加强账号与权限管理

强烈建议所有账号、口令、密钥的配置使用过程中：

避免在所有交换机上配置相同的账户口令。

避免多人共享同一个账号口令。

密码需要定期更新。

密码强度应该满足安全要求。

登录账号鉴权，要求配置全网统一的AAA鉴权系统，避免交换机进行本地认证。

在分配账号权限时，遵循最小授权原则，避免授予超出职责范围的权限。

严禁配置免认证的接入模式，任何接入交换机的通道都需要进行鉴权认证授权审计。

严格记录所有账户的活动日志，以便事后分析。

账号管理

要求：账号统一管理，固定用户使用固定账号。

查看本地用户命令：

[HUAWEI]display local-user

用户配置：

# 进入AAA视图，配置用户名密码，设置服务类型、用户级别和超时时间：

system-view[HUAWEI]aaa[HUAWEI-aaa]

# 配置用户名密码

[HUAWEI-aaa]local-user user1 password irreversible-cipher hauwei.com

#配置用户服务类型

[HUAWEI-aaa]local-user user1 service-type ssh

# 配置用户级别

[HUAWEI-aaa]local-user user1 privilege level 3

# 配置超时时间

[HUAWEI-aaa]local-user user1 idle-timeout 5 0

建议配置足够复杂度的密码，并区别对待用户权限级别。