强烈建议所有账号、口令、密钥的配置使用过程中:
避免在所有交换机上配置相同的账户口令。
避免多人共享同一个账号口令。
密码需要定期更新。
密码强度应该满足安全要求。
登录账号鉴权,要求配置全网统一的AAA鉴权系统,避免交换机进行本地认证。
在分配账号权限时,遵循最小授权原则,避免授予超出职责范围的权限。
严禁配置免认证的接入模式,任何接入交换机的通道都需要进行鉴权认证授权审计。
严格记录所有账户的活动日志,以便事后分析。
账号管理
要求:账号统一管理,固定用户使用固定账号。
查看本地用户命令:
[HUAWEI]display local-user
用户配置:
# 进入AAA视图,配置用户名密码,设置服务类型、用户级别和超时时间:
system-view[HUAWEI]aaa[HUAWEI-aaa]
# 配置用户名密码
[HUAWEI-aaa]local-user user1 password irreversible-cipher hauwei.com
#配置用户服务类型
[HUAWEI-aaa]local-user user1 service-type ssh
# 配置用户级别
[HUAWEI-aaa]local-user user1 privilege level 3
# 配置超时时间
[HUAWEI-aaa]local-user user1 idle-timeout 5 0
建议配置足够复杂度的密码,并区别对待用户权限级别。
网友评论