Empêcher tout accès non autorisé aux commutateurs EX Series à l’aide du mode sans surveillance pour le démarrage en continu
Junos OS vous permet de configurer le mode sans assistance pour U-Boot afin d’empêcher tout accès non autorisé au commutateur pendant le processus de démarrage. Lorsque vous configurez le mode sans assistance, un utilisateur peut accéder à l’interface de ligne de commande pendant le processus de démarrage en fournissant le mot de passe du chargeur d’amorçage. Cela empêche tout accès non autorisé pendant le processus de démarrage. Lisez cette rubrique pour plus d’informations.
Comprendre le mode sans assistance pour le démarrage en U sur les commutateurs EX Series
Le mode sans assistance pour U-Boot peut être configuré pour empêcher l’accès non autorisé au commutateur qui peut se produire pendant le processus de démarrage. Une fois le processeur réinitialisé, il existe plusieurs méthodes connues pour accéder au système avant que l’invite de connexion à JUNOS OS n’apparaisse et ne nécessitent pas que l’utilisateur saisisse des informations d’identification d’autorisation. En obtenant un accès non autorisé, l’utilisateur peut afficher, modifier ou corrompre la configuration du commutateur, ou rendre le commutateur indisponible sur le réseau.
Lorsque le mode sans assistance est configuré, l’utilisateur peut accéder à la CLI pendant le processus de démarrage uniquement en appuyant sur <Ctrl+c> et en saisissant le mot de passe correct, connu sous le nom de mot de passe du chargeur de démarrage. Le mot de passe du chargeur d’amorçage doit avoir été préalablement configuré sur le commutateur. La saisie du mot de passe correct du chargeur de démarrage placera l’utilisateur dans la CLI U-Boot. Si le mot de passe est incorrect, ou si aucun mot de passe n’est entré dans la minute, l’accès à l’interface de ligne de commande U-Boot est bloqué et le processus de démarrage se poursuit automatiquement.
L’accès à l’invite de commande du chargeur d’amorçage (loader>) est bloqué en mode sans surveillance, ce qui empêche l’utilisation des mécanismes de récupération suivants : Récupération du mot de passe root en utilisant le mode mono-utilisateur et démarrage du commutateur à l’aide d’un progiciel stocké sur une clé USB.
Si le mot de passe root est perdu alors que le commutateur est en mode sans surveillance, le commutateur doit être réinitialisé à la configuration d’usine par défaut à l’aide de l’écran LCD. Pour plus d’informations , reportez-vous à la section Rétablissement de la configuration d’usine par défaut du commutateur EX Series.
Si le mode sans assistance n’est pas configuré, mais qu’un mot de passe de chargeur de démarrage a été configuré, l’utilisateur doit entrer le mot de passe correct pour accéder à l’interface de ligne de commande U-Boot. Si aucun mot de passe de chargeur d’amorçage n’a été configuré, l’utilisateur peut accéder à l’interface de ligne de commande U-Boot sans entrer de mot de passe. Dans les deux cas, l’utilisateur peut accéder à l’invite de commande du chargeur d’amorçage, qui permet la récupération du mot de passe root en utilisant le mode mono-utilisateur ainsi que le démarrage à partir d’une clé USB.
Le mode sans surveillance n’est pas activé par défaut. Lorsqu’il est configuré, le mode sans surveillance est activé et bloque l’accès non autorisé au commutateur. Tableau 1 résume les comportements du mode U-Boot.
Mode sans surveillance |
Mot de passe du chargeur d’amorçage |
Comportement |
|---|---|---|
À la |
Poser |
|
À la |
Non défini |
|
De |
Poser |
|
De |
Non défini |
|
Voir également
Utilisation du mode sans surveillance pour le démarrage en continu afin d’empêcher tout accès non autorisé
Le mode Sans surveillance pour U-Boot peut être utilisé pour empêcher l’accès non autorisé au commutateur qui peut se produire pendant le processus de démarrage. Lorsque le mode sans assistance est configuré, l’utilisateur peut accéder à l’interface de ligne de commande pendant le processus de démarrage uniquement en saisissant le mot de passe correct, connu sous le nom de mot de passe du chargeur d’amorçage. Le mot de passe du chargeur d’amorçage doit avoir été préalablement configuré sur le commutateur.
Lorsque le mode sans assistance est configuré, l’accès à l’invite de commande du chargeur d’amorçage (loader>) est bloqué, ce qui empêche l’utilisation des mécanismes de récupération suivants : Récupération du mot de passe root en utilisant le mode mono-utilisateur et démarrage du commutateur à l’aide d’un progiciel stocké sur une clé USB.
Sur les commutateurs EX2200, si les mots de passe des modes racine et sans surveillance sont perdus alors que le commutateur est en mode sans surveillance, aucune autre méthode de récupération n’est disponible. Le commutateur doit être retourné à Juniper Networks. Pour plus d’informations, reportez-vous à la section Retour d’un commutateur ou d’un composant EX2200 pour réparation ou remplacement.
Pour utiliser le mode sans surveillance, suivez les procédures suivantes :
- Configuration du mot de passe du chargeur d’amorçage
- Configuration du mode sans surveillance pour U-Boot
- Accès à l’interface de ligne de commande U-Boot
Configuration du mot de passe du chargeur d’amorçage
Pour configurer le mot de passe du chargeur d’amorçage, vous pouvez utiliser soit un mot de passe en texte brut que le système chiffre pour vous, soit un mot de passe qui a déjà été chiffré. Si vous utilisez un mot de passe en texte brut, Junos OS affiche le mot de passe sous forme de chaîne chiffrée afin que les utilisateurs visualisant la configuration ne puissent pas la voir. Lorsque vous entrez le mot de passe en texte brut, Junos OS le chiffre immédiatement. Vous n’avez pas besoin de configurer Junos OS pour chiffrer le mot de passe. Les mots de passe en texte brut sont masqués et marqués comme ## SECRET-DATA dans la configuration.
Pour configurer le mot de passe du chargeur d’amorçage :
Configuration du mode sans surveillance pour U-Boot
Avant d’activer le mode sans surveillance pour U-Boot, vous devez télécharger et installer le package /volume/build/junos/13.2/service/13.2X51-D20.2/ship/jloader-ex-2200-13.2X51-D20.2-signed.tgzdu micrologiciel jloader , comme décrit dans TSB16425.
Le mode sans surveillance pour U-Boot n’est pas activé par défaut. Utilisez la procédure suivante pour configurer le mode sans surveillance :
Accès à l’interface de ligne de commande U-Boot
Lorsque le mode sans assistance pour U-Boot est configuré et que le mot de passe du chargeur de démarrage a été défini, vous pouvez accéder à l’interface de ligne de commande U-Boot pendant le processus de démarrage en appuyant sur <Ctrl+c> et en saisissant le mot de passe à l’invite :
Press Ctrl-C in next 1 seconds to enter u-boot prompt... Enter password: password correct... =>
Le mot de passe correct doit être saisi dans la minute qui suit l’apparition de l’invite. Si le mot de passe n’est pas saisi dans un délai d’une minute, ou si le mot de passe est incorrect ou n’a pas été configuré, l’accès à l’interface de ligne de commande U-Boot sera bloqué et le processus de démarrage se poursuivra. Pour plus d’informations sur le comportement du mode sans assistance, reportez-vous à la section Présentation du mode sans assistance pour le démarrage en continu sur les commutateurs EX Series.