Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

U ブート用の無人モードを使用した EX シリーズ スイッチへの不正アクセスの防止

Junos OS を使用すると、U ブートの意図したモードを設定して、ブート プロセス中にスイッチへの不正アクセスを防止できます。自動モードを設定すると、ブート プロセス中にブート ローダー パスワードを指定して CLI にアクセスできます。これにより、ブート プロセス中の不正アクセスを防止できます。詳細については、このトピックをお読みください。

EX シリーズ スイッチでの U ブートの無人モードについて

U ブートの無人モードは、ブート プロセス中に発生する可能性があるスイッチへの不正アクセスを防止するように構成できます。CPU がリセットされた後、JUNOS OS ログイン プロンプトが表示される前に、ユーザーが認証認証情報を入力する必要がない、いくつかの既知のシステムアクセス方法があります。不正アクセスを取得することで、ユーザーはスイッチ設定を表示、変更、または破損したり、ネットワーク上でスイッチを使用できないようにしたりすることができます。

無人モードが設定されている場合、ユーザーはブート プロセス中に cli にアクセスできるのは、< Ctrl+c>を押して正しいパスワード(ブート ローダー パスワードと呼ばれる)を入力することだけです。ブート ローダー パスワードは、以前にスイッチで設定されている必要があります。正しいブート ローダー パスワードを入力すると、ユーザーは U ブート CLI に配置されます。パスワードが正しくない場合、または 1 分以内にパスワードが入力されていない場合は、U ブート CLI へのアクセスがブロックされ、起動プロセスが自動的に続行されます。

ブートストラップ ローダー コマンド プロンプト(loader>)へのアクセスは、無人モードでブロックされるため、次の回復メカニズムを使用できなくなります。シングルユーザー モードを使用し、USB フラッシュ ドライブに保存されているソフトウェア パッケージを使用してスイッチを起動することで、root パスワードの復旧を実行します。

注:

スイッチが無人モードになっている間に root パスワードが失われた場合、LCD パネルを使用してスイッチを工場出荷時のデフォルト設定にリセットする必要があります。詳細については、「 EX シリーズ スイッチの工場出荷時のデフォルト設定に戻す」を参照してください。

無人モードが設定されていないが、ブート ローダー パスワードが設定されている場合、ユーザーは U ブート CLI にアクセスするために正しいパスワードを入力する必要があります。ブート ローダー パスワードが設定されていない場合、ユーザーはパスワードを入力せずに U-Boot CLI にアクセスできます。いずれの場合も、ユーザーはブートストラップ ローダー コマンド プロンプトにアクセスできます。これにより、シングルユーザー モードを使用して root パスワードを復旧し、USB フラッシュ ドライブから起動できます。

既定では、無人モードは有効になっていません。設定すると、無人モードがオンになり、スイッチへの不正アクセスがブロックされます。 表 1 U ブート モードの動作を要約します。

表 1: 無人モードの動作

無人モード

ブート ローダー パスワード

行動

設定

  • U ブート CLI へのアクセスは、正しいパスワードを入力した後にのみ許可されます。

  • loader コマンド プロンプトへのアクセスがブロックされます。

  • USB からのブートがブロックされます。

  • シングルユーザー モードを使用した root パスワードリカバリーがブロックされます。

未設定

  • U ブート CLI へのアクセスがブロックされます。

  • loader コマンド プロンプトへのアクセスがブロックされます。

  • USB からのブートがブロックされます。

  • シングルユーザー モードを使用した root パスワードリカバリーがブロックされます。

オフ

設定

  • U ブート CLI へのアクセスは、正しいパスワードを入力した後にのみ許可されます。

  • loader コマンド プロンプトへのアクセスが許可されます。

  • USBからの起動が許可されています。

  • シングルユーザー モードを使用した root パスワードリカバリーが許可されます。

オフ

未設定

  • U ブート CLI へのアクセスが許可されます。

  • loader コマンド プロンプトへのアクセスが許可されます。

  • USBからの起動が許可されています。

  • シングルユーザー モードを使用した root パスワードリカバリーが許可されます。

U ブートに無人モードを使用して不正アクセスを防止

U ブートの無人モードを使用して、ブート プロセス中に発生する可能性のあるスイッチへの不正アクセスを防止できます。無人モードが設定されている場合、ユーザーはブート プロセス中に正しいパスワード(ブート ローダー パスワードと呼ばれる)を入力するだけで、CLI にアクセスできます。ブート ローダー パスワードは、以前にスイッチで設定されている必要があります。

無人モードを設定すると、ブートストラップ ローダー コマンド プロンプト(loader>)へのアクセスがブロックされるため、次の回復メカニズムが使用できなくなります。シングルユーザー モードを使用し、USB フラッシュ ドライブに保存されているソフトウェア パッケージを使用してスイッチを起動することで、root パスワードの復旧を実行します。

警告:

EX2200スイッチでは、スイッチが無人モードの間にルートモードと無人モードのパスワードの両方が失われた場合、代替の回復方法はありません。スイッチはジュニパーネットワークスに返送する必要があります。詳細については、「 EX2200 スイッチまたはコンポーネントの修理または交換の返品」を参照してください。

無人モードを使用するには、次の手順に従います。

ブート ローダー パスワードの設定

ブート ローダー パスワードを設定するには、システムが暗号化するプレーンテキスト パスワードまたはすでに暗号化されたパスワードのいずれかを使用できます。プレーンテキスト パスワードを使用する場合、Junos OS はパスワードを暗号化された文字列として表示し、設定を表示しているユーザーにそのパスワードを表示できないようにします。プレーンテキストでパスワードを入力すると、Junos OS はすぐにパスワードを暗号化します。パスワードを暗号化するようにJunos OSを設定する必要はありません。プレーンテキスト パスワードは非表示になり、設定で ## SECRET-DATA としてマークされます。

ブート ローダー パスワードを設定するには、以下の手順にしたがってください。

  1. コマンドを使用して set system boot-loader authentication 、プレーンテキスト パスワードまたは暗号化パスワードのいずれかを入力します。
    • プレーンテキスト パスワードを入力するには、オプションを plain-text-password 使用して、プロンプトが表示されたらパスワードを再入力します。

    • すでに暗号化されているパスワードを入力するには、次のオプションを encrypted-password 使用します。

  2. 変更をコミットします。
  3. 暗号化されたパスワード エントリを表示するには、設定モード show コマンドを使用します。例えば、

U ブートの無人モードの設定

U-Boot の無人モードを有効にする前に、TSB16425 で説明されているように、jloader ファームウェア パッケージ/volume/build/junos/13.2/service/13.2X51-D20.2/ship/jloader-ex-2200-13.2X51-D20.2-signed.tgzをダウンロードしてインストールする必要があります。

U ブートの無人モードは既定では有効ではありません。無人モードを設定するには、次の手順に従います。

  1. 無人モードを設定します。
  2. 変更をコミットします。

U ブート CLI へのアクセス

U-Boot の無人モードを構成し、ブート ローダー パスワードが設定されている場合は、ブート プロセス中に、< Ctrl+c>を押して、プロンプトでパスワードを入力して U ブート CLI にアクセスできます。

プロンプトが表示されてから 1 分以内に正しいパスワードを入力する必要があります。パスワードが 1 分以内に入力されていない場合、またはパスワードが間違っているか設定されていない場合は、U ブート CLI へのアクセスがブロックされ、ブート プロセスが続行されます。無人モードの動作の詳細については、「 EX シリーズ スイッチでの U ブートの無人モードについて」を参照してください。