Root 密码
设备首次开机后即可进行配置。首次启动,您以用户身份 root 登录,不需要密码。首次修改和提交配置时,必须为 root 用户(其用户名为 root)配置纯文本密码。配置纯文本密码是一种防止未经授权的用户访问根级别的方法。如果忘记了设备的 root 密码,您可以使用密码恢复过程重置 root 密码。
配置 root 密码
打开路由器或交换机的电源后,即可进行配置。首次启动,您以用户身份 root 登录,不需要密码。根目录是该设备上所有其他文件夹和文件的入口点。因此,默认情况下,对根目录的访问仅限于称为 root 用户的预定义用户帐户。root 用户(也称为 超级用户)在系统内具有无限制访问权限和完全权限。当操作要求用户以 root 用户的身份登录设备时,通常会使用表达式“以 root 身份登录”。
如果在层次结构级别使用 [edit system root-authentication] the encrypted-password 语句配置空密码,用于 root 身份验证,则可以提交配置。但是,您无法以 root 用户的身份登录并获取对路由器或交换机的根级别访问权限。
登录后,应通过在层次结构级别包含root-authentication[edit system]该语句并配置其中一个密码选项来配置 root(超级用户)密码:
[edit system] root-authentication { (encrypted-password "password"| plain-text-password); load-key-file URL filename; ssh-ecdsa “public-key” <from hostname>; ssh-rsa “public-key” <from hostname>; }
如果配置该 plain-text-password 选项,系统会提示您输入并确认密码:
[edit system] user@host# set root-authentication plain-text-password New password: type password here Retype new password: retype password here
纯文本密码的默认要求如下:
-
密码长度必须为 6 到 128 个字符。
-
密码中可包含大多数字符类(大写字母、小写字母、数字、标点符号和其他特殊字符)。不建议使用控制字符。
-
有效密码必须至少包含一个大写字母或一个小写字母,或者一个字符类。
Junos-FIPS 软件有特殊的密码要求。FIPS 密码长度必须为 10 到 20 个字符。密码必须至少使用五个已定义的字符集中的三个(大写字母、小写字母、数字、标点符号和其他特殊字符)。如果路由器或交换机上安装了 Junos-FIPS,则只能配置符合此标准的密码。
从 Junos OS 23.1R1 版开始,我们取消了 root 密码的 20 个字符数限制。之前的复杂性和最小长度要求在 Junos OS 23.1R1 版之前有效。
如果使用该 encrypted-password 选项,则不允许空密码(空)。您必须配置长度为 1 到 128 个字符的密码,并用引号将密码括起来。
您可以使用该 load-key-file URL filename 语句加载之前使用 ssh-keygen生成的 SSH 密钥文件。该 URL filename 选项是文件位置和名称的路径。使用此选项时,密钥文件的内容会在输入 load-key-file URL 语句后立即复制到配置中。此命令将加载 RSA(SSH 版本 1 和 SSH 版本 2)和 DSA(SSH 版本 2)公钥。
或者,您可以使用 ssh-ecdsa or ssh-rsa 语句直接配置 SSH RSA 和 ECDSA 密钥来对 root 登录进行身份验证。您可以为 root 登录的 SSH 身份验证以及用户帐户配置多个公钥。当用户以 root 身份登录时,设备将确定私钥是否与任何配置的公钥匹配。
[edit system] user@host# set root-authentication load-key-file my-host:.ssh/id_rsa.pub .file.19692 | 0 KB | 0.3 kB/s | ETA: 00:00:00 | 100%
在配置模式下,您可以通过输入 show 命令来确认您的 SSH 密钥条目。它应类似于以下输出:
[edit system]
user@host# show
root-authentication {
ssh-rsa "$ABC123"; ## SECRET-DATA
}
示例:为 Root 登录配置纯文本密码
此示例说明如何为 root 用户(用户名为 root)配置纯文本密码。配置纯文本密码是防止未经授权的用户访问根级别的一种方法。您必须防止未经授权的用户访问可用于更改系统配置的超级用户命令。
要求
配置此示例之前,不需要除设备初始化之外的特殊配置。
纯文本密码的默认要求如下:
-
长度必须为 6 至 128 个字符。
-
可包含大多数字符类(大写字母、小写字母、数字、标点符号和其他特殊字符)。不建议使用控制字符。
-
必须至少有一个大小写或字符类的变化。
概述
打开路由器电源后,即可进行配置。首次启动,您以 root 用户身份登录,不需要密码。要设置 root 密码,您有多个选项。此示例说明如何输入纯文本密码,然后设备会为您加密密码。
配置
CLI 快速配置
要快速配置此示例,请复制以下命令并将其粘贴到窗口中。出现提示后,键入新密码,然后按提示再次键入。
set system root-authentication plain-text-password
为 Root 用户配置纯文本密码
分步程序
要为 root 用户配置纯文本密码:
-
键入
set纯文本密码命令,然后按 Enter。[edit] user@host# set system root-authentication plain-text-password New password:
-
在提示旁边
New password键入新密码,然后按 Enter。New password: new-password Retype new password:
-
在提示旁边重新
Retype new password键入同一密码,然后按 Enter。New password: new-password Retype new password: new-password
结果
在配置模式下,使用 show system 命令确认您的配置。它应该看起来像这样:
[edit]
user@host# show system
root-authentication {
encrypted-password "$ABC123"; ## SECRET-DATA
}
如果输出未显示预期的配置,请重复此示例中的说明以更正配置。
确认配置正确后,进入 commit 配置模式。
验证
验证为 Root 用户配置的纯文本密码
目的
验证为 root 用户配置的纯文本密码。
行动
在操作模式下,输入 show configuration system 命令以确认您的配置。
user@host> show configuration system
root-authentication {
encrypted-password "$ABC123"; ## SECRET-DATA
}
意义
如果您使用纯文本密码,设备会在您配置密码后立即对其进行加密。您不必像在其他系统中那样配置设备来加密密码。纯文本密码在配置中将隐藏并标记为 ## SECRET-DATA。当用户查看配置时,用户只会看到加密的字符串,而不是未加密的密码。
变更历史表
是否支持某项功能取决于您使用的平台和版本。使用 功能资源管理器 确定您的平台是否支持某个功能。
ssh-dss
ssh-dsa我们将弃用 和 hostkey 算法,而不是立即删除,以提供向后兼容性并让您的配置符合新配置。