管理用户帐户和密码的安全准则
管理 Oracle ILOM 用户帐户和密码时,请考虑下列安全准则:
用户帐户管理准则
|
|
切勿提倡共享用户帐户 |
务必为每个 Oracle ILOM 用户创建单独的帐户。
Oracle ILOM 最多支持 10 个本地用户帐户。如果您管理的是大型站点,需要的用户帐户超过 10 个,应考虑使用第三方用户验证服务,例如 LDAP 或 Active Directory。
|
为本地用户帐户选择符合要求的名称 |
为本地 Oracle ILOM 用户帐户选择用户名时,用户名必须:
|
为本地用户帐户选择符合要求的密码 |
为本地 Oracle ILOM 用户帐户选择密码时,密码必须:
|
基于工作职责限制用户帐户特权(最小特权原则) |
最小特权原则是指出于安全考虑,应该向用户授予履行其职责所需的最小特权。授予用户过多的职责、角色等(特别是在组织成立早期)可能会导致系统遭到滥用。定期查看用户特权,以确保仅授予与每个用户的当前工作职责相关的特权。
Oracle ILOM 提供了控制每个用户的用户特权的功能。确保根据工作职责为每个用户帐户指定适当的用户角色权限。
|
|
密码管理准则
|
|
初次登录之后立即更改默认 root 密码 (changeme) |
为了允许首次登录和访问 Oracle ILOM,随系统提供了本地管理员 root 帐户。要构建安全的环境,必须在初次登录 Oracle ILOM 之后更改提供的管理员密码 (changeme)。
如果可以对管理员 root 帐户进行未经授权的访问,则表明用户可以不受限制地访问 Oracle ILOM 的所有功能。因此,指定安全强度高的密码至关重要。 |
定期更改所有 Oracle ILOM 帐户的密码 |
为了防止恶意行为和确保密码符合当前的密码策略,应定期更改所有 Oracle ILOM 密码。 |
强制实施用于创建复杂的高安全性密码的常见做法 |
强制实施用于创建复杂的高安全性密码的以下常见做法:
不要创建长度少于 16 个字符的密码。 不要创建包含用户名、员工姓名或家庭成员姓名的密码。 不要选择易于猜测的密码。 不要创建包含连续数字字符串(例如 12345)的密码。 创建的密码不得包含通过简单的 Internet 搜索便可轻松发现的单词或字符串。 不要允许用户在多个系统中重复使用相同的密码。 不要允许用户重复使用旧密码。 -
为了实现最高级别的安全性,您应当使用以下语法在 CLI 中始终屏蔽新的密码输入:
set [SP|CMM]/users/root password=[不要键入密码,请按 Enter 键]
- 或者 -
set [SP|CMM]/users/newuser password=[不要键入密码,请按 Enter 键]
CLI 会提示输入新的密码值,并且会屏蔽密码以防被看见。
|
为本地用户设置密码策略限制
(自固件 3.2.5 及更高版本起可用) |
|
咨询 IT 安全专员以了解密码管理策略 |
请咨询 IT 安全专员,确保符合公司的密码管理要求和策略。 |
|