Splunk RESET PASSWORD USER SPLUNK

pluto

Moderator
RESET PASSWORD USER WEB SPLUNK

1.Đặt vấn đề
Trong môi trường triển khai thực tế, Splunk thường được cài đặt trên một máy chủ Linux. Để biết chi tiết các bước cài đặt , triển khai Splunk , tham khảo bài viết tại đây:

https://securityzone.vn/t/deploy-sp...xer-phan-1-chuan-bi-moi-truong-cai-dat.11861/

https://securityzone.vn/t/deploy-sp...han-2-cau-hinh-cluster-va-onboard-data.11862/

https://securityzone.vn/t/deploy-sp...va-cau-hinh-splunk-sau-khi-forward-log.11863/



Trong quá trình cặt đặt Splunk, tài khoản admin được sử dụng làm quyền cấu hình cao nhất cho Splunk (cả CLI và Web). Trong một số trường hợp người quản trị làm mất password của user admin, toàn bộ quyển quản trị với các chức năng quản lý, cấu hình, quản lý user khác,.. đều không thể thực hiện. Tuy nhiên, bài viết sau đấy sẽ hướng dẫn cách Reset password của bất kì User nào trong Splunk, trong thực tế, chỉ cần reset tài khoản admin, sau đó sử dụng tài khoản admin để quản lý các user khác trong hệ thống.

Mô tả trường hợp như sau:

  • Môi trường: Splunk Enterprise được cài đặt trên HĐH CentOS 7(địa chỉ IP: 10.120.190.34), tại thư mục /splunk/splunk
  • Ngữ cảnh: Người quản trị quên/làm mất password cho tài khoản admin.
  • Yêu cầu: Phải có user/password tài khoản root hoặc user có quyền chỉnh sửa cấu hình trên HĐH CentOS 7.
2. Các bước thực hiện:
Dùng WinSCP, truy cập vào VM cài đặt Splunk đã bị mất password, sử dụng tài khoản root. Sau đó truy cập tới thư mục /splunk/splunk/etc :
1620720864887.png




Phải chuột vào file passwd, chọn Edit:
1620720886130.png





Nội dung trong file passwd như hình bên dưới, có thể thấy, password của admin đã không được lưu dưới dạng Plain-text, thay vào đó được mã hóa và hash, sau đó lưu giá trị này nhằm mục đích đảm bảo yếu tố bảo mật:
1620720927089.png





Ta có thể thấy, không thể đọc được Password trong file passwd, việc tính ngược lại giá trị hash và giải mã tốn nhiều thời gian. Do đó, sử dụng phươn án ghi đè password để reset password của admin. Chi tiết thực hiện như sau:

Đổi tên file passwd, nhằm mục đích vô hiệu hóa password hiện tại của user admin, ở đây, đổi file passwd thành file passwd.bk. Phải chuột vào file passwd, chọn Rename:
1620720960124.png



Sau đó đổi tên file passwd thành passwd.bk:
1620720981113.png



Sau đó, truy cập đến thư mục, /splunk/splunk/etc/system/local:
1620721001397.png



Sau đó chọn phải chuột, chọn New>File… :
1620721016978.png




Sau đó tạo file user-seed.conf > OK:
1620721032015.png



Tiến hành thêm nội dung vào file user-seed.conf như sau:
1620721047861.png



Như vậy, tạo password mới cho user admin là Exam111!. Do thứ tự ưu tiên cấu hình trong Splunk , sẽ ưu tiên các cấu hình nằm trong thư mục /local hơn các cấu hình trong thư mục /default , nên sau khi vô hiệu hóa file passwd, cấu hình password admin sự được lấy tại file user-seed.conf trong đường dẫn /splunk/splunk/etc/system/local

Tiếp theo, truy cập Splunk qua giao diện CLI , tiến hành restart lại Splunk với câu lệnh sau:

#./splunk restart

1620721074754.png



Sau khi Splunk hoàn tất restart, sử dụng WinSCP truy cập tới /splunk/splunk/etc, sẽ thấy một file passwd vừa được tạo ra:
1620721090372.png




So sánh cấu hình hai file passwd trước và sau khi reset password user admin, nhận thấy giá trị lưu password cũ và password mới (sau khi được mã hóa và hash) đã khác nhau:
1620721152773.png




Kiểm tra đăng nhập Splunk qua web bằng user admin với password mới (Exam111!):
1620721248047.png




Đăng nhập thành công với password mới. Như vậy, đã hoàn thành reset password cho user admin Splunk:
1620721269858.png




CHÚ Ý: Trong trường hợp ngoài user admin, trên Splunk còn có thêm các user khác, tiến hành Copy các thông tin của các user này (trừ thông tin của user admin) nằm trong file passwd.bk(file passwd cũ) , sang file passwd mới. Nhằm đảm bảo các user khác vẫn có thể đăng nhập được trên Splunk mà không cần admin tạo lại user/password cho các user đó.
 

root

Well-Known Member
Hi @pluto,

Cho mình xin thêm bài lab về việc reset password của user root trên máy linux nhé. Trong trường hợp người admin quên thì thường sẽ quên luôn cả cái password root của linux :)

Thanks
 

pluto

Moderator
Hi @pluto,

Cho mình xin thêm bài lab về việc reset password của user root trên máy linux nhé. Trong trường hợp người admin quên thì thường sẽ quên luôn cả cái password root của linux :)

Thanks
Hi @root ,
Việc reset password user root trên Linux, mỗi một distro của Linux, sẽ có cách khác nhau để reset, nhưng đa số cùng chung một phương pháp. Sắp tới mình sẽ có bài lab về reset password user root của một số distro Linux thông dụng như: CentOs, Fedora, Debian, Ubuntu. Mong các bạn đón đọc !
 
Top