自动更改主机账号密码
在企业IT环境中,为了确保主机账号的安全性,通常需要定期更改主机账号的密码。然而,手动管理大量主机的账号改密工作不仅耗时耗力,且容易出错。账号基线的功能是将基线关联的所有主机的某些指定账号进行改密 。
- 如需对当前已有资源进行自动改密:可以在账号基线页签中创建账号基线/修改账号基线。
账号基线分为全局基线和组件基线。
- 全局基线:系统内置基线,针对没有绑定组件的主机,不可删除,使用全局基线需要通过修改账号基线添加基线账号;开启了全局基线的改密策略后,会按照基线中创建的账号来进行定期改密。
- 组件基线:创建账号基线创建的是组件基线,用户根据业务需求自定义创建,组件基线中可以添加基线账号和组件;开启了组件基线的改密策略后,会按照基线中创建的账号来对关联组件下的主机进行定期改密。
在应用资源管理处,可以创建应用-组件-分组的树状结构,可将一批主机放在同一个分组下。通过使用账号基线功能,可以自动化地管理和定期更改主机账号的密码,从而提高工作效率,减少人为错误,确保系统的安全性。
- 如需对后续新增资源进行自动改密:可以在改密策略页签中设置改密策略。
- 如需按照区域维度定期改密: 可以在改密任务添加区域设置定期改密区域。
注意事项
- 组件基线需要关联组件。如果没有合适的组件,可创建新的组件,创建组件详细操作请参考创建组件。
- 为了确保组件下新增的主机实例能被自动纳管,还需在“账号改密 > 改密策略”页面的组件维度下进行关联操作。
约束与限制
- 对于RDS for Mysql和GaussDB,仅要求纳管账号在主机上真实存在且具备登录权限。
- ECS(Linux系统)主机的特定账号能被成功纳管,需要满足以下三个前提条件:
- 安装不低于1.1.5版本的UniAgent且UniAgent的状态为运行中。
- 主机状态为运行中。
- 主机被纳管的账号真实存在且账号可登录。
创建账号基线
创建账号基线创建的是组件基线,用户根据业务需求自定义创建,组件基线中可以添加基线账号和组件
- 登录云运维中心。
- 在左侧导航栏选择“资源运维 > 自动化运维”。
- 在“日常运维”模块单击“账号管理”。
- 单击左上方“账号改密”。
- 单击“创建账号基线”。
- 设置“创建账号基线”。
表1 创建账号基线参数说明 参数
说明
示例
基线名称
根据命名规则,自定义基线的名称。
测试基线
基线类型
参数不支持修改,账号基线的类型。
组件基线
基线账号
账号类型
请填写账号类型。
目前支持Linux、MySQL和GaussDB账号。
Linux
账号名称
请填写账号名称。
账号名称是资源的主机账号,后续账号改密等功能依赖填写的账号名称。
root
账号分级
可选项“只读账号”、“非只读账号”。
仅用于用户区分账号,不影响实际功能。
只读账号
关联组件
勾选需要选择的应用或组件。勾选应用会自动选择应用下所有组件。
已关联的组件可以删除。
-
- 单击“确定”。
完成账号基线创建。
修改账号基线
使用全局基线需要通过修改账号基线添加基线账号。
- 登录云运维中心。
- 在左侧导航栏选择“资源运维 > 自动化运维”。
- 在“日常运维”模块单击“账号管理”。
- 单击“账号改密”。
- 单击操作列“修改”。
- 设置“修改账号基线”。
表2 修改账号基线参数说明 参数
说明
示例
基线账号
账号类型
请填写账号类型。
目前支持Linux、MySQL和GaussDB账号。
Linux
账号名称
请填写账号名称。
账号名称是资源的主机账号,后续账号改密等功能依赖填写的账号名称。
root
账号分级
可选项“只读账号”、“非只读账号”。
仅用于用户区分账号,不影响实际功能。
只读账号
关联组件
仅基线类型为组件基线时可以设置。
勾选需要选择的应用或组件。勾选应用会自动选择应用下所有组件。
已关联的组件可以删除。
-
- 单击“确定”,完成账号基线修改。
设置改密策略
根据业务需要,您可以通过云运维中心进行策略设置,确保您新增的主机实例的指定账号/特定账号纳入定期改密范围。
改密策略分为全局基线和组件基线。
- 全局基线改密策略:可以选择单独开启Linux、MySQL、GaussDB的改密策略。开启全局维度的改密策略后,所有未绑定组件的增量主机实例的账号将会被定期改密。
- 组件基线改密策略:可以选择单独开启Linux、MySQL、GaussDB的改密策略。开启组件维度的改密策略后,所有被选中的组件下的增量主机实例的账号将会被定期改密。
若需设置ECS部分主机账号不参与自动改密,请前往“资源管理>应用资源管理”页面,参考管理资源标签设置:标签键=COCAccountPasswordAutoManagement,标签值=NotManagePassword。设置后,预计1小时内生效 。
- 登录云运维中心。
- 在左侧导航栏选择“资源运维 > 自动化运维”。
- 在“日常运维”模块单击“账号管理”。
- 单击“账号改密 > 改密策略”。
- 设置“改密策略”。
- 全局基线改密策略:开启全局维度的改密策略后,所有未绑定组件的增量主机实例账号将会被定期改密。
- 组件基线改密策略:开启组件维度的改密策略后,所有被选中的组件下的增量主机实例账号将会被定期改密。
- 选择组件:勾选需要选择的应用或组件。勾选应用会自动选择应用下所有组件。
创建定期改密任务
根据业务需要,您可以通过运维中心配置需要开启定期改密的区域,改密周期初始默认 0 15 3 ? * * ,表示每天上午3:15执行任务。配置之后,系统将会为每一个区域创建一个定时改密的任务,您可前往管理定时任务查看并修改此任务。通过运维中心的定期改密功能,可以自动执行改密任务,减少人工干预,提高安全性。
目前只支持账号类型为Linux的主机进行改密。
- 登录云运维中心。
- 在左侧导航栏选择“资源运维 > 自动化运维”。
- 在“日常运维”模块单击“账号管理”。
- 单击“账号改密 > 改密任务”,进入改密任务页签。
- 单击“选择区域”,设置定期改密区域。
- 勾选“账号类型”。
目前只支持Linux。
- 勾选需要定时改密的区域,并移至右选框中。
图1 设置定期改密区域
- 单击“确定”,完成改密任务区域设置。
配置之后,系统将会为所选择的每一个区域创建一个定时改密任务。单击操作列“查看任务详情”,可查看配置区域的改密任务。
更多相关操作
自动改密后,您还可以根据业务需求进行以下操作。
|
功能 |
场景 |
操作 |
|---|---|---|
|
查看改密记录 |
完成自动改密后,可查看历史改密记录。 |
|
|
删除账号基线 |
已创建的账号基线不再需要使用,可进行删除操作。
|
|
|
删除定时改密区域 |
对于不再需要定期改密的区域,支持删除操作。 注意:删除改密任务的区域后,系统将不再对该区域下该资源类型的账号进行定期改密,请谨慎操作,确认不再需要使用后执行。 |
