响改密任务设置的执行时间和执行周期。立即执行改密任务后,到达改密任务设置的执行时间或执行周期时,改密任务仍会正常执行。
修改、启用、停止或删除改密任务
导出密码或密钥
改密任务执行成功后,支持导出密码或密钥。
在改密任务页面,定位到目标任务并单击其操作列的导出密码或导出密钥。
在导出密码对话框中输入自定义的4~32位的文件加密密码,用于文件加密,并单击导出密码。
主机账户的当前密码将被压缩为.zip文件并下载到您的本地电脑中。
说明请妥善保存文件加密密码。在获取密码文件中的密码时,需输入该密码。