文章总结： 文档探讨了为何在VPN和堡垒机防护下仍需实施一机一密。作者指出，若外包运维使用统一密码，一旦服务商被攻陷，攻击者将获取万能钥匙并进行横向移动，导致全网沦陷。一机一密虽非绝对安全，但能显著增加攻击成本，限制破坏范围，为防御方争取响应时间。 综合评分： 80 文章分类： 安全建设,安全意识

主机的账号密码，毕竟还隔了一层VPN和堡垒机，为啥要做一机一密？

原创

catfishfighting catfishfighting

透明魔方

2026年1月29日 13:00 上海

最近和各个外包运维伙伴提安全要求：每个主机必须一机一密。

和我关系好的外包运维就跑来质疑：“fish，我不明白，主机的账号密码，毕竟还隔了一层VPN和堡垒机，为啥要做一机一密？我感觉你们做这个事情意义不大啊，反而是我工作量很大，我有几百个账号密码，都要一个个排查修改吗？改了我也记不住，还不是都得excel存储，万一泄露不更糟糕？”

虽然我这个搞安全的也是半吊子（一会儿管项目、一会儿做售前，难以称专业），但是我还是尽量和他解释了起来。

运维大哥觉得安全，是因为看到了这三层防御：

1、政务外网：一个逻辑上或物理上隔离的网络边界。

2、VPN：进入这个边界的加密通道。

3、堡垒机：对所有运维操作进行认证、授权和审计的关卡。

他的逻辑是：“黑客从互联网上根本碰不到我的主机，因为他连VPN都进不来，更别说通过堡垒机了。所以主机密码是不是批量管理，似乎没那么要紧。”

但也有不同于他理想情况下的剧本啊？

第一步：攻击者瞄准薄弱点——外包运维服务商A

外包运维A用同一个高强度密码P@ssw0rd!2024来管理100台服务器。攻击者的目标不直接攻击防守严密的政务外网，而是选择A作为入口。通过网络钓鱼，控制了服务商A某位工程师的个人电脑，或者入侵了A公司内部用于存储文档的服务器。拿到了P@ssw0rd!2024这个万能钥匙。

第二步：攻击者寻找进入网络的“入口”****

攻击者继续在A的环境里寻找：发现了保存于电脑或文档中用来连接政务外网的VPN客户端配置和账号。

第三步：攻击者发起“合法”攻击

直接用P@ssw0rd!2024这个万能密码，尝试连接网络扫描发现的任何一台服务器。由于密码通用，成功率极高。

第四步：横向移动与全面沦陷

攻击者成功登录第一台服务器（例如一台Web服务器）后：

他利用这台服务器作为新的跳板，扫描整个政务外网内段，寻找数据库服务器、应用服务器、文件服务器。

对于发现的每一台服务器，他都尝试使用同一个密码P@ssw0rd!2024。由于密码通用，他几乎可以畅通无阻地控制所有由服务商A管理的主机。

总之：“一机一密”配合正确的密码存储方式，其目的不是为了让密码“绝对偷不到”（没有绝对安全），而是要大幅提高攻击者的成本和不确定性，并为防御方争取关键的时间和预警。

“批量一密”是把整个王国的钥匙做成一把，“一机一密”是把100把不同的钥匙锁进深宫的金库，每把钥匙只能开一扇门。

哪个安全，一目了然。

THE END

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：透明魔方 catfishfighting catfishfighting《主机的账号密码，毕竟还隔了一层VPN和堡垒机，为啥要做一机一密？》