Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Impedir o acesso não autorizado a switches da Série EX usando o modo não autorizado para U-Boot

O Junos OS permite configurar um modo anatended para U-Boot para impedir o acesso não autorizado ao switch durante o processo de inicialização. Ao configurar o modo não autônomo, um usuário pode acessar a CLI durante o processo de inicialização fornecendo a senha do boot-loader. Isso impede o acesso não autorizado durante o processo de inicialização. Leia este tópico para obter mais informações.

Entender o modo não-autônomo para U-Boot em switches da Série EX

O modo não autorizado para U-Boot pode ser configurado para impedir o acesso não autorizado ao switch que pode ocorrer durante o processo de inicialização. Após o restabelecimento da CPU, existem vários métodos conhecidos de acesso ao sistema antes que o alerta de login do JUNOS OS apareça que não exige que o usuário insira credenciais de autorização. Ao obter acesso não autorizado, o usuário pode exibir, modificar ou alterar a configuração do switch ou tornar o switch indisponível na rede.

Quando o modo não autorizado está configurado, o usuário pode acessar a CLI durante o processo de inicialização apenas pressionando <Ctrl+c> e inserindo a senha correta, conhecida como senha do boot-loader. A senha do boot-loader deve ter sido configurada previamente no switch. Inserir a senha correta do boot-loader colocará o usuário na CLI do U-Boot. Se a senha estiver incorreta ou se nenhuma senha for inserida em um minuto, o acesso à CLI de U-Boot será bloqueado e o processo de inicialização continua automaticamente.

O acesso ao alerta de comando bootstrap loader () é bloqueado no modo autônomo, o que impede o uso dos seguintes mecanismos loader> de recuperação: recuperação de senha raiz usando o modo de usuário único e inicializando o switch usando um pacote de software armazenado em uma unidade flash USB.

Nota:

Caso a senha raiz seja perdida enquanto o switch está no modo desacompanhado, o switch deve ser reconfigurado para a configuração padrão de fábrica usando o painel DE LCD. Para obter mais informações, consulte Reverter para a configuração de fábrica padrão para o switch da série EX.

Caso o modo não seja configurado, mas uma senha do boot-loader tenha sido configurada, o usuário deve inserir a senha correta para acessar a CLI do U-Boot. Caso uma senha do boot-loader não tenha sido configurada, o usuário pode acessar a CLI do U-Boot sem inserir uma senha. Em ambos os casos, o usuário pode acessar o alerta de comando bootstrap loader, que permite a recuperação da senha raiz usando o modo de usuário único e também a inicialização de uma unidade flash USB.

O modo não autônomo não está habilitado por padrão. Quando configurado, o modo desacompanhado é ligado e bloqueará o acesso não autorizado ao switch. Tabela 1 sintetiza os comportamentos do modo U-Boot.

Tabela 1: Comportamento do modo desacompanhado

Modo desacompanhado

Senha do boot-loader

Comportamento

Em

Definir

  • O acesso à CLI de U-Boot só é permitido após inserir a senha correta.

  • O acesso ao alerta de comando do loader está bloqueado.

  • A inicialização do USB está bloqueada.

  • A recuperação da senha raiz usando o modo de usuário único é bloqueada.

Em

Não definido

  • O acesso à CLI de U-Boot está bloqueado.

  • O acesso ao alerta de comando do loader está bloqueado.

  • A inicialização do USB está bloqueada.

  • A recuperação da senha raiz usando o modo de usuário único é bloqueada.

Off

Definir

  • O acesso à CLI de U-Boot só é permitido após inserir a senha correta.

  • O acesso ao aviso de comando do loader é permitido.

  • É permitido o boot do USB.

  • É permitida a recuperação da senha raiz usando o modo de usuário único.

Off

Não definido

  • O acesso à CLI de U-Boot é permitido.

  • O acesso ao aviso de comando do loader é permitido.

  • É permitido o boot do USB.

  • É permitida a recuperação da senha raiz usando o modo de usuário único.

Usando o modo não autorizado para U-Boot para impedir acesso não autorizado

O modo não autônomo para U-Boot pode ser usado para impedir o acesso não autorizado ao switch que pode ocorrer durante o processo de inicialização. Quando o modo não autorizado está configurado, o usuário pode acessar a CLI durante o processo de inicialização apenas inserindo a senha correta, conhecida como senha do boot-loader. A senha do boot-loader deve ter sido configurada previamente no switch.

Quando o modo não autorizado está configurado, o acesso ao comando bootstrap loader () é bloqueado, o que impede o uso dos seguintes mecanismos loader> de recuperação: recuperação de senha raiz usando o modo de usuário único e inicializando o switch usando um pacote de software armazenado em uma unidade flash USB.

Aviso:

Nos EX2200 switches, se a senha do modo raiz e não atendida for perdida enquanto o switch estiver no modo não atendimento, não haverá nenhum método de recuperação alternativo disponível. O switch deve ser devolvido ao Juniper Networks. Para obter mais informações, consulte Como devolver um switch EX2200 ou componente para reparo ou substituição.

Para usar o modo desacompanhado, siga os seguintes procedimentos:

Configurando a senha do boot loader

Para configurar a senha do boot loader, você pode usar uma senha de texto simples que o sistema criptografa para você ou uma senha que já tenha sido criptografada. Se você usar uma senha de texto simples, o Junos OS exibirá a senha como uma string criptografada para que os usuários que visualizam a configuração não a vejam. Conforme você inserir a senha em texto simples, o Junos OS criptografa-a imediatamente. Você não precisa configurar o Junos OS para criptografar a senha. As senhas de texto simples são ocultas e marcadas como ## DADOS SECRETOs na configuração.

Para configurar a senha do boot-loader:

  1. Insira uma senha de texto simples ou uma senha criptografada usando o set system boot-loader authentication comando.
    • Para inserir uma senha de texto simples, use a opção e plain-text-password re-insira a senha quando solicitado:

    • Para inserir uma senha que já está criptografada, use a encrypted-password opção:

  2. Compromete as mudanças.
  3. Para exibir as entradas de senha criptografadas, use o comando modo de show configuração. Por exemplo:

Configuração de modo não autônomo para U-Boot

Antes de ativar o modo não autônomo para U-Boot, você deve baixar e instalar o pacote de firmware jloader, como descrito no /volume/build/junos/13.2/service/13.2X51-D20.2/ship/jloader-ex-2200-13.2X51-D20.2-signed.tgzTSB16425.

O modo não autônomo para U-Boot não está habilitado por padrão. Use o seguinte procedimento para configurar o modo não atendimento:

  1. Configure o modo desacompanhado.
  2. Compromete as mudanças.

Acesso à CLI de U-Boot

Quando o modo não autorizado para U-Boot estiver configurado e a senha do boot-loader tiver sido definida, você pode acessar a CLI de U-Boot durante o processo de inicialização pressionando <Ctrl+c> e inserindo a senha no pronto::

A senha correta deve ser inserida dentro de um minuto depois da solicitação aparecer. Se a senha não for inserida em um minuto ou se a senha estiver incorreta ou não tiver sido configurada, o acesso à CLI do U-Boot será bloqueado e o processo de inicialização continuará. Para obter mais informações sobre o comportamento do modo não-atendimento, consulte Entender o modo desacompanhado para U-Boot em switchesda série EX.