搞定数通设备账号安全:登录审计、紧急踢线、故障排查与配置规范

数通工程师2026-03-12 16:19

文章目录

这是一份写给自己自用的【数通设备用户登录管理手册】。

解决问题:1,获取用户登录详细信息;2,紧急踢除在线用户;3,分析用户登录失败原因;4,配置密码有效期和老化周期(及逻辑),5,规范化的SSH登录配置实例。

一、获取用户信息

清晰掌握设备的用户登录基线信息,是运维管控的首要前提。华为数通设备提供多维度的查询指令,可快速定位用户登录的核心详情。

1. 核查已登录用户基础信息

通过display users指令,可全面查看所有通过 SSH、Telnet、Console 等方式登录设备的用户信息,核心字段解析如下:

  • User-Intf:用户界面编号(第一列为绝对编号,第二列为相对编号),是定位登录通道的核心标识;
  • Type:登录连接类型(如 SSH、Telnet、Console),明确用户访问设备的方式;
  • Address:登录设备的源 IP 地址,可精准追溯访问来源;
  • Username:登录用户名(未配置 AAA 认证时显示为 Unspecified)。
bash 复制代码 
<SW>display users 
  User-Intf    Delay    Type   Network Address     AuthenStatus    AuthorcmdFlag
+ 34  VTY 0   00:00:00  SSH    10.210.XX.XX            pass           no        Username : lw137XXXXXXXX

2. 查看本地用户全量配置与状态

若需深度核查特定用户的权限等级、密码状态、登录行为记录等信息,可执行display local-user username [用户名]指令,重点关注以下核心维度:

  • 权限等级(Privilege level):决定用户可执行的设备命令范围;
  • 密码状态(Password-expired):判断密码是否已过期,是否需重置;
  • 登录记录(Last login ip/Last login time):追溯用户最近一次登录的 IP 与时间;
  • 访问限制(Access-limit):核查用户并发登录数量的管控配置。
bash 复制代码 
<SW>display local-user username xxxxxxxx
  The contents of local user(s):
  Password             : ****************
  State                : active    
  Service-type-mask    : MS
  Privilege level      : 3
  Ftp-directory        : - 
  HTTP-directory       : - 
  Access-limit         : Yes      
  Access-limit-max     : 4294967295   
  Accessed-num         : 1   
  Idle-timeout         : -
  Original-password    : Yes
  Password-set-time    : 2026-01-15 09:07:14+08:00
  Password-expired     : No
  Password-expire-time : -
  Account-expire-time  : -
  Last login ip        : 10.210.XX.XX
  Last login time      : 2026-03-06 11:04:59+08:00
  Login fail count     : 0
  Password expire in   : -
  Ftp-privilege        : read write execute

二、紧急踢除在线用户,释放设备登录通道

华为设备默认通过vty 0 4配置 5 个远程登录通道(支持同时 5 个用户并行登录),若登录通道被占满、存在异常登录用户,需及时释放通道资源,可通过kill user-interface指令强制释放指定 VTY 通道。

操作核心步骤

  1. 前置操作:通过display users查询待剔除用户对应的 VTY 编号;
  2. 执行指令:kill user-interface vty [编号],确认后即可释放目标通道。
bash 复制代码 
<SW> kill user-interface vty 3
Warning: User interface VTY3 will be freed. Continue? [Y/N]:y
Info: User interface VTY3 is free.

三、分析登录失败原因

当用户登录失败时,可通过display aaa online-fail-record指令查看失败详情,结合失败原因快速定位问题根源,以下为常见失败原因及排查方向:

失败原因 含义与核心排查方向
User aged 用户上线前因老化机制被清除,需核查设备老化策略配置
Idle cut 因闲置超时被切断连接,可调整 VTY 闲置超时配置(idle-timeout)
console reset or disable port 管理接口 Down,需核查 Console 接口物理状态与配置
Local authentication reject 本地认证密码错误,需核对用户密码或执行密码重置操作
The shared keys on the device and Portal server are different 设备与 Portal 服务器共享密钥不一致,需统一密钥配置
The acl locally delivered by AAA is invalid or does not exist AAA 本地下发的 ACL 无效 / 不存在,需核查 ACL 配置的有效性
bash 复制代码 
  User name          : zh139XXXXXXXX
  Domain name        : default_admin
  User MAC           : -
  User access type   : SSH
  User IP address    : 10.210.XX.XX
  User ID            : 2094839
  User authen state  : Failed
  User acct state    : Start accounting idle
  User author state  : AuthorIdle
  User login time    : 2026-03-05 09:38:47
  Online fail reason : User aged

除此之外,登录失败的常见诱因还包括:VTY 界面配置的 ACL 限制了登录源 IP、上层防火墙拦截登录流量等,需逐一核查网络策略的放行状态。

四、配置密码安全策略

为规避弱密码、僵尸账号等安全风险,需针对本地用户配置密码过期、账号老化等策略,强化账号全生命周期安全管控:

核心配置指令解读

  • local-user [用户名] password expire 90:设置密码有效期为 90 天,密码到期后需完成修改方可再次登录;
  • local-user [用户名] aging 90:设置账号老化周期(自密码过期后开始计算),若账号连续 90 天未登录则自动过期(即密码有效期 + 老化周期,总计 180 天未登录则账号失效)。
bash 复制代码 
 local-user xxxxxxxx password irreversible-cipher $1c$'p3_N3v`Z5$;,)\=)"WL5w5x2Gh6KX8b\92!nY91E|y_g:%:/DS$
 local-user xxxxxxxx service-type terminal ssh
 local-user xxxxxxxx level 3
 local-user xxxxxxxx state block fail-times 3 interval 5
 local-user xxxxxxxx password expire 90
 local-user xxxxxxxx aging 90

五、SSH 登录全流程管控(标准化配置)

以 SSH 登录场景为例,整合上述配置要点,给出华为设备 AAA 认证的标准化配置流程,涵盖 SSH 服务开启、用户配置、VTY 管控、ACL 限制等核心环节,可直接落地参考:

bash 复制代码 
# 1. 开启SSH服务
stelnet server enable
# 2. 配置SSH用户
ssh user xxxxxxxx
ssh user xxxxxxxx authentication-type password
ssh user xxxxxxxx service-type stelnet
# 3. 配置AAA本地用户(含安全加固策略)
aaa
 local-user xxxxxxxx password irreversible-cipher $1c$'p3_N3v`Z5$;,)\=)"WL5w5x2Gh6KX8b\92!nY91E|y_g:%:/DS$
 local-user xxxxxxxx service-type terminal ssh
 local-user xxxxxxxx level 3
 local-user xxxxxxxx state block fail-times 3 interval 5
 local-user xxxxxxxx password expire 90
 local-user xxxxxxxx aging 90
# 4. 配置VTY界面(绑定AAA+限制SSH登录+ACL管控)
user-interface vty 0 4
 acl 2007 inbound
 authentication-mode aaa
 protocol inbound ssh
# 5. 配置ACL(仅放行指定IP登录)
acl number 2007
 rule 5 permit source 10.210.XX.XX 0
 rule 10 permit source 10.210.XX.XX 0
 rule 1000 deny

总结

本文梳理的实操方法与标准化配置案例,既贴合企业级运维实战场景,又具备技术专业性,希望能帮助运维人员高效完成设备用户管理工作。若在实操过程中遇到问题,欢迎在评论区交流探讨

如果觉得这些经验对你有用,不妨动动手指点赞,再顺手收藏起来,方便后续回看或分享给有需要的朋友 ------ 您的每一份支持,都是我继续分享的动力,感谢阅读!

相关推荐
ManchiBB2 小时前
Ubuntu 部署OpenClaw教程
linux·运维·ubuntu
桌面运维家2 小时前
Linux网络负载均衡:Nginx实战优化Web性能
linux·网络·负载均衡
智能运维指南2 小时前
信创改造 “二次开发陷阱“:国产DevOps 平台选型的原生功能完整性评估要点
运维·devops
Zfox_2 小时前
【Docker#6】Docker 容器常用命令
linux·运维·服务器·docker·容器
程序员一点2 小时前
第19章:openEuler 中的容器支持(Docker 与 iSulad)
运维·docker·容器·openeuler
waper972 小时前
java项目部署上线,安全扫描问题的解决方案
java·安全·nacos·docker compose
Guheyunyi3 小时前
电气安全管理系统有哪些技术升级
大数据·人工智能·安全·架构·能源
橙露3 小时前
计算机网络核心:TCP三次握手与四次挥手图文详解(四千字深度分析)
网络·tcp/ip·计算机网络
科技块儿3 小时前
社交媒体账号安全如何通过IP查询工具检测异常登录?
服务器·网络·数据库·tcp/ip·安全
热门推荐
01GitHub 镜像站点02OpenClaw 使用和管理 MCP 完全指南03本地部署 OpenClaw + DeepSeek-R1 完全指南04得物前端部门,没了05OpenClaw 连接飞书完整指南:插件安装、配置与踩坑记录06OpenClaw 飞书机器人不回复消息?3 小时踩坑总结07OpenClaw macOS 完整安装与本地模型配置教程(实战版)08Window 10部署openclaw报错node.exe : npm error code 12809npm-error code 128问题解决方法10OpenClaw-VSCode:在 VS Code 里玩转 OpenClaw,远程管理+SSH 双剑合璧