弱口令安全最佳实践

系统名称

修改登录口令操作步骤

Linux系统

在Linux系统服务器中，执行passwd 命令，修改用户登录口令。执行完命令后请根据提示输入新口令。

如果不输入，则修改的是当前用户的口令。

Windows系统

此处以服务器操作系统为Windows Server 2019为例说明修改用户登录口令的方法。

登录Windows服务器，在左下角单击图标。

单击图标，在Windows设置页面，单击账户。

在左侧导航栏单击登录选项。

根据页面提示更改服务器密码。

MySQL数据库

登录MySQL数据库。

执行以下命令查看数据库用户密码信息。

SELECT user, host, authentication_string FROM user;说明 部分MySQL数据库版本可能不支持上述查询命令。如果您执行上述命令未获得用户密码信息，请您执行以下命令。

SELECT user, host, password FROM user; 执行以下命令根据查询结果及弱密码告警信息修改具体用户的密码。

ALTER USER ''@'' IDENTIFIED BY '';执行刷新命令flush privileges;。

Redis数据库

打开Redis数据库的配置文件redis.conf。

执行以下命令修改或增加口令。

requirepass 如果已存在登录口令，则执行该命令后将修改原来的登录口令；如果不存在登录口令，则执行该命令后将添加新口令。

重启Redis服务。

SQL Server数据库

Linux系统登录

登录SQL Server数据库，执行以下命令修改登录口令。

EXEC sp_password @old=N'', @new=N'', @loginame=N'';Windows认证登录

在SQL Server数据库客户端依次选择安全性 > 登录名 ，选中用户后将弱口令修改为复杂口令。

MongoDB数据库

登录MongoDB数据库。

执行use admin命令，切换到admin用户。

执行db.changeUserPassword("", "")命令，修改数据库的登录名和口令。

建议将新口令设置为长度大于12个字符，包含数字、大写字母、小写字母和特殊字符的强口令。

确保开启了身份认证功能。

进入MongoDB配置文件mongod.conf，将security.authorization设置为enabled或将auth配置项设置为true。

执行systemctl restart mongod命令，重启MongoDB服务。

PostgreSQL数据库

登录PostgreSQL数据库。

执行以下命令修改弱口令。

ALTER USER WITH PASSWORD ;Tomcat

打开Tomcat根目录下的配置文件conf/tomcat-user.xml。

修改user节点的password属性值为复杂口令。

Rsync

打开Rsync的配置文件rsyncd.conf。

找到secrets file配置项，并在该配置项中找到rsyncd.secret文件的路径。

将rsyncd.secret文件按:格式编辑，修改对应用户的口令为新的复杂口令。

重启Rsync服务。

SVN

打开版本库目录。

在配置文件/conf/svnserve.conf中找到password-db。

根据password-db配置找到口令配置文件路径，将该文件中的口令修改为指定的口令（默认为passwd文件）。

重启SVN服务。

vsftpd服务器软件

本地用户

打开配置文件vsftpd.conf。

增加或修改配置项anonymous_enable的值为NO，禁止匿名登录。

执行passwd 命令，修改FTP用户的口令。

根据提示设置符合要求的新的复杂口令。

虚拟用户

打开文件/etc/vsftpd/login.txt。

修改用户名对应的口令并保存。

该文件格式为：第1行是用户A的用户名，第2行是用户A的口令，第3行是用户B的用户名，第4行是用户B的口令，以此类推。

执行db_load -T -t hash -f /etc/vsftpd/login.txt /etc/vsftpd/login.db命令。

修改/etc/pam.d/vsftpd文件。

在存在auth pam_userdb.so和account pam_userdb.so的行后分别添加语句db=/etc/vsftpd/login，修改完成后保存。具体位置见下图。

重启vsftpd。

FTP

使用root用户登录目标Linux服务器。

执行以下命令。

passwd 按照提示输入新密码。

修改密码成功后，会提示all authentication tokens updated successfully。

InfluxDB数据库

登录InfluxDB数据库。

执行以下命令修改数据库密码。

使用新密码替换NewPassword，新密码需使用半角单引号括起来。

set password for "" = "" Jboss6、7

Jboss6：

编辑配置文件/conf/props/jmx-console-users.properties，修改配置文件中的弱口令，修改后的格式为 =。

重启Jboss6。

执行ps -ef|grep jboss查看当前Jboss6进程。

执行kill -9 进程ID关闭进程。

其中进程ID需要替换成Jboss6的进程ID

执行以下命令启动Jboss服务。

jboss6_path需要替换成Jboss6的安装目录。

jboss6_path/bin/run.shJboss7：

编辑配置文件/configuration/mgmt-users.properties，删除使用弱口令的用户条目。

运行Jboss安装路径下的bin/adduser.sh，根据提示添加使用复杂密码的新用户。

Jenkins

登录Jenkins服务Web控制台。

单击设置，进入设置页面。

在密码处输入新密码。

OpenLDAP

执行以下命令查询OpenLDAP管理员密码字段的值和存放位置。

ldapsearch -H ldapi:// -LLL -Q -Y EXTERNAL -b "cn=config" "(olcRootDN=*)" dn olcRootDN olcRootPW执行以下命令生成新密码。

slappasswd -s 执行该命令后可以获得新密码的哈希值NewHash。

新建名称为newpassword.ldif的文件，并在文件中添加以下信息。

dn: olcDatabase={2}hdb,cn=config

changetype: modify

replace: olcRootPW

olcRootPW: NewHash其中dn行的内容为第一个查询命令返回数据中dn的值，NewHash为新密码的哈希值。

执行以下命令导入新建的ldif文件。

ldapmodify -H ldapi:// -Y EXTERNAL -f newpassword.ldifLinux系统OpenVpn

编辑配置文件pwd-file，修改OpenVpn的密码。具体操作如下：

找到配置文件pwd-file。配置文件一般在/etc/openvpn目录。

在配置文件中加入以下语句，取消客户端的证书认证。

client-cert-not-required在配置文件中加入以下语句，开启用户密码脚本。

auth-user-pass-verify /etc/openvpn/checkpsw.sh via-env在配置文件中加入以下语句，屏蔽system告警。

script-security 3编辑/etc/openvpn/psw-file文件，一行对应一个账号，用户名和密码用空格隔开。示例：

cat /etc/openvpn/psw-file

abcdocker

abc

test 执行以下命令获取checkpsw.sh脚本。

wget http://openvpn.se/files/other/checkpsw.sh说明 checkpsw.sh默认从文件/etc/openvpn/psw-file中读取用户名密码。

Oracle数据库

登录Oracle数据库。

执行以下命令修改口令。

alter user identified by ;pptpd服务

编辑/etc/ppp/chap-secrets文件。

配置用户名和密码，格式为 pptpd 。

UserName、pptpd和NewPassword之间需要使用tab键分隔。

重启pptp服务。

Proftpd

执行以下命令，根据提示输入新密码。

其中File_Path指存储该虚拟用户的文件路径。

ftpasswd --passwd --name= --change-password --file=File_PathRabbitMQ

执行以下命令修改弱口令。

rabbitmqctl change_password ''VncServer

确保VncServer处于关闭状态后，进入VncServer服务器的VncServer安装目录。

当弱口令不为root用户时，进入安装目录后，登录或切换到需要修改弱口令的用户。例如需要修改密码的用户为aliuser时，执行su - aliuser。

删除安装目录下的passwd文件，例如删除/home/aliuser/.vnc/passwd。

执行vncpasswd命令，重置密码。

重要 VncServer密码校验位最长为8，例如您设置新口令为Aliyunpasswd，实际生效为前8位，即Aliyunpa。如果生效的密码不满足复杂密码的要求，会有较大风险被入侵者破解，请确保密码满足复杂度要求。

Weblogic 12c

登录Weblogic控制台。

在左侧导航栏，选择安全领域 > 目标领域 > 用户和组 > 用户。

选择需要修改口令的用户。

在口令页面，填写并确认新口令，单击保存。

如果WebLogic管理控制台左上角更改中心显示激活更改，请单击激活更改。

登录服务器，在配置文件`%DOMAIN_HOME%/servers/AdminServer/security/boot.properties 中，修改目标用户的password字段。

此处修改的密码需要和Weblogic控制台相同，修改密码后会自动进行AES加密。

执行%DOMAIN_HOME%/bin/stopWeblogic.sh命令，安全停止Weblogic，再重新启动Weblogic。

说明 必须重启Weblogic新密码才会生效。

如果无法修改配置，可在Weblogic控制台左上角更改中心，单击锁定并编辑修改配置。

需要安全停止Weblogic，否则可能导致Weblogic启动失败。

Activemq

进入配置文件目录activemq_path/conf/。

其中activemq_path为应用安装路径。

执行vim jetty-realm.properties命令，编辑配置文件。

添加或修改用户。

修改用户名和口令的格式为: ,RoleName，RoleName为角色。例如：admin: passwd123!@#, admin。

修改完成后保存退出，重启服务。

ElasticSearch服务

说明 使用Elasticsearch的安全策略安装X-Pack插件。7.X以上版本的Elasticsearch已经内置X-Pack插件；对于7.X以下版本，您需开启X-Pack配置。在elasticsearch.yml文件中修改配置为xpack.security.enabled: true。

执行以下命令修改用户密码。

其中ES_HOME_PATH为ElasticSearch的安装路径，passwd为新口令。

ES_HOME_PATH/bin/elasticsearch-users passwd Samba

执行smbpasswd 命令，修改用户密码。

按照提示输入新密码。

Zabbix

使用管理员账号登录Zabbix的Web管理控制台。

在顶部菜单栏，选择管理 > 用户，查看用户列表。

单击目标用户名，再单击修改密码。

输入新口令后，单击存档。