管理使用者帳戶與密碼的安全準則
管理 Oracle ILOM 使用者帳戶與密碼時,請考量下列安全準則:
使用者帳戶管理準則
|
|
絕對不要共用使用者帳戶 |
應一律為每個 Oracle ILOM 使用者建立個別的帳戶。
Oracle ILOM 支援最多 10 個本機使用者帳戶。如果您是管理大型網站並且需要 10 個以上的使用者帳戶,則應考慮使用第三方使用者認證服務,例如 LDAP 或 Active Directory。
|
為本機使用者帳戶選擇符合原則的名稱 |
為本機 Oracle ILOM 使用者帳戶選擇使用者名稱時,使用者名稱必須:
|
為本機使用者帳戶選擇符合原則的密碼 |
為本機 Oracle ILOM 使用者帳戶選擇密碼時,密碼必須:
|
依據工作角色限制使用者帳戶權限 (最低權限原則) |
為求良好的安全措施,最低權限狀態原則會將可執行工作所需的最低權限授予使用者。過度授予職責、角色等 (特別是在組織的週期早期階段),可能會導致系統遭到濫用。請定期複查使用者權限,以決定權限與每個使用者目前工作職責的相關性。
Oracle ILOM 提供控制每位使用者之使用者權限的能力。因此,請根據工作角色,將適當的使用者角色權限指派給每個使用者帳戶。
|
|
密碼管理準則
|
|
在第一次登入之後立即變更預設 root 密碼 (changeme) |
為了能夠執行第一次登入並存取 Oracle ILOM,系統提供一個本機管理員 root 帳戶。為了建立安全環境,您必須在第一次登入 Oracle ILOM 之後變更提供的管理員密碼 (changeme)。
取得對管理員 root 帳戶的未授權存取,會讓使用者無限制地存取所有 Oracle ILOM 功能。因此,指定安全的密碼非常重要。 |
定期變更所有 Oracle ILOM 帳戶密碼 |
為避免惡意活動,並確保密碼仍符合目前的密碼制定原則,您應該定期變更所有 Oracle ILOM 密碼。 |
強制執行建立更安全之複雜密碼的通用措施 |
強制執行下列通用措施以建立更安全的複雜密碼:
請勿建立長度短於 16 個字元的密碼。
請勿建立包含使用者名稱、員工姓名或家族成員姓名的密碼。
請勿選擇容易猜測的密碼。
請勿建立包含連續數字字串的密碼,例如 12345。
請勿建立包含透過簡單的網路搜尋即可找到之文字或字串的密碼。
請勿允許使用者在多個系統中重複使用相同的密碼。
請勿允許使用者重複使用舊密碼。
-
為了得到最高的安全性,應使用下列語法以隨時遮罩 CLI 中輸入的新密碼:
set [SP|CMM]/users/root password=[do not type password, press Enter]
- 或-
set [SP|CMM]/users/newuser password=[do not type password, press Enter]
CLI 將會提示輸入新的密碼值,並遮罩密碼以防檢視。
|
設定本機使用者的密碼制定原則限制
(3.2.5 版和更新版本的韌體可以使用) |
|
洽詢您的 IT 安全人員以瞭解密碼管理原則 |
請洽詢您的 IT 安全人員以確定符合貴公司的密碼管理要求與原則。 |
|