CN112347463B - 一种批量改密码的方法、装置和计算机可读存储介质 - Google Patents
一种批量改密码的方法、装置和计算机可读存储介质 Download PDFInfo
- Publication number
- CN112347463B CN112347463B CN202011252971.7A CN202011252971A CN112347463B CN 112347463 B CN112347463 B CN 112347463B CN 202011252971 A CN202011252971 A CN 202011252971A CN 112347463 B CN112347463 B CN 112347463B
- Authority
- CN
- China
- Prior art keywords
- password
- decryption
- remote server
- subtask
- user name
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 31
- 230000004044 response Effects 0.000 claims description 54
- 238000012423 maintenance Methods 0.000 claims description 30
- 230000008859 change Effects 0.000 claims description 13
- 238000012360 testing method Methods 0.000 claims description 13
- 238000012986 modification Methods 0.000 claims description 4
- 230000004048 modification Effects 0.000 claims description 4
- 238000007726 management method Methods 0.000 description 21
- 230000006870 function Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 7
- 238000012550 audit Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000003491 array Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 239000004744 fabric Substances 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000002071 nanotube Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施方式公开了一种批量改密码的方法、装置和计算机可读存储介质。在堡垒机上设置改密计划,其中改密计划包括单个的用户名、分别设置有该用户名的N个远程服务器的N个标识以及密码策略,N为至少为2的正整数;基于改密计划生成与N个标识一一对应的N个改密子任务,其中每个改密子任务包括用户名、对应于每个改密子任务的标识以及基于密码策略所确定的密码;执行每个改密子任务,其中将每个改密子任务所包含的用户名和密码发送到对应于每个改密子计划所包含的标识的远程服务器,从而由远程服务器中的管理用户将用户名的密码更改为基于密码策略所确定的密码。提高改密码效率,还适用于混合各种类型操作系统的批量改密码。
Description
技术领域
本发明涉及信息安全技术领域,更具体的说,涉及一种批量改密码的方法、装置和计算机可读存储介质。
背景技术
随着企事业单位IT系统的不断发展,网络规模和设备数量迅速扩大,日趋复杂的IT系统与不同背景的运维人员的行为给信息系统安全带来较大风险。比如:(1)、多个用户使用同一个用户名。这种情况主要出现在同一工作组中,由于工作需要,同时系统管理用户名,因此只能多用户共享同一用户名。如果发生安全事故,不仅难以定位用户名的实际使用者和责任人,而且无法对用户名的使用范围进行有效控制,存在较大安全风险和隐患。(2)、一个用户使用多个用户名。一个维护人员使用多个用户名是较为普遍的情况,用户需要记忆多套口令同时在多套主机系统、网络设备之间切换,降低工作效率,增加工作复杂度。
堡垒机,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,以便集中报警、及时处理及审计定责。从功能上讲,堡垒机综合了核心系统运维和安全审计管控两大主干功能。从技术实现上讲,通过切断终端计算机对网络和服务器资源的直接访问,而采用协议代理的方式,接管了终端计算机对网络和服务器的访问。
为了保证安全性,目前系统管理员一般在堡垒机上,手工逐台对纳管的服务器上的用户名进行密码更改。
然而,这种手动改密方式具有效率低、易出错且需要耗费大量时间的缺点。
发明内容
本发明提出一种批量改密码的方法、装置和计算机可读存储介质,从而提高改密效率。
本发明实施方式的技术方案如下:
一种批量改密码的方法,其特征在于,包括:
在堡垒机上设置改密计划,其中所述改密计划包括单个的用户名、分别设置有所述用户名的N个远程服务器的N个标识以及密码策略,其中N为至少为2的正整数;
基于所述改密计划生成与所述N个标识一一对应的N个改密子任务,其中每个改密子任务包括所述用户名、对应于所述每个改密子任务的标识以及对应于所述用户名的、基于所述密码策略所确定的密码;
执行所述N个改密子任务中的每个改密子任务,其中将所述每个改密子任务所包含的用户名和所述基于所述密码策略所确定的密码发送到对应于所述每个改密子计划所包含的标识的远程服务器,从而由对应于所述每个改密子计划所包含的标识的远程服务器中的管理用户将所述每个改密子任务所包含的用户名的密码更改为所述基于密码策略所确定的密码。
在一个实施方式中,在所述执行N个改密子任务中的每个改密子任务之前,该方法还包括:
验证所述堡垒机与所述对应于每个改密子计划所包含的标识的远程服务器的可连接性;
验证所述对应于每个改密子计划所包含的标识的远程服务器中的所述管理用户的有效性。
在一个实施方式中,该方法还包括:
从所述对应于每个改密子计划所包含的标识的远程服务器接收响应消息;
其中当所述响应消息指示更改密码失败时,进一步控制所述发送响应消息的远程服务器中的管理用户校验所述用户名的密码是否已成功更改为所述基于密码策略所确定的密码;如果是,则在堡垒机上记录所述发送响应消息的远程服务器的标识所对应的改密子任务包含的用户名、所述发送响应消息的远程服务器的标识和所述基于密码策略所确定的密码之间的对应关系;如果不是,则进一步将发送所述响应消息的远程服务器的标识所对应的改密子任务包含的用户名和基于所述密码策略所确定的密码发送到所述发送响应消息的远程服务器,从而由所述发送响应消息的远程服务器中的管理用户再次将所述用户名的密码更改为所述基于密码策略所确定的密码。
在一个实施方式中,所述密码策略包括下列中的一个:
每个远程服务器的所述用户名统一采用基于用户设置生成的相同密码;
每个远程服务器的所述用户名采用相同的随机密码;
每个远程服务器的所述用户名分别采用不同的随机密码。
在一个实施方式中,所述改密计划还包括:每个远程服务器的操作系统类型标志位;
所述每个改密子任务还包括:每个远程服务器的操作系统类型标志位;
所述将每个改密子任务中包含的用户名和基于所述密码策略所确定的密码发送到对应于所述每个改密子计划所包含的标识的远程服务器包括:
当基于所述操作系统类型标志位确定对应于所述每个改密子计划所包含的标识的远程服务器采用视窗操作系统时,使能自动化运维工具Ansible调用Win_Ping模块测试对应于所述每个改密子计划所包含的标识的远程服务器是否存活,并当存活时,再使能所述自动化运维工具Ansible将所述每个改密子任务包含的用户名和基于所述密码策略所确定的密码发送到对应于所述每个改密子计划所包含的标识的远程服务器;
当基于所述操作系统类型标志位确定对应于所述每个改密子计划所包含的标识的远程服务器采用Linux操作系统时,使能自动化运维工具Ansible调用Ping模块测试对应于所述每个改密子计划所包含的标识的远程服务器是否存活,并当存活时,再使能所述自动化运维工具Ansible将所述每个改密子任务包含的用户名和基于所述密码策略所确定的密码发送到对应于所述每个改密子计划所包含的标识的远程服务器。
一种批量改密码的装置,包括:
改密计划设置模块,用于在堡垒机上设置改密计划,其中所述改密计划包括单个的用户名、分别设置有所述用户名的N个远程服务器的N个标识以及密码策略,其中N为至少为2的正整数;
改密子任务生成模块,用于基于所述改密计划生成与所述N个标识一一对应的N个改密子任务,其中每个改密子任务包括所述用户名、对应于所述每个改密子任务的标识以及对应于所述用户名的、基于所述密码策略所确定的密码;
执行模块,用于执行所述N个改密子任务中的每个改密子任务,其中将所述每个改密子任务所包含的用户名和所述基于所述密码策略所确定的密码发送到对应于所述每个改密子计划所包含的标识的远程服务器,从而由对应于所述每个改密子计划所包含的标识的远程服务器中的管理用户将所述每个改密子任务所包含的用户名的密码更改为所述基于密码策略所确定的密码。
在一个实施方式中,执行模块,还用于在所述执行N个改密子任务中的每个改密子任务之前,验证所述堡垒机与所述对应于每个改密子计划所包含的标识的远程服务器的可连接性;验证所述对应于每个改密子计划所包含的标识的远程服务器中的所述管理用户的有效性。
在一个实施方式中,执行模块,还用于从所述对应于每个改密子计划所包含的标识的远程服务器接收响应消息;其中当所述响应消息指示更改密码失败时,进一步控制所述发送响应消息的远程服务器中的管理用户校验所述用户名的密码是否已成功更改为所述基于密码策略所确定的密码;如果是,则在堡垒机上记录所述发送响应消息的远程服务器的标识所对应的改密子任务包含的用户名、所述发送响应消息的远程服务器的标识和所述基于密码策略所确定的密码之间的对应关系;如果不是,则进一步将发送所述响应消息的远程服务器的标识所对应的改密子任务包含的用户名和基于所述密码策略所确定的密码发送到所述发送响应消息的远程服务器,从而由所述发送响应消息的远程服务器中的管理用户再次将所述用户名的密码更改为所述基于密码策略所确定的密码。
在一个实施方式中,所述改密计划还包括:每个远程服务器的操作系统类型标志位;所述每个改密子任务还包括:每个远程服务器的操作系统类型标志位;
执行模块,用于当基于所述操作系统类型标志位确定对应于所述每个改密子计划所包含的标识的远程服务器采用视窗操作系统时,使能自动化运维工具Ansible调用Win_Ping模块测试对应于所述每个改密子计划所包含的标识的远程服务器是否存活,并当存活时,再使能所述自动化运维工具Ansible将所述每个改密子任务包含的用户名和基于所述密码策略所确定的密码发送到对应于所述每个改密子计划所包含的标识的远程服务器;
当基于所述操作系统类型标志位确定对应于所述每个改密子计划所包含的标识的远程服务器采用Linux操作系统时,使能自动化运维工具Ansible调用Ping模块测试对应于所述每个改密子计划所包含的标识的远程服务器是否存活,并当存活时,再使能所述自动化运维工具Ansible将所述每个改密子任务包含的用户名和基于所述密码策略所确定的密码发送到对应于所述每个改密子计划所包含的标识的远程服务器。
一种计算机可读存储介质,其中存储有计算机可读指令,该计算机可读指令用于执行如上任一项所述的批量改密码的方法。
从上述技术方案可以看出,在本发明实施方式中,在堡垒机上设置改密计划,其中改密计划包括单个的用户名、分别设置有该用户名的N个远程服务器的N个标识以及密码策略,其中N为至少为2的正整数;基于改密计划生成与N个标识一一对应的N个改密子任务,其中每个改密子任务包括用户名、对应于每个改密子任务的标识以及基于密码策略所确定的密码;执行每个改密子任务,其中将每个改密子任务所包含的用户名和密码发送到对应于每个改密子计划所包含的标识的远程服务器,从而由远程服务器中的管理用户将用户名的密码更改为基于密码策略所确定的密码。可见,本发明实施方式实现了批量更改密码,提高改密码效率。
另外,本发明实施方式基于包含在改密计划中的操作系统类型标志位,差异性地分别使能Ansible调用不同模块以实现改密码,还适用于针对各种类型操作系统的批量改密码。
还有,本发明实施方式中,当响应消息指示更改密码失败时,并不是盲目重新更改密码,而是控制管理用户校验用户名的密码是否已成功更改,防止因通信缺陷等问题而导致的错误的响应消息的情形,避免了无用的重复更改密码。
附图说明
图1为根据本发明实施方式的批量改密码的方法流程图;
图2为根据本发明实施方式批量改密码的方法的示范性示意图;
图3为根据本发明批量改密码的装置的结构图。
图4为根据本发明具有存储器-处理器架构的、批量改密码的装置的结构图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面结合附图对本发明作进一步的详细描述。
为了描述上的简洁和直观,下文通过描述若干代表性的实施方式来对本发明的方案进行阐述。实施方式中大量的细节仅用于帮助理解本发明的方案。但是很明显,本发明的技术方案实现时可以不局限于这些细节。为了避免不必要地模糊了本发明的方案,一些实施方式没有进行细致地描述,而是仅给出了框架。下文中,“包括”是指“包括但不限于”,“根据……”是指“至少根据……,但不限于仅根据……”。由于汉语的语言习惯,下文中没有特别指出一个成分的数量时,意味着该成分可以是一个也可以是多个,或可理解为至少一个。
申请人发现:在IT资产规模越发壮大下,对于系统管理员来说保证操作系统的密码安全尤其重要。在维护大量资产(比如,远程服务器)时,如果需要逐台手工进行密码设置,可想而之,效率必然很低,且容易出错。难以做到定期批量修改远程服务器的操作系统密码,也很难做到多种密码策略的自定义选择。
图1为根据本发明实施方式的批量改密码的方法流程图。
如图1所示,该方法包括:
步骤101:在堡垒机上设置改密计划,其中所述改密计划包括单个的用户名、分别设置有所述用户名的N个远程服务器的N个标识以及密码策略,其中N为至少为2的正整数。
在这里,堡垒机优选采用Jumpserver堡垒机。Jumpserver是全球首款开源堡垒机,使用GNU GPL v2.0开源协议,是符合4A的专业运维审计系统。Jumpserver使用Python/Django进行开发,遵循Web2.0规范。Jumpserver采纳分布式架构,支持多机房跨区域部署,中心节点提供API,各机房部署登录节点,可横向扩展、无并发访问限制。Jumpserver现已支持管理SSH、Telnet、RDP、VNC等协议资产。
在堡垒机上创建改密计划的具体过程包括:(1)、获取改密计划表单;(2)、在改密计划表单中填写用户名,即填写需要修改的远程服务器中的用户名;(3)、在改密计划表单中填写设置有该用户名的多个远程服务器(资产)的标识,即选择需要对哪些远程服务器针对该用户名进行批量改密码(比如,登录密码)操作。其中,这些远程服务器可以是采用多种系统平台的资产,如Linux、视窗(Windows)等。
举例,可以在改密计划表单中设定用户名为ZhangSan,而且多个远程服务器包括:采用Windows操作系统的远程服务器1、采用Windows操作系统的远程服务器2、采用Windows操作系统的远程服务器3、采用Linux操作系统的远程服务器4和采用Linux操作系统的远程服务器5。因此,该改密计划表单的作用是:计划在采用Windows操作系统的远程服务器1、Windows操作系统的远程服务器2、采用Windows操作系统的远程服务器3、采用Linux操作系统的远程服务器4和采用Linux操作系统的远程服务器5中,分别对各自的用户名为ZhangSan的密码进行更改。
优选地,密码策略包括下列中的一个:
(1)、每个远程服务器的所述用户名统一采用基于用户设置生成的相同密码。也就是,可以自己设置要改成的密码,所有选择的远程服务器的该用户名将会改成该设置的密码。
比如,采用Windows操作系统的远程服务器1、Windows操作系统的远程服务器2、采用Windows操作系统的远程服务器3、采用Linux操作系统的远程服务器4和采用Linux操作系统的远程服务器5中,各自用户名为ZhangSan的密码,即为基于用户设置生成的相同密码。
(2)、每个远程服务器的所述用户名采用相同的随机密码。比如,所有远程服务器使用相同的随机密码。其中可设置密码长度,改密完成后,所有远程服务器的该系统用户,将会被设置成随机生成该长度的密码,这些用户密码相同
比如,采用Windows操作系统的远程服务器1、Windows操作系统的远程服务器2、采用Windows操作系统的远程服务器3、采用Linux操作系统的远程服务器4和采用Linux操作系统的远程服务器5中,各自用户名为ZhangSan的密码,即为基于用户设置生成的相同密码。
(3)、每个远程服务器的所述用户名分别采用不同的随机密码。比如,所有远程服务器使用不同的随机密码,其中可设置密码长度,改密完成后,所有远程服务器的该系统用户,将会被设置成随机生成该长度的密码,而且该用户名在各个远程服务器的密码不同。
因此,本发明实施方式设计支持了三种密码策略,更加完善满足用户的不同需求。具体包括:自定义密码、所有远程服务器使用相同的随机密码、所有远程服务器使用不同的随机密码。可根据需要选择密码策略。
步骤102:基于所述改密计划生成与所述N个标识一一对应的N个改密子任务,其中每个改密子任务包括所述用户名、对应于所述每个改密子任务的标识以及对应于所述用户名的、基于所述密码策略所确定的密码。
步骤103:执行所述N个改密子任务中的每个改密子任务,其中将所述每个改密子任务所包含的用户名和所述基于所述密码策略所确定的密码发送到对应于所述每个改密子计划所包含的标识的远程服务器,从而由对应于所述每个改密子计划所包含的标识的远程服务器中的管理用户将所述每个改密子任务所包含的用户名的密码更改为所述基于密码策略所确定的密码。
在一个实施方式中,在所述执行N个改密子任务中的每个改密子任务之前,该方法还包括:验证所述堡垒机与所述对应于每个改密子计划所包含的标识的远程服务器的可连接性;验证所述对应于每个改密子计划所包含的标识的远程服务器中的所述管理用户的有效性。
在一个实施方式中,该方法还包括:从所述对应于每个改密子计划所包含的标识的远程服务器接收响应消息;其中当所述响应消息指示更改密码失败时,进一步控制所述发送响应消息的远程服务器中的管理用户校验所述用户名的密码是否已成功更改为所述基于密码策略所确定的密码;如果是,则在堡垒机上记录所述发送响应消息的远程服务器的标识所对应的改密子任务包含的用户名、所述发送响应消息的远程服务器的标识和所述基于密码策略所确定的密码之间的对应关系;如果不是,则进一步将发送所述响应消息的远程服务器的标识所对应的改密子任务包含的用户名和基于所述密码策略所确定的密码发送到所述发送响应消息的远程服务器,从而由所述发送响应消息的远程服务器中的管理用户再次将所述用户名的密码更改为所述基于密码策略所确定的密码。
其中,可以定时执行图1所示方法流程,也可以可定期执行图1所示方法流程。
在本发明实施方式中,远程服务器中的管理用户将所述每个改密子任务所包含的用户名的密码更改为所述基于密码策略所确定的密码可以包括下列情形:
(1)、身份为root/administrator的管理用户更改身份为普通用户的该用户名的密码。
(2)、身份为root/administrator的管理用户更改身份为root/administrator的该用户名的密码。
(3)、具有root/administrator权限的管理用户更改身份为root/administrator的该用户名的密码。
具体地,可以利用运维工具(比如Ansible)实现将远程服务器中该用户名的密码更改为基于密码策略所确定的密码。
Ansible是新出现的自动化运维工具,基于Python开发,集合了众多运维工具(puppet、cfengine、chef、func、fabric)的优点,实现了批量系统配置、批量程序部署、批量运行命令等功能。Ansible是基于模块工作的,本身没有批量部署的能力。真正具有批量部署的是Ansible所运行的模块,Ansible只是提供一种框架。主要包括:(1)、连接插件connection plugins:负责和被监控端实现通信;(2)、host inventory:指定操作的主机,是一个配置文件里面定义监控的主机;(3)、各种模块核心模块、command模块、自定义模块;(4)、借助于插件完成记录日志邮件等功能;(5)、playbook:剧本执行多个任务时,非必需可以让节点一次性运行多个任务。
在一个实施方式中,所述改密计划还包括:每个远程服务器的操作系统类型标志位;所述每个改密子任务还包括:每个远程服务器的操作系统类型标志位;所述将每个改密子任务中包含的用户名和基于所述密码策略所确定的密码发送到对应于所述每个改密子计划所包含的标识的远程服务器包括:
当基于所述操作系统类型标志位确定对应于所述每个改密子计划所包含的标识的远程服务器采用视窗操作系统时,使能自动化运维工具Ansible调用Win_Ping模块测试对应于所述每个改密子计划所包含的标识的远程服务器是否存活,并当存活时,再使能所述自动化运维工具Ansible将所述每个改密子任务包含的用户名和基于所述密码策略所确定的密码发送到对应于所述每个改密子计划所包含的标识的远程服务器;
当基于所述操作系统类型标志位确定对应于所述每个改密子计划所包含的标识的远程服务器采用Linux操作系统时,使能自动化运维工具Ansible调用Ping模块测试对应于所述每个改密子计划所包含的标识的远程服务器是否存活,并当存活时,再使能所述自动化运维工具Ansible将所述每个改密子任务包含的用户名和基于所述密码策略所确定的密码发送到对应于所述每个改密子计划所包含的标识的远程服务器。
以上以自动化运维工具Ansible为例,对本发明实施方式进行描述,本领域技术人员可以意识到,这种描述仅是示范性的。实际上,自动运维工具还可以实施为puppet、cfengine、chef、func或fabric等等。
图2为根据本发明实施方式批量改密码的方法的示范性示意图。
在图2中,首先启动改密计划,开始执行批量改密。其中,启动改密计划后,针对相同的用户名(username)和资产(asset)的任务进行加锁,从而防止并发任务同时修改相同主机的同一用户名。
然后,检验先决条件,其主要是检测管理用户的可连接性(包含两部分:资产可连接性和管理用户的有效性)。其中:
(1)、当先决条件检验失败,则认定不符合批量改密条件,则终止任务,不再进行批量改密,并更新任务状态,结束此任务。
(2)、当先决条件检验成功,则执行批量改密动作。具体包括:利用Ansible分别将选择的资产的某个用户名的密码进行修改。
如果接收到用于指示改密成功的响应消息(对应于图2中判定执行改密计划成功),进一步检验改密后的密码,如果成功则保存密码,保存后更新任务状态。而且,此时如果有锁,则解锁,并接收改密任务。
如果失败,则继续重新检验改密后的密码,直到校验失败次数(m)大于预定门限值(比如3)后,认定改密失败,则终止任务,不再进行批量改密,并更新任务状态,结束此任务。
如果接收到用于指示改密失败的响应消息(对应于图2中判定执行改密计划失败),进一步检验改密后的密码,从而防止可能出现密码无效,而实际可能会成功的情形。其中:如果校验失败,则继续重复执行改密,如果执行次数(n)大于预定门限值(比如3),则冻结任务,此次任务完成,但密码没有更新。
图3为根据本发明批量改密码的装置的结构图。
如图3所示,批量改密码的装置包括:
改密计划设置模块301,用于在堡垒机上设置改密计划,其中所述改密计划包括单个的用户名、分别设置有所述用户名的N个远程服务器的N个标识以及密码策略,其中N为至少为2的正整数;
改密子任务生成模块302,用于基于所述改密计划生成与所述N个标识一一对应的N个改密子任务,其中每个改密子任务包括所述用户名、对应于所述每个改密子任务的标识以及对应于所述用户名的、基于所述密码策略所确定的密码;
执行模块303,用于执行所述N个改密子任务中的每个改密子任务,其中将所述每个改密子任务所包含的用户名和所述基于所述密码策略所确定的密码发送到对应于所述每个改密子计划所包含的标识的远程服务器,从而由对应于所述每个改密子计划所包含的标识的远程服务器中的管理用户将所述每个改密子任务所包含的用户名的密码更改为所述基于密码策略所确定的密码。
在一个实施方式中,执行模块303,还用于在所述执行N个改密子任务中的每个改密子任务之前,验证所述堡垒机与所述对应于每个改密子计划所包含的标识的远程服务器的可连接性;验证所述对应于每个改密子计划所包含的标识的远程服务器中的所述管理用户的有效性。
在一个实施方式中,执行模块303,还用于从所述对应于每个改密子计划所包含的标识的远程服务器接收响应消息;其中当所述响应消息指示更改密码失败时,进一步控制所述发送响应消息的远程服务器中的管理用户校验所述用户名的密码是否已成功更改为所述基于密码策略所确定的密码;如果是,则在堡垒机上记录所述发送响应消息的远程服务器的标识所对应的改密子任务包含的用户名、所述发送响应消息的远程服务器的标识和所述基于密码策略所确定的密码之间的对应关系;如果不是,则进一步将发送所述响应消息的远程服务器的标识所对应的改密子任务包含的用户名和基于所述密码策略所确定的密码发送到所述发送响应消息的远程服务器,从而由所述发送响应消息的远程服务器中的管理用户再次将所述用户名的密码更改为所述基于密码策略所确定的密码。
在一个实施方式中,所述改密计划还包括:每个远程服务器的操作系统类型标志位;所述每个改密子任务还包括:每个远程服务器的操作系统类型标志位;执行模块303,用于当基于所述操作系统类型标志位确定对应于所述每个改密子计划所包含的标识的远程服务器采用视窗操作系统时,使能自动化运维工具Ansible调用Win_Ping模块测试对应于所述每个改密子计划所包含的标识的远程服务器是否存活,并当存活时,再使能所述自动化运维工具Ansible将所述每个改密子任务包含的用户名和基于所述密码策略所确定的密码发送到对应于所述每个改密子计划所包含的标识的远程服务器;当基于所述操作系统类型标志位确定对应于所述每个改密子计划所包含的标识的远程服务器采用Linux操作系统时,使能自动化运维工具Ansible调用Ping模块测试对应于所述每个改密子计划所包含的标识的远程服务器是否存活,并当存活时,再使能所述自动化运维工具Ansible将所述每个改密子任务包含的用户名和基于所述密码策略所确定的密码发送到对应于所述每个改密子计划所包含的标识的远程服务器。
图4为根据本发明具有存储器-处理器架构的、批量改密码的装置的结构图。
如图4所示,具有存储器-处理器架构的批量改密码的装置包括:处理器401和存储器402;其中存储器402中存储有可被处理器401执行的应用程序,用于使得处理器401执行如上任一项所述的批量改密码的方法。
其中,存储器402具体可以实施为电可擦可编程只读存储器(EEPROM)、快闪存储器(Flash memory)、可编程程序只读存储器(PROM)等多种存储介质。处理器401可以实施为包括一或多个中央处理器或一或多个现场可编程门阵列,其中现场可编程门阵列集成一或多个中央处理器核。具体地,中央处理器或中央处理器核可以实施为CPU或MCU。
需要说明的是,上述各流程和各结构图中不是所有的步骤和模块都是必须的,可以根据实际的需要忽略某些步骤或模块。各步骤的执行顺序不是固定的,可以根据需要进行调整。各模块的划分仅仅是为了便于描述采用的功能上的划分,实际实现时,一个模块可以分由多个模块实现,多个模块的功能也可以由同一个模块实现,这些模块可以位于同一个设备中,也可以位于不同的设备中。
各实施方式中的硬件模块可以以机械方式或电子方式实现。例如,一个硬件模块可以包括专门设计的永久性电路或逻辑器件(如专用处理器,如FPGA或ASIC)用于完成特定的操作。硬件模块也可以包括由软件临时配置的可编程逻辑器件或电路(如包括通用处理器或其它可编程处理器)用于执行特定操作。至于具体采用机械方式,或是采用专用的永久性电路,或是采用临时配置的电路(如由软件进行配置)来实现硬件模块,可以根据成本和时间上的考虑来决定。
本发明还提供了一种机器可读的存储介质,存储用于使一机器执行如本发明实施方式所述方法的指令。具体地,可以提供配有存储介质的系统或者装置,在该存储介质上存储着实现上述实施方式中任一实施方式的功能的软件程序代码,且使该系统或者装置的计算机(或CPU或MPU)读出并执行存储在存储介质中的程序代码。此外,还可以通过基于程序代码的指令使计算机上操作的操作系统等来完成部分或者全部的实际操作。还可以将从存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展单元中设置的存储器中,随后基于程序代码的指令使安装在扩展板或者扩展单元上的CPU等来执行部分和全部实际操作,从而实现上述实施方式中任一实施方式的功能。
用于提供程序代码的存储介质实施方式包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD+RW)、磁带、非易失性存储卡和ROM。可选择地,可以由通信网络从服务器计算机上下载程序代码。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (6)
1.一种批量改密码的方法,其特征在于,包括:
在堡垒机上设置改密计划,其中所述改密计划包括单个的用户名、分别设置有所述用户名的N个远程服务器的N个标识以及密码策略,其中N为至少为2的正整数;
基于所述改密计划生成与所述N个标识一一对应的N个改密子任务,其中每个改密子任务包括所述用户名、对应于所述每个改密子任务的标识以及对应于所述用户名的、基于所述密码策略所确定的密码;其中针对相同的用户名和远程服务器的改密子任务进行加锁;
执行所述N个改密子任务中的每个改密子任务,其中将所述每个改密子任务所包含的用户名和所述基于所述密码策略所确定的密码发送到对应于所述每个改密子任务所包含的标识的远程服务器,从而由对应于所述每个改密子任务所包含的标识的远程服务器中的管理用户将所述每个改密子任务所包含的用户名的密码更改为所述基于密码策略所确定的密码;
从所述对应于每个改密子任务所包含的标识的远程服务器接收响应消息;
其中当所述响应消息指示更改密码失败时,进一步控制所述发送响应消息的远程服务器中的管理用户校验所述用户名的密码是否已成功更改为所述基于密码策略所确定的密码;如果是,则在堡垒机上记录所述发送响应消息的远程服务器的标识所对应的改密子任务包含的用户名、所述发送响应消息的远程服务器的标识和所述基于密码策略所确定的密码之间的对应关系;如果不是,则进一步将发送所述响应消息的远程服务器的标识所对应的改密子任务包含的用户名和基于所述密码策略所确定的密码发送到所述发送响应消息的远程服务器,从而由所述发送响应消息的远程服务器中的管理用户再次将所述用户名的密码更改为所述基于密码策略所确定的密码;
其中当所述响应消息指示更改密码成功且进一步检验改密后的密码成功时,如果该改密子任务有锁,则解锁;
所述改密计划还包括:每个远程服务器的操作系统类型标志位;
所述每个改密子任务还包括:每个远程服务器的操作系统类型标志位;
所述将每个改密子任务中包含的用户名和基于所述密码策略所确定的密码发送到对应于所述每个改密子任务所包含的标识的远程服务器包括:
当基于所述操作系统类型标志位确定对应于所述每个改密子任务所包含的标识的远程服务器采用视窗操作系统时,使能自动化运维工具Ansible调用Win_Ping模块测试对应于所述每个改密子任务所包含的标识的远程服务器是否存活,并当存活时,再使能所述自动化运维工具Ansible将所述每个改密子任务包含的用户名和基于所述密码策略所确定的密码发送到对应于所述每个改密子任务所包含的标识的远程服务器;
当基于所述操作系统类型标志位确定对应于所述每个改密子任务所包含的标识的远程服务器采用Linux操作系统时,使能自动化运维工具Ansible调用Ping模块测试对应于所述每个改密子任务所包含的标识的远程服务器是否存活,并当存活时,再使能所述自动化运维工具Ansible将所述每个改密子任务包含的用户名和基于所述密码策略所确定的密码发送到对应于所述每个改密子任务所包含的标识的远程服务器。
2.根据权利要求1所述的批量改密码的方法,其特征在于,在所述执行N个改密子任务中的每个改密子任务之前,该方法还包括:
验证所述堡垒机与所述对应于每个改密子任务所包含的标识的远程服务器的可连接性;
验证所述对应于每个改密子任务所包含的标识的远程服务器中的所述管理用户的有效性。
3.根据权利要求1所述的批量改密码的方法,其特征在于,所述密码策略包括下列中的一个:
每个远程服务器的所述用户名统一采用基于用户设置生成的相同密码;
每个远程服务器的所述用户名采用相同的随机密码;
每个远程服务器的所述用户名分别采用不同的随机密码。
4.一种批量改密码的装置,其特征在于,包括:
改密计划设置模块,用于在堡垒机上设置改密计划,其中所述改密计划包括单个的用户名、分别设置有所述用户名的N个远程服务器的N个标识以及密码策略,其中N为至少为2的正整数;
改密子任务生成模块,用于基于所述改密计划生成与所述N个标识一一对应的N个改密子任务,其中每个改密子任务包括所述用户名、对应于所述每个改密子任务的标识以及对应于所述用户名的、基于所述密码策略所确定的密码;其中针对相同的用户名和远程服务器的改密子任务进行加锁;
执行模块,用于执行所述N个改密子任务中的每个改密子任务,其中将所述每个改密子任务所包含的用户名和所述基于所述密码策略所确定的密码发送到对应于所述每个改密子任务所包含的标识的远程服务器,从而由对应于所述每个改密子任务所包含的标识的远程服务器中的管理用户将所述每个改密子任务所包含的用户名的密码更改为所述基于密码策略所确定的密码;
所述执行模块,还用于从所述对应于每个改密子任务所包含的标识的远程服务器接收响应消息;其中当所述响应消息指示更改密码失败时,进一步控制所述发送响应消息的远程服务器中的管理用户校验所述用户名的密码是否已成功更改为所述基于密码策略所确定的密码;如果是,则在堡垒机上记录所述发送响应消息的远程服务器的标识所对应的改密子任务包含的用户名、所述发送响应消息的远程服务器的标识和所述基于密码策略所确定的密码之间的对应关系;如果不是,则进一步将发送所述响应消息的远程服务器的标识所对应的改密子任务包含的用户名和基于所述密码策略所确定的密码发送到所述发送响应消息的远程服务器,从而由所述发送响应消息的远程服务器中的管理用户再次将所述用户名的密码更改为所述基于密码策略所确定的密码;其中当所述响应消息指示更改密码成功且进一步检验改密后的密码成功时,如果该改密子任务有锁,则解锁;
所述改密计划还包括:每个远程服务器的操作系统类型标志位;
所述每个改密子任务还包括:每个远程服务器的操作系统类型标志位;
执行模块,用于当基于所述操作系统类型标志位确定对应于所述每个改密子任务所包含的标识的远程服务器采用视窗操作系统时,使能自动化运维工具Ansible调用Win_Ping模块测试对应于所述每个改密子任务所包含的标识的远程服务器是否存活,并当存活时,再使能所述自动化运维工具Ansible将所述每个改密子任务包含的用户名和基于所述密码策略所确定的密码发送到对应于所述每个改密子任务所包含的标识的远程服务器;
当基于所述操作系统类型标志位确定对应于所述每个改密子任务所包含的标识的远程服务器采用Linux操作系统时,使能自动化运维工具Ansible调用Ping模块测试对应于所述每个改密子任务所包含的标识的远程服务器是否存活,并当存活时,再使能所述自动化运维工具Ansible将所述每个改密子任务包含的用户名和基于所述密码策略所确定的密码发送到对应于所述每个改密子任务所包含的标识的远程服务器。
5.根据权利要求4所述的批量改密码的装置,其特征在于,
执行模块,还用于在所述执行N个改密子任务中的每个改密子任务之前,验证所述堡垒机与所述对应于每个改密子任务所包含的标识的远程服务器的可连接性;验证所述对应于每个改密子任务所包含的标识的远程服务器中的所述管理用户的有效性。
6.一种计算机可读存储介质,其特征在于,其中存储有计算机可读指令,该计算机可读指令用于执行如权利要求1至3中任一项所述的批量改密码的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011252971.7A CN112347463B (zh) | 2020-11-11 | 2020-11-11 | 一种批量改密码的方法、装置和计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011252971.7A CN112347463B (zh) | 2020-11-11 | 2020-11-11 | 一种批量改密码的方法、装置和计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112347463A CN112347463A (zh) | 2021-02-09 |
| CN112347463B true CN112347463B (zh) | 2024-03-22 |
Family
ID=74363312
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011252971.7A Active CN112347463B (zh) | 2020-11-11 | 2020-11-11 | 一种批量改密码的方法、装置和计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112347463B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113094163B (zh) * | 2021-04-13 | 2024-01-30 | 中国工商银行股份有限公司 | 批量作业启停方法、装置、计算机设备及存储介质 |
| WO2023050110A1 (zh) * | 2021-09-29 | 2023-04-06 | 中远海运科技股份有限公司 | 面向云主机和云堡垒机实现含容错机制的自动改密的方法 |
| CN114374691A (zh) * | 2021-09-29 | 2022-04-19 | 中远海运科技股份有限公司 | 面向云主机和云堡垒机实现含容错机制的自动改密的方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106506153A (zh) * | 2016-11-28 | 2017-03-15 | 浙江齐治科技股份有限公司 | 一种自动改密方法、装置及堡垒机 |
| CN108768683A (zh) * | 2018-03-15 | 2018-11-06 | 北京奇艺世纪科技有限公司 | 一种自动化运维方法、装置和系统 |
| CN110891062A (zh) * | 2019-11-27 | 2020-03-17 | 中铁程科技有限责任公司 | 密码更改方法、服务器及存储介质 |
-
2020
- 2020-11-11 CN CN202011252971.7A patent/CN112347463B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106506153A (zh) * | 2016-11-28 | 2017-03-15 | 浙江齐治科技股份有限公司 | 一种自动改密方法、装置及堡垒机 |
| CN108768683A (zh) * | 2018-03-15 | 2018-11-06 | 北京奇艺世纪科技有限公司 | 一种自动化运维方法、装置和系统 |
| CN110891062A (zh) * | 2019-11-27 | 2020-03-17 | 中铁程科技有限责任公司 | 密码更改方法、服务器及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112347463A (zh) | 2021-02-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112347463B (zh) | 一种批量改密码的方法、装置和计算机可读存储介质 | |
| US7925666B1 (en) | System and method for managing the application of access control lists on network devices | |
| CN110647580A (zh) | 分布式容器集群镜像管理主节点、从节点、系统及方法 | |
| CN110891062B (zh) | 密码更改方法、服务器及存储介质 | |
| CN112134956A (zh) | 一种基于区块链的分布式物联网指令管理方法和系统 | |
| EP1917616A1 (en) | Security certificate management | |
| JP5837987B2 (ja) | 自動化されたパスワード管理 | |
| US9934477B1 (en) | Protected domain workflow access control system | |
| CN104754582A (zh) | 维护byod安全的客户端及方法 | |
| US7366893B2 (en) | Method and apparatus for protecting a network from attack | |
| CN114244604B (zh) | 适用于堡垒机的一体化权限管理方法、系统、电子设备和可读存储介质 | |
| CN101174289A (zh) | 有选择地启动加电口令的设备、系统和方法 | |
| US7454791B1 (en) | Method and system for checking the security on a distributed computing environment | |
| CN111935195B (zh) | 分布式系统管理方法、装置、存储介质和分布式管理系统 | |
| CN110012011A (zh) | 防止恶意登录的方法、装置、计算机设备及存储介质 | |
| CN110008669A (zh) | 一种平台登录方法、系统、装置、终端设备及存储介质 | |
| CN111740822B (zh) | 分布式系统用户密码批量更新方法及装置 | |
| CN113922975A (zh) | 一种安全控制方法、服务器、终端、系统和存储介质 | |
| CN115021995B (zh) | 多渠道登录方法、装置、设备及存储介质 | |
| US11693994B2 (en) | System and method for securing cache boards of an enterprise network data storage system | |
| TWI696091B (zh) | 平台組配技術 | |
| CN115134146A (zh) | 一种车载娱乐系统及车辆 | |
| CN111371571A (zh) | 一种基于微服务框架的分布式服务部署方法 | |
| CN105825124A (zh) | 一种服务器非法操作的监测方法和监测系统 | |
| CN116974703B (zh) | 一种kubernetes应用资源管理方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |