Les meilleures pratiques de sécurité exigent que vous changiez fréquemment vos mots de passe et depuis la version AOS 5.1 les mots de passe de la plateforme Nutanix doivent respecter ces 6 exigences de complexités :

• Au moins 8 caractères
• Au moins 1 lettre minuscule
• Au moins 1 lettre majuscule
• Au moins 1 numéro
• Au moins 1 caractère spécial
• Au moins 4 caractères de différence par rapport à l’ancien mot de passe

Dans certains contextes, si vous souhaitez désactiver les exigences de la politique de mot de passe vous pouvez commenter la ligne dans le fichier /etc/pam.d/system-auth

Par défaut, le mot de passe du compte admin expire au bout de 30 jours, vous pouvez utiliser la commande sudo chage –l admin pour faire les vérifications des paramètres :

Vous pouvez modifier la date d’expiration du compte avec la commande ci-dessous :

allssh “sudo chage -m 0 -M 99999 -I -1 -E -1 admin”

Pour supprimer l’historique des mots de passe d’un utilisateur admin Prism, connectez-vous à n’importe quelle CVM via SSH et exécutez la commande suivante :

allssh sudo rm /etc/security/opasswd && allssh sudo touch /etc/security/opasswd

Pour définir un nouveau mot de passe du compte admin, exécutez la commande ci-dessous dans la même session SSH en remplaçant « XXXXX » par le nouveau mot de passe

ncli user reset-password user-name=admin password= « XXXXXXX »

Attention : L’historique ncli est stocké localement sur chaque nœud dans le fichier /home/nutanix/.nutanix_history
Vous pouvez modifier ce fichier et supprimer les lignes que vous ne souhaitez pas voir apparaître en claire ou le supprimer pour effacer tout l’historique des commandes ncli avec la commande

allssh ‘rm ~/.nutanix_history’

Si par erreur vous bloquez le compte admin, connectez-vous en ssh à n’importe quelle CVM du cluster avec l’utilisateur nutanix et exécutez la commande suivante :

allssh sudo faillock –user admin –reset

Si vous essayez d’obtenir plus de détails sur ce qui verrouille le compte, vous pouvez suivre les étapes ci-dessous :

SSH à n’importe quel CVM du cluster et exécutez la commande ci-dessous pour vérifier lequel des CVM est le leader Prism.

curl localhost:2019/prism/leader && echo

SSH to the Prism leader CVM.

Utilisez la commande ci-dessous pour filtrer les journaux des tentatives d’authentification

grep “An unsuccessful login attempt was made with username” data/logs/prism_gateway.log

La sécurité est un vaste sujet, Une politique de mots de passe forts est un élément clé d’une cybersécurité efficace.

Enjoy!