Mot de passe root
Lorsque l’appareil est mis sous tension pour la première fois, il est prêt à être configuré. Dans un premier temps, vous vous connectez en tant qu’utilisateur root sans mot de passe. Vous devez configurer un mot de passe en texte brut pour l’utilisateur de niveau racine (dont le nom d’utilisateur est root) la première fois que vous modifiez et validez la configuration. La configuration d’un mot de passe en texte brut est un moyen de protéger l’accès au niveau racine par les utilisateurs non autorisés. Si vous oubliez le mot de passe root de l’appareil, vous pouvez utiliser la procédure de récupération du mot de passe pour réinitialiser le mot de passe root.
Configurer le mot de passe root
Lorsque vous mettez le routeur ou le commutateur sous tension, il est prêt à être configuré. Dans un premier temps, vous vous connectez en tant qu’utilisateur root sans mot de passe. Le répertoire racine est le point d’entrée de tous les autres dossiers et fichiers de ce périphérique. Par conséquent, l’accès au répertoire racine est limité par défaut à un compte d’utilisateur prédéfini appelé utilisateur racine. L’utilisateur root (également appelé superutilisateur) dispose d’un accès illimité et d’autorisations complètes dans le système. L’expression « se connecter en tant qu’utilisateur root » est couramment utilisée lorsqu’une action nécessite que l’utilisateur se connecte à l’appareil en tant qu’utilisateur root.
Si vous configurez un mot de passe vide à l’aide de l’instruction au niveau de la hiérarchie pour l’authentification encrypted-password[edit system root-authentication] racine, vous pouvez valider une configuration. Cependant, vous ne pouvez pas vous connecter en tant qu’utilisateur root et obtenir un accès root au routeur ou au commutateur.
Après vous être connecté, vous devez configurer le mot de passe root (superutilisateur) en incluant l’instruction au niveau de la [edit system] hiérarchie et en configurant l’une root-authentication des options de mot de passe :
[edit system] root-authentication { (encrypted-password "password"| plain-text-password); load-key-file URL filename; ssh-ecdsa “public-key” <from hostname>; ssh-rsa “public-key” <from hostname>; }
Si vous configurez l’option plain-text-password , vous êtes invité à saisir et à confirmer le mot de passe :
[edit system] user@host# set root-authentication plain-text-password New password: type password here Retype new password: retype password here
Les exigences par défaut pour les mots de passe en texte brut sont les suivantes :
-
Le mot de passe doit comporter entre 6 et 128 caractères.
-
Vous pouvez inclure la plupart des classes de caractères dans un mot de passe (lettres majuscules, lettres minuscules, chiffres, signes de ponctuation et autres caractères spéciaux). Les caractères de contrôle ne sont pas recommandés.
-
Les mots de passe valides doivent contenir au moins une lettre majuscule ou minuscule, ou une classe de caractères.
Le logiciel Junos-FIPS a des exigences particulières en matière de mots de passe. Les mots de passe FIPS doivent comporter entre 10 et 20 caractères. Les mots de passe doivent utiliser au moins trois des cinq jeux de caractères définis (lettres majuscules, lettres minuscules, chiffres, signes de ponctuation et autres caractères spéciaux). Si Junos-FIPS est installé sur le routeur ou le commutateur, vous ne pouvez pas configurer de mots de passe s’ils ne répondent pas à cette norme.
À partir de la version 23.1R1 de Junos OS, nous avons supprimé la limite de 20 caractères pour le mot de passe root. Les exigences précédentes relatives à la complexité et à la longueur minimale étaient en vigueur avant Junos OS version 23.1R1.
Si vous utilisez cette encrypted-password option, un mot de passe nul (vide) n’est pas autorisé. Vous devez configurer un mot de passe dont le nombre de caractères est compris entre 1 et 128 caractères et le placer entre guillemets.
Vous pouvez utiliser l’instruction pour charger un fichier de clé SSH précédemment généré à l’aide load-key-file URL filename de ssh-keygen. L’option URL filename est le chemin d’accès à l’emplacement et au nom du fichier. Lors de l’utilisation de cette option, le contenu du fichier de clé est copié dans la configuration immédiatement après la saisie de l’instruction load-key-file URL . Cette commande charge les clés publiques RSA (SSH version 1 et SSH version 2) et DSA (SSH version 2).
Si vous le souhaitez, vous pouvez utiliser les instructions ou ssh-rsa pour configurer directement les clés SSH RSA et ECDSA afin d’authentifier les ssh-ecdsa connexions racines. Vous pouvez configurer plusieurs clés publiques pour l’authentification SSH des connexions root ainsi que pour les comptes d’utilisateurs. Lorsqu’un utilisateur se connecte en tant que root, l’appareil détermine si la clé privée correspond à l’une des clés publiques configurées.
[edit system] user@host# set root-authentication load-key-file my-host:.ssh/id_rsa.pub .file.19692 | 0 KB | 0.3 kB/s | ETA: 00:00:00 | 100%
En mode configuration, vous pouvez confirmer vos entrées de clé SSH en entrant la show commande. Il doit ressembler à la sortie suivante :
[edit system]
user@host# show
root-authentication {
ssh-rsa "$ABC123"; ## SECRET-DATA
}
Exemple : Configurer un mot de passe en texte brut pour les connexions root
Cet exemple montre comment configurer un mot de passe en texte brut pour l’utilisateur de niveau racine (le nom d’utilisateur est root). La configuration d’un mot de passe en texte brut est un moyen d’empêcher les utilisateurs non autorisés d’accéder au niveau racine. Vous devez empêcher les utilisateurs non autorisés d’accéder aux commandes de superutilisateur qui peuvent être utilisées pour modifier la configuration de votre système.
Conditions préalables
Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cet exemple.
Les exigences par défaut pour un mot de passe en texte brut sont les suivantes :
-
Doit comporter de 6 à 128 caractères.
-
Peut inclure la plupart des classes de caractères (lettres majuscules, lettres minuscules, chiffres, signes de ponctuation et autres caractères spéciaux). Les caractères de contrôle ne sont pas recommandés.
-
Doit contenir au moins un changement de casse ou de classe de caractères.
Présentation
Lorsque vous mettez le routeur sous tension, il est prêt à être configuré. Dans un premier temps, vous vous connectez en tant qu’utilisateur racine sans mot de passe. Pour définir le mot de passe root, plusieurs options s’offrent à vous. Cet exemple montre comment saisir un mot de passe en texte brut que l’appareil chiffre ensuite pour vous.
Configuration
- Configuration rapide de l’interface de ligne de commande
- Configurer un mot de passe en texte brut pour la racine de l’utilisateur
- Résultats
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez la commande suivante et collez-la dans la fenêtre. Lorsque vous y êtes invité, tapez le nouveau mot de passe, puis lorsque vous y êtes invité, saisissez-le à nouveau.
set system root-authentication plain-text-password
Configurer un mot de passe en texte brut pour la racine de l’utilisateur
Procédure étape par étape
Pour configurer un mot de passe en texte brut pour l’utilisateur racine :
-
Tapez la
setcommande du mot de passe en texte brut et appuyez sur Entrée.[edit] user@host# set system root-authentication plain-text-password New password:
-
Saisissez le nouveau mot de passe à côté de l’invite
New passwordet appuyez sur Entrée.New password: new-password Retype new password:
-
Saisissez à nouveau le même mot de passe à côté de l’invite
Retype new passwordet appuyez sur Entrée.New password: new-password Retype new password: new-password
Résultats
En mode configuration, confirmez votre configuration à l’aide de la show system commande. Cela devrait ressembler à quelque chose comme ceci :
[edit]
user@host# show system
root-authentication {
encrypted-password "$ABC123"; ## SECRET-DATA
}
Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
Une fois que vous avez confirmé que la configuration est correcte, passez commit en mode de configuration.
Vérification
Vérifier la configuration d’un mot de passe en texte brut pour l’utilisateur root
But
Vérifiez la configuration d’un mot de passe en texte brut pour l’utilisateur racine.
Action
En mode opérationnel, confirmez votre configuration en entrant la show configuration system commande.
user@host> show configuration system
root-authentication {
encrypted-password "$ABC123"; ## SECRET-DATA
}
Sens
Si vous utilisez un mot de passe en texte brut, l’appareil chiffre automatiquement le mot de passe dès que vous le configurez. Vous n’avez pas besoin de configurer l’appareil pour chiffrer le mot de passe, comme dans d’autres systèmes. Les mots de passe en texte brut sont masqués et marqués comme ## SECRET-DATA dans la configuration. Lorsqu’un utilisateur consulte la configuration, il ne voit que la chaîne chiffrée, et non le mot de passe non chiffré.
Tableau de l'historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l' Feature Explorer pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.
ssh-dss algorithmes et hostkey sont déconseillés (plutôt que supprimés immédiatement) afin d’assurer la compatibilité descendante et ssh-dsa de mettre votre configuration en conformité avec la nouvelle configuration.