Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在本页
 

防止未经授权访问使用无人值守模式进行 U-boot 的 EX 系列交换机

Junos OS 允许您为 U-Boot 配置有人值守模式,以防止在启动过程中未经授权访问交换机。配置无人参与模式时,用户可以通过提供引导加载程序密码在引导过程中访问 CLI。这可以防止在启动过程中进行未经授权的访问。有关更多信息,请阅读本主题。

了解 EX 系列交换机上 U-boot 的无人值守模式

可以配置 U-Boot 的无人值守模式,以防止在启动过程中对交换机进行未经授权的访问。重置 CPU 后,在 JUNOS OS 登录提示出现之前,有几种已知的访问系统的方法不需要用户输入授权凭据。通过获得未经授权的访问权限,用户可以查看、修改或损坏交换机配置,或使交换机在网络上不可用。

配置无人参与模式后,用户只能在引导过程中访问 CLI,只需按 <Ctrl+c> 并输入正确的密码(称为引导加载程序密码)。引导加载程序密码必须事先已在交换机上配置。输入正确的引导加载程序密码会将用户置于 U-Boot CLI 中。如果密码不正确,或者在一分钟内未输入密码,则对 U-Boot CLI 的访问将被阻止,启动过程将自动继续。

在无人参与模式下,对引导加载程序命令提示符 () 的访问被阻止,这会阻止使用以下恢复机制:loader> 使用单用户模式恢复 root 密码,并使用存储在 USB 闪存驱动器上的软件包启动交换机。

注:

如果在交换机处于无人值守模式时丢失了 root 密码,则必须使用 LCD 面板将交换机重置为出厂默认配置。有关更多信息 ,请参阅恢复到 EX 系列交换机的默认出厂配置。Reverting to the Default Factory Configuration for the EX Series Switch

如果未配置无人参与模式,但已配置引导加载程序密码,则用户必须输入正确的密码才能访问 U-Boot CLI。如果尚未配置引导加载程序密码,则用户无需输入密码即可访问 U-Boot CLI。在任一情况下,用户都可以访问引导加载程序命令提示符,该命令提示符通过使用单用户模式以及从 USB 闪存驱动器引导来启用 root 密码恢复。

默认情况下不启用无人参与模式。配置后,无人值守模式将打开,并将阻止对交换机的未授权访问。 总结了 U-Boot 模式的行为。表 1

表 1: 无人参与模式行为

无人值守模式

引导加载程序密码

行为

设置

  • 只有在输入正确的密码后,才允许访问 U-Boot CLI。

  • 对加载程序命令提示符的访问被阻止。

  • 阻止从 USB 启动。

  • 阻止使用单用户模式恢复 root 密码。

未设置

  • 对 U-Boot CLI 的访问被阻止。

  • 对加载程序命令提示符的访问被阻止。

  • 阻止从 USB 启动。

  • 阻止使用单用户模式恢复 root 密码。

关闭

设置

  • 只有在输入正确的密码后,才允许访问 U-Boot CLI。

  • 允许访问加载程序命令提示符。

  • 允许从 USB 启动。

  • 允许使用单用户模式恢复 root 密码。

关闭

未设置

  • 允许访问 U-Boot CLI。

  • 允许访问加载程序命令提示符。

  • 允许从 USB 启动。

  • 允许使用单用户模式恢复 root 密码。

另请参阅

对 U-boot 使用无人值守模式以防止未经授权的访问

U-Boot 的无人值守模式可用于防止在启动过程中对交换机进行未经授权的访问。配置无人参与模式后,用户只能通过输入正确的密码(称为引导加载程序密码)在引导过程中访问 CLI。引导加载程序密码必须事先已在交换机上配置。

配置无人参与模式时,将阻止对引导加载程序命令提示符 () 的访问,从而阻止使用以下恢复机制:loader> 使用单用户模式恢复 root 密码,并使用存储在 USB 闪存驱动器上的软件包启动交换机。

警告:

在 EX2200 交换机上,如果在交换机处于无人值守模式时 root 和无人参与模式密码都丢失,则没有其他可用的恢复方法。交换机必须归还给瞻博网络。有关更多信息,请参阅 退回 EX2200 交换机或组件进行维修或更换。https://www.juniper.net/documentation/en_US/release-independent/junos/topics/topic-map/ex2200-returning-chassis-components.html

若要使用无人参与模式,请按照下列过程操作:

配置引导加载程序密码

要配置引导加载程序密码,您可以使用系统为您加密的纯文本密码或已加密的密码。如果使用纯文本密码,Junos OS 会将密码显示为加密字符串,这样查看配置的用户就看不到密码。当您以纯文本形式输入密码时,Junos OS 会立即对其进行加密。您不必配置 Junos OS 来加密密码。纯文本密码在配置中将隐藏并标记为 ## SECRET-DATA 。

要配置引导加载程序密码:

  1. 使用 命令输入纯文本密码或加密密码。set system boot-loader authentication

    • 要输入纯文本密码,请使用选项, 并在出现提示时重新输入密码:plain-text-password

    • 要输入已加密的密码,请使用以下 选项:encrypted-password

  2. 提交更改。
  3. 要查看加密的密码条目,请使用配置模式 命令。show 例如:

为 U-boot 配置无人值守模式

在为 U-Boot 启用无人值守模式之前,您必须下载并安装 jloader 固件包 , 如TSB16425中所述。/volume/build/junos/13.2/service/13.2X51-D20.2/ship/jloader-ex-2200-13.2X51-D20.2-signed.tgzhttps://kb.juniper.net/InfoCenter/index?page=content&id=TSB16425&cat=&actp=LIST

默认情况下不启用 U-Boot 的无人参与模式。使用以下过程配置无人参与模式:

  1. 配置无人参与模式。
  2. 提交更改。

访问 U-Boot CLI

配置 U-Boot 无人参与模式并设置引导加载程序密码后,您可以在引导过程中访问 U-Boot CLI,方法是按 <Ctrl+c> 并在提示符下输入密码:

必须在提示出现后的一分钟内输入正确的密码。如果在一分钟内未输入密码,或者密码不正确或尚未配置,则对 U-Boot CLI 的访问将被阻止,启动过程将继续。有关无人参与模式行为的详细信息,请参阅 了解 EX 系列交换机上 U-Boot 的无人参与模式。了解 EX 系列交换机上 U-boot 的无人值守模式

另请参阅

相关主题