pluto
Moderator
RESET PASSWORD USER WEB SPLUNK
1.Đặt vấn đề
Trong môi trường triển khai thực tế, Splunk thường được cài đặt trên một máy chủ Linux. Để biết chi tiết các bước cài đặt , triển khai Splunk , tham khảo bài viết tại đây:
https://securityzone.vn/t/deploy-sp...xer-phan-1-chuan-bi-moi-truong-cai-dat.11861/
https://securityzone.vn/t/deploy-sp...han-2-cau-hinh-cluster-va-onboard-data.11862/
https://securityzone.vn/t/deploy-sp...va-cau-hinh-splunk-sau-khi-forward-log.11863/
Trong quá trình cặt đặt Splunk, tài khoản admin được sử dụng làm quyền cấu hình cao nhất cho Splunk (cả CLI và Web). Trong một số trường hợp người quản trị làm mất password của user admin, toàn bộ quyển quản trị với các chức năng quản lý, cấu hình, quản lý user khác,.. đều không thể thực hiện. Tuy nhiên, bài viết sau đấy sẽ hướng dẫn cách Reset password của bất kì User nào trong Splunk, trong thực tế, chỉ cần reset tài khoản admin, sau đó sử dụng tài khoản admin để quản lý các user khác trong hệ thống.
Mô tả trường hợp như sau:
- Môi trường: Splunk Enterprise được cài đặt trên HĐH CentOS 7(địa chỉ IP: 10.120.190.34), tại thư mục /splunk/splunk
- Ngữ cảnh: Người quản trị quên/làm mất password cho tài khoản admin.
- Yêu cầu: Phải có user/password tài khoản root hoặc user có quyền chỉnh sửa cấu hình trên HĐH CentOS 7.
Dùng WinSCP, truy cập vào VM cài đặt Splunk đã bị mất password, sử dụng tài khoản root. Sau đó truy cập tới thư mục /splunk/splunk/etc :

Phải chuột vào file passwd, chọn Edit:

Nội dung trong file passwd như hình bên dưới, có thể thấy, password của admin đã không được lưu dưới dạng Plain-text, thay vào đó được mã hóa và hash, sau đó lưu giá trị này nhằm mục đích đảm bảo yếu tố bảo mật:

Ta có thể thấy, không thể đọc được Password trong file passwd, việc tính ngược lại giá trị hash và giải mã tốn nhiều thời gian. Do đó, sử dụng phươn án ghi đè password để reset password của admin. Chi tiết thực hiện như sau:
Đổi tên file passwd, nhằm mục đích vô hiệu hóa password hiện tại của user admin, ở đây, đổi file passwd thành file passwd.bk. Phải chuột vào file passwd, chọn Rename:

Sau đó đổi tên file passwd thành passwd.bk:

Sau đó, truy cập đến thư mục, /splunk/splunk/etc/system/local:

Sau đó chọn phải chuột, chọn New>File… :

Sau đó tạo file user-seed.conf > OK:

Tiến hành thêm nội dung vào file user-seed.conf như sau:

Như vậy, tạo password mới cho user admin là Exam111!. Do thứ tự ưu tiên cấu hình trong Splunk , sẽ ưu tiên các cấu hình nằm trong thư mục /local hơn các cấu hình trong thư mục /default , nên sau khi vô hiệu hóa file passwd, cấu hình password admin sự được lấy tại file user-seed.conf trong đường dẫn /splunk/splunk/etc/system/local
Tiếp theo, truy cập Splunk qua giao diện CLI , tiến hành restart lại Splunk với câu lệnh sau:
#./splunk restart

Sau khi Splunk hoàn tất restart, sử dụng WinSCP truy cập tới /splunk/splunk/etc, sẽ thấy một file passwd vừa được tạo ra:

So sánh cấu hình hai file passwd trước và sau khi reset password user admin, nhận thấy giá trị lưu password cũ và password mới (sau khi được mã hóa và hash) đã khác nhau:

Kiểm tra đăng nhập Splunk qua web bằng user admin với password mới (Exam111!):

Đăng nhập thành công với password mới. Như vậy, đã hoàn thành reset password cho user admin Splunk:

CHÚ Ý: Trong trường hợp ngoài user admin, trên Splunk còn có thêm các user khác, tiến hành Copy các thông tin của các user này (trừ thông tin của user admin) nằm trong file passwd.bk(file passwd cũ) , sang file passwd mới. Nhằm đảm bảo các user khác vẫn có thể đăng nhập được trên Splunk mà không cần admin tạo lại user/password cho các user đó.
Bài viết liên quan
Bài viết mới