Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

Impedir el acceso no autorizado a los conmutadores de la serie EX utilizando el modo desatendido para el arranque en U

 

Junos OS le permite configurar el modo de instalación de e-boot para evitar el acceso no autorizado al conmutador durante el proceso de inicio. Cuando se configura el modo desatendido, un usuario puede tener acceso a la CLI durante el proceso de inicio proporcionando la contraseña del cargador de inicio. Esto evita el acceso no autorizado durante el proceso de inicio. Lea este tema para obtener más información.

Comprensión del modo desatendido para arranque en U de los conmutadores de la serie EX

Modo desatendido para el arranque en U puede configurarse para impedir el acceso no autorizado al conmutador que pueda producirse durante el proceso de inicio. Una vez restablecida la CPU, existen varios métodos conocidos de acceso al sistema antes de que aparezca la solicitud de inicio de sesión del sistema operativo JUNOs que no requieren que el usuario especifique las credenciales de autorización. Al obtener acceso no autorizado, el usuario puede ver, modificar o dañar la configuración del conmutador, o bien hacer que el conmutador no esté disponible en la red.

Cuando se configura el modo desatendido, el usuario puede tener acceso a la CLI durante el proceso de inicio solamente si presiona < Ctrl + c > y escribe la contraseña correcta, que se conoce como contraseña del cargador de inicio. La contraseña del cargador de inicio debe haberse configurado previamente en el conmutador. Si se escribe la contraseña correcta del cargador de inicio, el usuario lo colocará en la CLI de arranque de U. Si la contraseña es incorrecta o si no se introduce ninguna contraseña en el plazo de un minuto, el acceso a la CLI de e-boot se bloqueará y el proceso de inicio continuará automáticamente.

El acceso al indicador de comandos del cargadorloader>de inicio (bootstrap) se bloquea en el modo desatendido, lo que impide el uso de los siguientes mecanismos de recuperación: recuperación de contraseñas raíz mediante el modo de usuario único y el inicio del conmutador mediante un paquete de software almacenado en una unidad flash USB.

Nota

Si la contraseña de root se pierde mientras el conmutador se encuentra en modo desatendido, el conmutador debe restablecerse a la configuración predeterminada de fábrica utilizando el panel LCD. Para obtener más información, consulte Revertir a la configuración predeterminada de fábrica para el conmutador de la serie EX.

Si no está configurado el modo desatendido, pero se ha configurado una contraseña de cargador de inicio, el usuario debe escribir la contraseña correcta para acceder a U-boot CLI. Si no se ha configurado una contraseña de cargador de inicio, el usuario puede acceder a U-boot CLI sin introducir ninguna contraseña. En cualquier caso, el usuario puede acceder al indicador de comandos del cargador de rutina, que habilita la recuperación de la contraseña raíz mediante el modo de usuario único, así como el inicio desde una unidad flash USB.

El modo desatendido no está habilitado de forma predeterminada. Cuando está configurado, el modo desatendido está activado y bloquea el acceso no autorizado al conmutador. Tabla 1 resume los comportamientos del modo de arranque en U.

Tabla 1: Comportamiento del modo desatendido

Modo desatendido

Contraseña de cargador de inicio

Conducta

Depende

Establecida

  • Solo se permite el acceso a U-boot CLI después de escribir la contraseña correcta.

  • Se bloquea el acceso al indicador de comandos de loader.

  • Se bloquea el arranque desde USB.

  • La recuperación de contraseñas raíz mediante el modo de usuario único está bloqueada.

Depende

No establecida

  • El acceso a U-boot CLI está bloqueado.

  • Se bloquea el acceso al indicador de comandos de loader.

  • Se bloquea el arranque desde USB.

  • La recuperación de contraseñas raíz mediante el modo de usuario único está bloqueada.

Firmado

Establecida

  • Solo se permite el acceso a U-boot CLI después de escribir la contraseña correcta.

  • Se permite el acceso al símbolo del sistema loader.

  • Se permite el arranque desde USB.

  • Se permite la recuperación de contraseñas raíz mediante el modo de usuario único.

Firmado

No establecida

  • Se permite el acceso a U-boot CLI.

  • Se permite el acceso al símbolo del sistema loader.

  • Se permite el arranque desde USB.

  • Se permite la recuperación de contraseñas raíz mediante el modo de usuario único.

Consulte también

Uso del modo desatendido para el arranque en U para evitar el acceso no autorizado

El modo desatendido para el arranque en U puede utilizarse para impedir el acceso no autorizado al conmutador que pueda producirse durante el proceso de inicio. Cuando se configura el modo desatendido, el usuario sólo puede tener acceso a la CLI durante el proceso de inicio si escribe la contraseña correcta, que se conoce como contraseña del cargador de inicio. La contraseña del cargador de inicio debe haberse configurado previamente en el conmutador.

Cuando se configura el modo desatendido, el acceso al indicador de comandos del cargadorloader>de inicio () se bloquea, lo que impide el uso de los siguientes mecanismos de recuperación: recuperación de contraseñas raíz mediante el modo de usuario único y el inicio del conmutador mediante un paquete de software almacenado en una unidad flash USB.

Advertencia

En los conmutadores EX2200, si tanto la contraseña como la de modo desatendido se pierden mientras el conmutador está en modo desatendido, no hay ningún método de recuperación alternativo disponible. El conmutador debe devolverse a Juniper Networks. Para obtener más información, consulte Returning an EX2200 Switch or Component for Repair or Replacement.

Para utilizar el modo desatendido, siga los procedimientos siguientes:

Configuración de la contraseña del cargador de inicio

Para configurar la contraseña del cargador de inicio, puede utilizar una contraseña de texto sin formato que el sistema Cifre para usted o una contraseña que ya se haya cifrado. Si utiliza una contraseña de texto sin formato, Junos OS mostrará la contraseña como una cadena cifrada para que los usuarios que la vean no puedan verla. A medida que escribe la contraseña en texto sin formato, Junos OS la cifra inmediatamente. No es necesario que configure Junos OS para cifrar la contraseña. Las contraseñas de texto sin formato se ocultan y se marcan como # # datos secretos en la configuración.

Para configurar la contraseña del cargador de Inicio:

  1. Escriba una contraseña de texto sin formato o una contraseña cifrada con el set system boot-loader authentication comando.
    • Para introducir una contraseña de texto sin formato, utilice plain-text-password la opción y vuelva a escribirla cuando se solicite:

    • Para escribir una contraseña que ya esté cifrada, utilice encrypted-password la opción:

  2. Confirme los cambios.
  3. Para ver las entradas de contraseñas cifradas, utilice show el comando modo de configuración. Por ejemplo:

Configuración del modo desatendido para arranque en U

Antes de activar el modo desatendido para el arranque de U, debe descargar e instalar el paquete /volume/build/junos/13.2/service/13.2X51-D20.2/ship/jloader-ex-2200-13.2X51-D20.2-signed.tgzde firmware jloader, como se describe en TSB16425.

El modo desatendido para el arranque en U no está habilitado de forma predeterminada. Utilice el siguiente procedimiento para configurar el modo desatendido:

  1. Configure el modo desatendido.
  2. Confirme los cambios.

Acceso a U-boot CLI

Cuando el modo desatendido para el arranque U se configura y se ha definido la contraseña del cargador de inicio, puede acceder a U-boot CLI durante el proceso de inicio si pulsa < Ctrl + c > e introduce la contraseña en el símbolo del sistema:

Debe introducirse la contraseña correcta en un minuto después de que aparezca el mensaje. Si no se introduce la contraseña en un minuto, o si la contraseña es incorrecta o no se ha configurado, se bloqueará el acceso a U-boot CLI y continuará el proceso de inicio. Para obtener más información sobre el comportamiento del modo desatendido, consulte Understanding Unattended Mode for U-Boot on EX Series Switches.