文档

改密任务

更新时间:

堡垒机提供自动改密服务,可根据已配置的密码策略生成随机密码,自动轮转托管的主机账号密码。本文将介绍如何创建改密任务,如何执行改密任务以及其他相关操作。

背景信息

根据等级保护制度规定,服务器的密码需要定期更换。长期使用固定的主机账号密码存在安全隐患,定期人工维护主机账号密码的轮转是一项繁重且容易出错的工作。堡垒机提供自动改密服务。

限制条件

  • 仅堡垒机企业双擎版实例支持使用改密任务功能。

  • 仅支持为Linux主机账户修改密码,不支持为Windows主机账户修改密码。

  • 改密任务仅支持SSH协议的主机账号,且主机账号必须是密码类型。

支持的操作系统

操作系统名称

版本

Alibaba Cloud Linux

  • 3.2104 64位

  • 2.1903 LTS 64位

  • 2.1903 64位快速启动版

CentOS

  • CentOS 8.5

  • CentOS 7.8

  • CentOS Stream 8

  • CentOS 6.10

Ubuntu

  • Ubuntu 20.04 64位

  • Ubuntu 18.04 64位

  • Ubuntu16.04 32位

  • Ubuntu 20.04 64位 UEFI版

Debian

  • Debian 11.8 64位

  • Debian 8.9 64位

Open SUSE

  • 15.1 64位

  • 15.2 64位

  • 42.3 64位

SUSE Linux

  • SUSE Linux Enterprise Server 15 SP2 64位

  • SUSE Linux Enterprise Server 12 SP5 64位

CoreOS

  • 34.20210529.3.0_3

  • 33.20210217.3.0_3

创建改密任务

  1. 登录堡垒机系统。具体操作,请参见登录系统

  2. 在左侧导航栏,选择资产管理 > 改密任务

  3. 改密任务页面,单击创建改密任务

  4. 改密任务面板,参考以下表格配置改密任务的参数。

    参数

    说明

    任务名称

    输入改密任务的名称。

    执行方式

    选择改密任务的执行方式。可选以下方式:

    • 周期执行:需要设置执行时间和周期,执行时间至少应为当前时间5分钟后,周期最长支持设置365天。堡垒机会根据设置的执行时间和周期多次执行改密任务。

    • 定时执行:需要设置任务的执行时间(执行时间至少应为当前时间5分钟后)。到达设置的时间后,堡垒机会自动开始执行改密任务。

    密码规则

    设置修改后的密码的复杂度和密码长度。以下是相关说明:

    • 密码复杂度:支持选择数字、小写字母、大写字母和其他字符。堡垒机会根据您选择的字符类型随机生成新密码。建议至少选择两种字符。

    • 密码长度:设置密码长度的最小值和最大值。取值范围:8~32。最小值设置为8,最大值设置为32表示会随机生成长度为8~32位的密码。

    • 密码策略:设置密码中最少包含的字符数、字符重复次数及不包含字符。最少字母字符数和最少其他字符数的总和不能超过密码长度

      • 数字、小写字母、大写字母和其他字符取值范围:0~32。

      • 某一字符重复次数取值范围:1~32。

      • 不包含字符集:表示生成的密码不会包含此集合中的字符。

    备注

    输入改密任务的补充说明信息。

  5. 单击创建

    创建成功后控制台将显示创建改密任务成功的信息。

  6. 单击关联账户

  7. 托管账户页签下,单击添加主机账户

  8. 添加主机账户对话框中,选择需要添加的主机账户并单击添加添加主机账户

    为改密任务添加主机账户有以下限制条件:

    • 一个主机账户仅能添加到一个改密任务中。

    • 主机账户使用协议为SSH且已设置密码。如果主机账户认证类型为SSH密钥或共享密钥,则无法添加到改密任务中。

    操作成功后,您将收到改密任务与主机账号关联成功的提示信息。您可以在改密任务页面查看已创建的改密任务。

立即执行改密任务

创建改密任务后,改密任务会根据您设置的时间或周期自动执行。如果需要立即执行改密任务,您可以在改密任务页面选中需要执行的改密任务,单击立即执行

说明
  • 同时立即执行多个改密任务时,会依次执行。

  • 如果周期或定时执行任务的时间与立即执行的时间重合,则堡垒机仅执行一次改密任务。否则立即执行操作不会影响改密任务设置的执行时间和执行周期。立即执行改密任务后,到达改密任务设置的执行时间或执行周期时,改密任务仍会正常执行。

修改、启用、停止或删除改密任务

创建改密任务后,您可以在改密任务页面对已创建的改密任务进行修改、启用、停止、删除操作。

  • 修改

    堡垒机支持修改任务的基本信息和关联账户。在改密任务页面,单击需要修改的任务名称,在任务详情页签下修改该任务的基本信息,并单击更新。如果需要修改托管账户,您可以单击托管账户页签。在托管账户页签下,您可以添加主机账户或移除主机账户。

  • 停止

    如果在某段时间内无需使用某个或多个任务,您可以执行停止任务操作。在改密任务页面,选中需要停止的改密任务,单击停止。停止任务后,改密任务的状态将变更为已取消,该任务将不会再自动执行,您也无法立即执行该任务。

  • 启用

    如果需要再次启用某个或多个被停止的任务,您可以执行启用任务操作。在改密任务页面,选中需要启用的改密任务,单击启用。启用任务后,改密任务的状态将变更为等待执行,该任务将会按照您设置的执行时间和执行周期自动执行。

  • 删除

    如果确定无需再使用某个或多个任务,您可以执行删除任务操作。在改密任务页面,选中需要删除的改密任务,单击删除,并在提示信息框中再次单击删除

    说明

    删除的改密任务无法再找回,建议您谨慎操作。

导出密码

改密任务执行成功后,您可以使用导出密码功能获取主机账户的当前密码。在改密任务页面,定位到需要导出密码的任务并单击其操作列导出密码,在导出密码对话框中输入4~32位的文件加密密码,并单击导出密码。主机账户的当前密码将被压缩为.zip文件并下载到您的本地电脑中。

说明

您需要妥善保存在导出密码对话框中输入的文件加密密码,获取密码文件中的密码时需要输入该密码。

导出密码

  • 本页导读 (1)