Root-Passwort
Wenn das Gerät zum ersten Mal eingeschaltet wird, kann es konfiguriert werden. Zunächst melden Sie sich als Benutzer ohne Passwort an.root Sie müssen ein Nur-Text-Kennwort für den Benutzer auf Root-Ebene (dessen Benutzername root ist) konfigurieren, wenn Sie die Konfiguration zum ersten Mal ändern und bestätigen. Die Konfiguration eines Nur-Text-Kennworts ist eine Möglichkeit, den Zugriff auf die Stammebene durch nicht autorisierte Benutzer zu schützen. Wenn Sie das Root-Passwort für das Gerät vergessen haben, können Sie das Root-Passwort mit dem Verfahren zur Kennwortwiederherstellung zurücksetzen.
Konfigurieren des Root-Kennworts
Wenn Sie den Router oder Switch einschalten, kann er konfiguriert werden. Zunächst melden Sie sich als Benutzer ohne Passwort an.root Das Stammverzeichnis ist der Einstiegspunkt zu allen anderen Ordnern und Dateien auf diesem Gerät. Daher ist der Zugriff auf das Stammverzeichnis standardmäßig auf ein vordefiniertes Benutzerkonto beschränkt, das als Root-Benutzer bezeichnet wird. Der Root-Benutzer (auch Superuser genannt) hat uneingeschränkten Zugriff und volle Berechtigungen innerhalb des Systems. Der Ausdruck "Als root anmelden" wird häufig verwendet, wenn sich der Benutzer für eine Aktion als Root-Benutzer am Gerät anmelden muss.
Wenn Sie ein leeres Kennwort mit der Anweisung auf der Hierarchieebene für die Stammauthentifizierung konfigurieren, können Sie eine Konfiguration bestätigen.encrypted-password[edit system root-authentication] Sie können sich jedoch nicht als Root-Benutzer anmelden und Root-Zugriff auf den Router oder Switch erhalten.
Nachdem Sie sich angemeldet haben, sollten Sie das Root-Kennwort (Superuser-Kennwort) konfigurieren, indem Sie die Anweisung auf Hierarchieebene einfügen und eine der Kennwortoptionen konfigurieren:root-authentication[edit system]
[edit system] root-authentication { (encrypted-password "password"| plain-text-password); load-key-file URL filename; ssh-ecdsa “public-key” <from hostname>; ssh-rsa “public-key” <from hostname>; }
Wenn Sie die Option konfigurieren, werden Sie aufgefordert, das Kennwort einzugeben und zu bestätigen:plain-text-password
[edit system] user@host# set root-authentication plain-text-password New password: type password here Retype new password: retype password here
Die Standardanforderungen für Nur-Text-Kennwörter sind:
-
Das Passwort muss zwischen 6 und 128 Zeichen lang sein.
-
Sie können die meisten Zeichenklassen in ein Kennwort aufnehmen (Großbuchstaben, Kleinbuchstaben, Zahlen, Satzzeichen und andere Sonderzeichen). Steuerzeichen werden nicht empfohlen.
-
Gültige Kennwörter müssen mindestens einen Groß- oder Kleinbuchstaben oder eine Zeichenklasse enthalten.
Für die Junos-FIPS-Software gelten besondere Anforderungen an Kennwörter. FIPS-Kennwörter müssen zwischen 10 und 20 Zeichen lang sein. Passwörter müssen mindestens drei der fünf definierten Zeichensätze verwenden (Großbuchstaben, Kleinbuchstaben, Ziffern, Satzzeichen und andere Sonderzeichen). Wenn Junos-FIPS auf dem Router oder Switch installiert ist, können Sie Kennwörter nur konfigurieren, wenn sie diesem Standard entsprechen.
Ab Junos OS Version 23.1R1 haben wir die Beschränkung auf 20 Zeichen für das Root-Kennwort aufgehoben. Die vorherigen Anforderungen an Komplexität und Mindestlänge galten bereits vor Junos OS Version 23.1R1.
Wenn Sie die Option verwenden, ist ein Null-Passwort (leer) nicht zulässig.encrypted-password Sie müssen ein Kennwort konfigurieren, dessen Zeichenanzahl zwischen 1 und 128 Zeichen liegt, und das Kennwort in Anführungszeichen setzen.
Sie können die Anweisung verwenden, um eine SSH-Schlüsseldatei zu laden, die zuvor mit generiert wurde.load-key-file URL filenamessh-keygen Die Option ist der Pfad zum Speicherort und Namen der Datei.URL filename Wenn Sie diese Option verwenden, wird der Inhalt der Schlüsseldatei sofort nach Eingabe der Anweisung in die Konfiguration kopiert.load-key-file URL Mit diesem Befehl werden öffentliche RSA- (SSH-Version 1 und SSH-Version 2) und DSA-Schlüssel (SSH-Version 2) geladen.
Optional können Sie die oder-Anweisungen verwenden, um SSH-RSA- und ECDSA-Schlüssel direkt zu konfigurieren, um Stammanmeldungen zu authentifizieren.ssh-ecdsassh-rsa Sie können mehr als einen öffentlichen Schlüssel für die SSH-Authentifizierung von Root-Logins sowie für Benutzerkonten konfigurieren. Wenn sich ein Benutzer als root anmeldet, ermittelt das Gerät, ob der private Schlüssel mit einem der konfigurierten öffentlichen Schlüssel übereinstimmt.
[edit system] user@host# set root-authentication load-key-file my-host:.ssh/id_rsa.pub .file.19692 | 0 KB | 0.3 kB/s | ETA: 00:00:00 | 100%
Im Konfigurationsmodus können Sie Ihre SSH-Schlüsseleingaben bestätigen, indem Sie den Befehl eingeben.show Sie sollte in etwa wie die folgende Ausgabe aussehen:
[edit system]
user@host# show
root-authentication {
ssh-rsa "$ABC123"; ## SECRET-DATA
}
Beispiel: Konfigurieren eines Nur-Text-Passworts für Root-Anmeldungen
In diesem Beispiel wird gezeigt, wie ein Nur-Text-Kennwort für den Benutzer auf Root-Ebene konfiguriert wird (der Benutzername ist root). Die Konfiguration eines Nur-Text-Kennworts ist eine Möglichkeit, um zu verhindern, dass nicht autorisierte Benutzer auf die Stammebene zugreifen. Sie müssen verhindern, dass nicht autorisierte Benutzer Zugriff auf Superuser-Befehle erhalten, mit denen Sie Ihre Systemkonfiguration ändern können.
Anforderungen
Vor der Konfiguration dieses Beispiels ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Die Standardanforderungen für ein Nur-Text-Kennwort lauten wie folgt:
-
Muss zwischen 6 und 128 Zeichen lang sein.
-
Kann die meisten Zeichenklassen (Großbuchstaben, Kleinbuchstaben, Zahlen, Satzzeichen und andere Sonderzeichen) enthalten. Steuerzeichen werden nicht empfohlen.
-
Muss mindestens eine Änderung der Groß-/Kleinschreibung oder Zeichenklasse enthalten.
Überblick
Wenn Sie den Router einschalten, kann er konfiguriert werden. Zunächst melden Sie sich als Benutzer auf Root-Ebene ohne Kennwort an. Um das Root-Passwort festzulegen, haben Sie mehrere Möglichkeiten. In diesem Beispiel wird gezeigt, wie Sie ein Nur-Text-Kennwort eingeben, das das Gerät dann für Sie verschlüsselt.
Konfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie den folgenden Befehl, und fügen Sie ihn in das Fenster ein. Wenn Sie dazu aufgefordert werden, geben Sie das neue Kennwort ein, und geben Sie es dann erneut ein, wenn Sie dazu aufgefordert werden.
set system root-authentication plain-text-password
Konfigurieren eines Nur-Text-Kennworts für den Benutzer Root
Schritt-für-Schritt-Anleitung
So konfigurieren Sie ein Nur-Text-Kennwort für den Benutzer auf Root-Ebene:
-
Geben Sie den Befehl für das Nur-Text-Kennwort ein, und drücken Sie die Eingabetaste.
set[edit] user@host# set system root-authentication plain-text-password New password:
-
Geben Sie das neue Kennwort neben der Eingabeaufforderung ein und drücken Sie die Eingabetaste.
New passwordNew password: new-password Retype new password:
-
Geben Sie dasselbe Kennwort neben der Eingabeaufforderung erneut ein und drücken Sie die Eingabetaste.
Retype new passwordNew password: new-password Retype new password: new-password
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration mit dem Befehl.show system Es sollte ungefähr so aussehen:
[edit]
user@host# show system
root-authentication {
encrypted-password "$ABC123"; ## SECRET-DATA
}
Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
Nachdem Sie sich vergewissert haben, dass die Konfiguration korrekt ist, wechseln Sie in den Konfigurationsmodus.commit
Überprüfung
Überprüfen der Konfiguration eines Nur-Text-Kennworts für den Benutzer root
Zweck
Überprüfen Sie die Konfiguration eines Nur-Text-Kennworts für den Benutzer auf Stammebene.
Was
Bestätigen Sie im Betriebsmodus Ihre Konfiguration, indem Sie den Befehl eingeben.show configuration system
user@host> show configuration system
root-authentication {
encrypted-password "$ABC123"; ## SECRET-DATA
}
Bedeutung
Wenn Sie ein Nur-Text-Kennwort verwenden, verschlüsselt das Gerät das Kennwort automatisch, sobald Sie es konfigurieren. Sie müssen das Gerät nicht so konfigurieren, dass das Kennwort verschlüsselt wird, wie dies bei einigen anderen Systemen der Fall ist. Klartext-Passwörter werden ausgeblendet und in der Konfiguration als ## SECRET-DATA gekennzeichnet. Wenn ein Benutzer die Konfiguration anzeigt, sieht er nur die verschlüsselte Zeichenfolge, nicht das unverschlüsselte Kennwort.
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Feature Explorer, um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.
ssh-dssssh-dsa