Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

U ブートの無人モードを使用した EX シリーズスイッチへの不正アクセスの防止

Junos OS では、起動プロセス中にスイッチへの不正アクセスを防止するために、U ブート用の有人モードを構成できます。無人モードを構成すると、ユーザーはブートローダーパスワードを指定することで、ブートプロセス中に CLI にアクセスできます。これにより、ブートプロセス中の不正アクセスを防ぐことができます。詳細については、このトピックをお読みください。

EX シリーズスイッチでの U ブートの無人モードの理解

U ブートの無人モードは、ブートプロセス中に実行可能なスイッチへの不正アクセスを防止するように設定できます。CPU がリセットされた後、JUNOS の OS ログインプロンプトが表示される前に、ユーザーが認証資格情報を入力する必要がないという既知の方法がいくつかわかっています。不正アクセスを取得することで、ユーザーはスイッチの設定を表示、変更、または破壊したり、ネットワーク上でスイッチを使用できないようにすることができます。

無人モードが設定されている場合、ユーザーはブート プロセス中に <Ctrl+c> を押して正しいパスワードを入力することでのみ、CLI にアクセスできます。これはブート ローダー パスワードと呼ばれるです。ブートローダーパスワードは、スイッチ上ですでに設定されている必要があります。正しいブートローダーパスワードを入力すると、U ブート CLI にユーザーが配置されます。パスワードが間違っている場合、またはパスワードが1分以内に入力されなかった場合は、U ブート CLI へのアクセスがブロックされ、ブートプロセスが自動的に続行します。

ブートストラップローダーコマンドプロンプト (loader>) へのアクセスは無人モードでブロックされます。これにより、以下の回復メカニズムを使用できなくなります。シングルユーザーモードを使用してルートパスワードを復元し、USB フラッシュドライブに格納されたソフトウェアパッケージを使用してスイッチを起動します。

注:

スイッチが無人モードで実行されているときに root パスワードが失われた場合、スイッチは、LCD パネルを使用して工場出荷時のデフォルト設定にリセットする必要があります。詳細については、 EX シリーズスイッチの工場出荷時のデフォルト設定に戻すを参照してください。

無人モードが構成されていない場合でも、ブートローダーパスワードを設定している場合、ユーザーは U ブート CLI にアクセスするために正しいパスワードを入力する必要があります。ブートローダーパスワードが設定されていない場合、ユーザーはパスワードを入力せずに、U ブート CLI にアクセスできます。どちらの場合でも、ユーザーはブートストラップローダーコマンドプロンプトにアクセスできます。これにより、シングルユーザーモードで USB フラッシュドライブから起動するだけでなく、ルートパスワードの回復が可能になります。

デフォルトでは無人モードは有効になっていません。設定されている場合、無人モードがオンになり、スイッチへの不正アクセスがブロックされます。表 1 U ブートモードの動作の概要を示します。

表 1: 無人モードの動作

無人モード

ブートローダーパスワード

挙動

対する

  • U ブート CLI へのアクセスが許可されるのは、正しいパスワードを入力した後のみです。

  • ローダーコマンドプロンプトへのアクセスがブロックされています。

  • USB からのブートがブロックされています。

  • シングルユーザーモードを使用したルートパスワードの復元はブロックされます。

対する

未設定

  • U ブート CLI へのアクセスがブロックされます。

  • ローダーコマンドプロンプトへのアクセスがブロックされています。

  • USB からのブートがブロックされています。

  • シングルユーザーモードを使用したルートパスワードの復元はブロックされます。

オフ

  • U ブート CLI へのアクセスが許可されるのは、正しいパスワードを入力した後のみです。

  • ローダーコマンドプロンプトへのアクセスが許可されています。

  • USB からのブートが許可されています。

  • シングルユーザーモードを使用したルートパスワードの復元は許可されます。

オフ

未設定

  • U ブート CLI へのアクセスが許可されています。

  • ローダーコマンドプロンプトへのアクセスが許可されています。

  • USB からのブートが許可されています。

  • シングルユーザーモードを使用したルートパスワードの復元は許可されます。

U ブートに無人モードを使用して不正アクセスを防止

U ブートの無人モードを使用して、ブートプロセス中に発生するスイッチへの不正アクセスを防ぐことができます。無人モードが設定されている場合、ユーザーはブートローダーパスワードとして知られている正しいパスワードを入力するだけで、起動プロセス中に CLI にアクセスできます。ブートローダーパスワードは、スイッチ上ですでに設定されている必要があります。

無人モードが設定されている場合、ブートストラップローダーコマンドプロンプトloader>() へのアクセスがブロックされます。これにより、以下の回復メカニズムを使用できません。シングルユーザーモードを使用してルートパスワードを復元し、USB フラッシュドライブに格納されたソフトウェアパッケージを使用してスイッチを起動します。

警告:

EX2200 スイッチでは、スイッチが無人モードで実行されているときに、ルートおよび無人モードパスワードの両方が失われた場合、代替の回復方法は利用できません。スイッチは、ジュニパーネットワークスに戻す必要があります。詳細については、修復または交換のための EX2200 スイッチまたはコンポーネントの返却を参照してください。

無人モードを使用するには、以下の手順に従います。

ブートローダーパスワードの設定

ブートローダーパスワードを設定するには、システムが暗号化するプレーンテキストパスワードまたは既に暗号化されているパスワードのいずれかを使用できます。プレーンテキストパスワードを使用している場合、Junos OS はパスワードを暗号化された文字列として表示します。これにより、構成を表示するユーザーに対して表示できなくなります。パスワードをプレーンテキストで入力すると、Junos OS がすぐに暗号化されます。パスワードを暗号化するために Junos OS を構成する必要はありません。プレーンテキストパスワードは非表示になり、構成で # # SECRET データとしてマークされます。

ブートローダーパスワードを設定するには、次のようにします。

  1. set system boot-loader authenticationコマンドを使用して、プレーンテキストパスワードまたは暗号化されたパスワードのどちらかを入力します。
    • プレーンテキストパスワードを入力するには、 plain-text-passwordオプションを使用し、プロンプトが表示されたら、パスワードを再入力します。

    • すでに暗号化されているパスワードを入力encrypted-passwordするには、以下のオプションを使用します。

  2. 変更をコミットします。
  3. 暗号化されたパスワードエントリを表示するにはshow 、設定モードコマンドを使用します。たとえば、以下のように記述します。

U ブートの無人モードの構成

U ブートに対して無人モードを有効にする前に、 TSB16425の説明に従っ/volume/build/junos/13.2/service/13.2X51-D20.2/ship/jloader-ex-2200-13.2X51-D20.2-signed.tgzて、jloader ファームウェアパッケージをダウンロードしてインストールする必要があります。

デフォルトでは、U ブートの無人モードは有効ではありません。無人モードを構成するには、以下の手順に従います。

  1. 無人モードを構成します。
  2. 変更をコミットします。

U ブート CLI へのアクセス

U-Boot の無人モードが設定され、ブート ローダー パスワードが設定されている場合、ブート プロセス中に <Ctrl+c> を押して U-Boot CLI にアクセスし、プロンプトでパスワードを入力できます。

プロンプトが表示された後、1分以内に正しいパスワードを入力する必要があります。パスワードが1分以内に入力されなかったり、パスワードが正しくない場合、または設定されていない場合は、U ブート CLI へのアクセスがブロックされ、起動プロセスが続行されます。無人モードの動作の詳細については、「 EX シリーズスイッチでの U ブートの無人モードについて」を参照してください。