Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Prevenção do acesso não autorizado a switches da Série EX usando modo autônomo para u-boot

O Junos OS permite que você configure o modo desejado para U-Boot para evitar o acesso não autorizado ao switch durante o processo de inicialização. Quando você configura o modo autônomo, um usuário pode acessar a CLI durante o processo de inicialização fornecendo a senha do boot-loader. Isso impede o acesso não autorizado durante o processo de inicialização. Leia este tópico para obter mais informações.

Entendendo o modo sem vigilância para U-Boot em switches da Série EX

O modo desacompanhado para U-Boot pode ser configurado para evitar o acesso não autorizado ao switch que pode ocorrer durante o processo de inicialização. Após a redefinição da CPU, existem vários métodos conhecidos de acesso ao sistema antes que o prompt de login do JUNOS OS apareça que não exijam que o usuário insira credenciais de autorização. Ao obter acesso não autorizado, o usuário pode visualizar, modificar ou corrupçãor a configuração do switch ou tornar o switch indisponível na rede.

Quando o modo desacompanhado é configurado, o usuário pode acessar a CLI durante o processo de inicialização apenas pressionando <Ctrl+c> e digitando a senha correta, que é conhecida como a senha do boot-loader. A senha do boot-loader deve ter sido configurada anteriormente no switch. Inserir a senha correta do boot-loader colocará o usuário no U-Boot CLI. Se a senha estiver incorreta ou se nenhuma senha for inserida em um minuto, o acesso ao U-Boot CLI será bloqueado e o processo de inicialização continua automaticamente.

O acesso ao prompt de comando de carga de bootstrap () é bloqueado no modo autônomo, o que impede o uso dos seguintes mecanismos de recuperação:loader> recuperação de senha raiz usando o modo de usuário único, e inicializando o switch usando um pacote de software armazenado em um pen drive USB.

Nota:

Se a senha raiz for perdida enquanto o switch estiver no modo autônomo, o switch deve ser redefinido para a configuração padrão de fábrica usando o painel LCD. Para obter mais informações, veja Reverter para a configuração padrão de fábrica para o switch da Série EX.Reverting to the Default Factory Configuration for the EX Series Switch

Se o modo desacompanhado não estiver configurado, mas uma senha de boot-loader tiver sido configurada, o usuário deve digitar a senha correta para acessar o U-Boot CLI. Se uma senha do boot-loader não tiver sido configurada, o usuário pode acessar o U-Boot CLI sem digitar uma senha. Em ambos os casos, o usuário pode acessar o prompt de comando do carregador bootstrap, que permite a recuperação de senha raiz usando o modo de usuário único, bem como o inicialização de um pen drive USB.

O modo desacompanhado não é habilitado por padrão. Quando configurado, o modo autônomo é ativado e bloqueará o acesso não autorizado ao switch. resume os comportamentos do modo U-Boot.Tabela 1

Tabela 1: Comportamento do modo desacompanhado

Modo sem vigilância

Senha do boot-loader

Comportamento

Em

Definir

  • O acesso ao U-Boot CLI só é permitido após digitar a senha correta.

  • O acesso ao prompt de comando do carregador está bloqueado.

  • O inicialização do USB está bloqueado.

  • A recuperação de senha raiz usando o modo de usuário único está bloqueada.

Em

Não definir

  • O acesso ao U-Boot CLI está bloqueado.

  • O acesso ao prompt de comando do carregador está bloqueado.

  • O inicialização do USB está bloqueado.

  • A recuperação de senha raiz usando o modo de usuário único está bloqueada.

Desativado

Definir

  • O acesso ao U-Boot CLI só é permitido após digitar a senha correta.

  • É permitido acessar o prompt de comando do carregador.

  • O inicialização do USB é permitido.

  • A recuperação de senha raiz usando o modo de usuário único é permitida.

Desativado

Não definir

  • O acesso ao U-Boot CLI é permitido.

  • É permitido acessar o prompt de comando do carregador.

  • O inicialização do USB é permitido.

  • A recuperação de senha raiz usando o modo de usuário único é permitida.

Usando modo autônomo para u-boot para evitar acesso não autorizado

O modo desacompanhado para U-Boot pode ser usado para evitar o acesso não autorizado ao switch que pode ocorrer durante o processo de inicialização. Quando o modo desacompanhado é configurado, o usuário pode acessar a CLI durante o processo de inicialização apenas digitando a senha correta, que é conhecida como a senha do boot-loader. A senha do boot-loader deve ter sido configurada anteriormente no switch.

Quando o modo desacompanhado é configurado, o acesso ao prompt de comando do carregador de bootstrap () é bloqueado, o que impede o uso dos seguintes mecanismos de recuperação:loader> recuperação de senha raiz usando o modo de usuário único, e inicializando o switch usando um pacote de software armazenado em um pen drive USB.

Aviso:

Nos switches EX2200, se a senha do modo raiz e não atendida for perdida enquanto o switch estiver no modo autônomo, não haverá um método de recuperação alternativo disponível. O switch deve ser devolvido à Juniper Networks. Para obter mais informações, veja O retorno de um switch ou componente EX2200 para reparo ou substituição.https://www.juniper.net/documentation/en_US/release-independent/junos/topics/topic-map/ex2200-returning-chassis-components.html

Para usar o modo autônomo, siga os seguintes procedimentos:

Configurando a senha do boot loader

Para configurar a senha do boot loader, você pode usar uma senha de texto simples que o sistema criptografa para você, ou uma senha que já foi criptografada. Se você usar uma senha de texto simples, o Junos OS exibe a senha como uma string criptografada para que os usuários que visualizam a configuração não possam vê-la. Ao digitar a senha em texto simples, o Junos OS a criptografa imediatamente. Você não precisa configurar o Junos OS para criptografar a senha. As senhas de texto simples estão ocultas e marcadas como ## SECRET-DATA na configuração.

Para configurar a senha do boot-loader:

  1. Digite uma senha de texto simples ou uma senha criptografada usando o comando.set system boot-loader authentication
    • Para inserir uma senha de texto simples, use a opção e reentra na senha quando solicitado:plain-text-password

    • Para inserir uma senha que já está criptografada, use a opção :encrypted-password

  2. Comprometa as mudanças.
  3. Para visualizar as entradas de senha criptografadas, use o comando do modo de configuração.show Por exemplo:

Configuração do modo autônomo para u-boot

Antes de habilitar o modo autônomo para o U-Boot, você deve baixar e instalar o pacote de firmware jloader, conforme descrito em TSB16425./volume/build/junos/13.2/service/13.2X51-D20.2/ship/jloader-ex-2200-13.2X51-D20.2-signed.tgzhttps://kb.juniper.net/InfoCenter/index?page=content&id=TSB16425&cat=&actp=LIST

O modo desacompanhado para U-Boot não é habilitado por padrão. Use o procedimento a seguir para configurar o modo autônomo:

  1. Configure o modo desacompanhado.
  2. Comprometa as mudanças.

Acesso ao U-Boot CLI

Quando o modo desacompanhado para U-Boot estiver configurado e a senha do boot-loader tiver sido definida, você pode acessar o U-Boot CLI durante o processo de inicialização pressionando <Ctrl+c> e digitando a senha no prompt:

A senha correta deve ser inserida dentro de um minuto após a visualização do prompt. Se a senha não for inserida dentro de um minuto ou se a senha estiver incorreta ou não tiver sido configurada, o acesso ao U-Boot CLI será bloqueado e o processo de inicialização continuará. Para obter mais informações sobre o comportamento do modo autônomo, veja Entenda o modo sem vigilância para U-Boot em switches da Série EX.Entendendo o modo sem vigilância para U-Boot em switches da Série EX