运维专题第7期:云上保险柜
在上一期推文《混沌工程》中,我们给大家介绍的是能验证业务系统稳定性的故障演练平台,本期给大家带来的是运维平台中的一个重要功能组件——密码库。
密码随着互联网的发展广泛出现在了人们的日常生活中,相信大家都面临过这种问题:因为平台账户密码过多或许久不登录,导致想不起来曾经设置的密码是什么,只能通过找回重新设置,而且下一次还会面临同样的情况。
个人密码管理都已经很麻烦了,企业场景中对密码管理要求更为严格。企业场景中密码需要满足一定的强度,需要定期更换,并且需要控制访问范围,避免密码泄漏造成安全风险。面对如此严格的要求,光凭借人工管理恐怕难以应对,于是密码库出现了。
密码库是什么
密码库是运维平台的功能组件,用于统一管理云平台使用的物理机、虚拟机操作系统用户密码。密码库为平台云产品及客户第三方系统提供密码查询、密码修改、密码重置等接口,为其使用操作系统用户密码提供自动化支持。
密码库的优势
- 密码库可以实现对密码集中统一管理,避免人工管理密码带来的密码错误、泄露等风险。通过定义密码强度和定期更改临时密码,可以有效保护密码不被暴力破解,避免密码撞库的安全风险。
- 通过对接密码库,平台云产品无需自行保管操作系统用户密码,避免密码泄漏的安全风险。
- 密码库会对所有的 API 接口请求和页面操作进行记录,确保所有密码操作均可被安全审计。
特性介绍
安全加密 | 密码库使用加密方案进行密码和密钥的存储和传输,保障密码信息安全。 |
|---|---|
认证鉴权 | 访问密码库的所有请求均需要通过 CAM 系统鉴权,权限支持以主机为粒度精细管理。 |
操作审计 | 密码库所有的 API 接口请求和页面操作均会被记录日志,用于进行操作审计。 |
无代理 | 密码库服务不需要在客户机安装代理客户端,对客户服务器系统无定制化需求。 |
功能介绍
1.临时密码
临时密码是密码库管理服务器密码的建议类型,其特点是:
- 密码是由密码库根据用户设置的密码强度自动生成的;
- 密码会根据用户配置的周期来定期更改(重置周期从密码被查询后开始计时,更换周期从密码被修改后开始计时)。
使用临时密码可以增强密码的安全性,避免密码泄露带来的风险。如无必要,所有场景都应优先使用临时密码登录方式。
2.长期密码
相对于临时密码,长期密码是由用户自主指定,密码库不会定期修改的密码。长期密码安全性不如临时密码,但其可以保持长期稳定不变,在特定场景下使用会比较便利。
如果主机由于网络连通性等原因不能被密码库自动修改密码,或者密码使用方无法对接密码库接口自动获取密码,这两种场景需要在密码库使用长期密码登录方式。
3.密钥
SSH 协议支持 RSA 密钥对的验证方式,通过将公钥放置在远端服务器上,用户即可以通过密钥验证来 SSH 登录远端服务器,从而实现免密码登录。密码库支持配置服务器为密钥登录方式。
在需要免密码登陆的场景,需要在密码库使用密钥登录方式。
密码安全无小事,使用密码库管理操作系统用户密码,可以在密码安全和业务效率都取得比较好的收益。通过开放的 API 接口,密码库可以和客户其他的密码管理系统或者堡垒机系统对接联动,为客户提供统一的密码管理体验。
感谢本期作者赵趁给我们带来的精彩解说,喜欢的朋友们可以点一下关注,咱们下期见~
-【END】-
没看够?下面还有!
往期 · 推荐
腾讯云开发者
