Uブートに無人モードを使用したEXシリーズスイッチへの不正アクセスの防止
Junos OSでは、U-Bootの無人モードを設定して、起動プロセス中のスイッチへの不正アクセスを防止することができます。無人モードを設定する場合、ユーザーはブート プロセス中にブート ローダーのパスワードを入力することで CLI にアクセスできます。これにより、ブートプロセス中の不正アクセスが防止されます。詳細については、このトピックをお読みください。
EXシリーズスイッチのUブートの無人モードについて
U-Boot の無人モードは、ブート プロセス中に発生する可能性のあるスイッチへの不正アクセスを防ぐために設定できます。CPUがリセットされた後、JUNOS OSのログインプロンプトが表示される前にシステムにアクセスする方法は、ユーザーが認証資格情報を入力する必要のない既知の方法がいくつかあります。不正アクセスを取得することで、ユーザーはスイッチ設定を表示、変更、または破損したり、ネットワーク上でスイッチを使用不可にしたりすることができます。
無人モードが設定されている場合、ユーザーは<Ctrl+c>を押し、ブートローダーパスワードと呼ばれる正しいパスワードを入力することによってのみ、ブートプロセス中にCLIにアクセスできます。ブートローダーのパスワードは、スイッチ上で事前に設定されている必要があります。正しいブートローダー パスワードを入力すると、ユーザーは U-Boot CLI に移動します。パスワードが正しくない場合、または 1 分以内にパスワードが入力されない場合、U-Boot CLI へのアクセスはブロックされ、ブート プロセスは自動的に続行されます。
無人モードではブートストラップ ローダー コマンド プロンプト (loader>
) へのアクセスがブロックされ、次の回復メカニズムを使用できなくなります。シングルユーザー モードを使用したルート パスワードの回復、および USB フラッシュ ドライブに格納されたソフトウェア パッケージを使用したスイッチのブート。
スイッチが無人モードのときにrootパスワードを紛失した場合は、LCDパネルを使用してスイッチを工場出荷時のデフォルト設定にリセットする必要があります。詳細については、 EXシリーズ スイッチにおける工場出荷時のデフォルト設定への復帰を参照してください。
無人モードが設定されていないが、ブートローダーパスワードが設定されている場合、ユーザーは正しいパスワードを入力して U-Boot CLI にアクセスする必要があります。ブートローダーパスワードが設定されていない場合、ユーザーはパスワードを入力せずにU-Boot CLIにアクセスできます。いずれの場合も、ユーザーはブートストラップ ローダーのコマンド プロンプトにアクセスできます。これにより、シングル ユーザー モードを使用したルート パスワードのリカバリーと USB フラッシュ ドライブからのブートが有効になります。
無人モードは、既定では有効になっていません。設定すると、無人モードがオンになり、スイッチへの不正アクセスがブロックされます。 表 1 、Uブートモードの動作をまとめたものです。
無人モード |
ブートローダーのパスワード |
行動 |
---|---|---|
オン |
セット |
|
オン |
未設定 |
|
オフ |
セット |
|
オフ |
未設定 |
|
関連項目
Uブートに無人モードを使用して不正アクセスを防止する
U-Boot の無人モードを使用すると、ブート プロセス中に発生する可能性のあるスイッチへの不正アクセスを防ぐことができます。無人モードが設定されている場合、ユーザは、ブート ローダー パスワードと呼ばれる正しいパスワードを入力することによってのみ、ブート プロセス中に CLI にアクセスできます。ブートローダーのパスワードは、スイッチ上で事前に設定されている必要があります。
無人モードが構成されている場合、ブートストラップ ローダー コマンド プロンプト (loader>
) へのアクセスがブロックされ、次の回復メカニズムを使用できなくなります。シングルユーザー モードを使用したルート パスワードの回復、および USB フラッシュ ドライブに格納されたソフトウェア パッケージを使用したスイッチのブート。
EX2200スイッチでは、スイッチが無人モードのときにrootと無人モードのパスワードの両方が失われた場合、代替の復旧方法はありません。スイッチはジュニパーネットワークスに返却する必要があります。詳細については、 修理または交換のためのEX2200スイッチまたはコンポーネントの返品を参照してください。
無人モードを使用するには、次の手順に従います。
ブート ローダーのパスワードの設定
ブート ローダー パスワードを設定するには、システムによって暗号化されるプレーン テキスト パスワード、または既に暗号化されているパスワードを使用できます。プレーンテキストのパスワードを使用する場合、Junos OSはパスワードを暗号化された文字列として表示するため、設定を表示するユーザーには表示されません。パスワードをプレーン テキストで入力すると、すぐにJunos OSにより暗号化されます。パスワードを暗号化するためにJunos OSを設定する必要はありません。プレーンテキスト パスワードは非表示になり、設定で## SECRET-DATAとしてマークされます。
ブートローダーパスワードを設定するには:
Uブートの無人モードの設定
U-Boot の無人モードを有効にする前に、TSB16425で説明されているように、jloader ファームウェアパッケージ/volume/build/junos/13.2/service/13.2X51-D20.2/ship/jloader-ex-2200-13.2X51-D20.2-signed.tgzをダウンロードしてインストールする必要があります。
U-Boot の無人モードは、既定では有効になっていません。無人モードを設定するには、次の手順に従います。
UブートCLIへのアクセス
U-Boot の無人モードが設定され、ブートローダーパスワードが設定されている場合、プロンプトで <Ctrl+c> を押してパスワードを入力すると、ブートプロセス中に U-Boot CLI にアクセスできます。
Press Ctrl-C in next 1 seconds to enter u-boot prompt... Enter password: password correct... =>
プロンプトが表示されてから1分以内に正しいパスワードを入力する必要があります。1分以内にパスワードが入力されない場合、またはパスワードが正しくないか設定されていない場合、U-Boot CLIへのアクセスはブロックされ、ブートプロセスが続行されます。無人モードの動作の詳細については、 EXシリーズスイッチのUブートの無人モードについてを参照してください。