이 페이지의 내용
루트 암호
디바이스의 전원을 처음 켜면 구성할 준비가 됩니다. 처음에는 암호 없이 사용자로 root
로그인합니다. 구성을 처음 수정하고 커밋할 때 루트 수준 사용자(사용자 이름이 루트)에 대한 일반 텍스트 암호를 구성해야 합니다. 일반 텍스트 암호 구성은 권한이 없는 사용자의 루트 수준 액세스를 보호하기 위한 한 가지 방법입니다. 디바이스의 루트 암호를 잊어버린 경우 암호 복구 절차를 사용하여 루트 암호를 재설정할 수 있습니다.
루트 암호 구성
라우터나 스위치의 전원을 켜면 구성할 준비가 됩니다. 처음에는 암호 없이 사용자로 root
로그인합니다. 루트 디렉터리는 해당 디바이스에 있는 다른 모든 폴더 및 파일에 대한 진입점입니다. 그 결과, 루트 디렉터리에 대한 액세스는 기본적으로 루트 사용자로 알려진 사전 정의된 사용자 계정으로 제한됩니다. 루트 사용자( 수퍼유저라고도 함)는 시스템 내에서 무제한 액세스 및 전체 권한을 갖습니다. 'log in as root'라는 표현식은 일반적으로 사용자가 디바이스에 루트 사용자로 로그인해야 하는 작업을 수행할 때 사용됩니다.
루트 인증을 위해 계층 수준에서 문을 [edit system root-authentication]
사용하여 encrypted-password
빈 암호를 구성하는 경우 구성을 커밋할 수 있습니다. 그러나 루트 사용자로 로그인하여 라우터 또는 스위치에 대한 루트 수준 액세스 권한을 얻을 수는 없습니다.
로그인한 후 계층 수준에서 문을 [edit system]
포함하고 root-authentication
암호 옵션 중 하나를 구성하여 루트(superuser) 암호를 구성해야 합니다.
[edit system] root-authentication { (encrypted-password "password"| plain-text-password); load-key-file URL filename; ssh-ecdsa “public-key” <from hostname>; ssh-rsa “public-key” <from hostname>; }
옵션을 구성 plain-text-password
하면 암호를 입력하고 확인하라는 메시지가 표시됩니다.
[edit system] user@host# set root-authentication plain-text-password New password: type password here Retype new password: retype password here
일반 텍스트 암호의 기본 요구 사항은 다음과 같습니다.
-
암호는 6자에서 128자 사이여야 합니다.
-
대부분의 문자 클래스(대문자, 소문자, 숫자, 구두점 및 기타 특수 문자)를 암호에 포함할 수 있습니다. 제어 문자는 권장되지 않습니다.
-
유효한 암호에는 적어도 하나의 대문자나 소문자 또는 하나의 문자 클래스가 포함되어야 합니다.
옵션을 사용하는 encrypted-password
경우 null 암호(빈 암호)는 허용되지 않습니다. 1자에서 128자 사이의 문자 수를 가진 암호를 구성하고 따옴표로 묶어야 합니다.
문을 사용하여 load-key-file URL filename
이전에 을(를) 사용하여 ssh-keygen
생성한 SSH 키 파일을 로드할 수 있습니다. 옵션은 URL filename
파일 위치와 이름에 대한 경로입니다. 이 옵션을 사용하면 문 입력 load-key-file URL
직후 키 파일의 내용이 구성에 복사됩니다. 이 명령은 RSA(SSH 버전 1 및 SSH 버전 2)와 DSA(SSH 버전 2) 공개 키를 로드합니다.
선택적으로 또는 ssh-rsa
문을 사용하여 ssh-ecdsa
SSH RSA 및 ECDSA 키를 직접 구성하여 루트 로그인을 인증할 수 있습니다. 루트 로그인 및 사용자 계정의 SSH 인증을 위해 두 개 이상의 공개 키를 구성할 수 있습니다. 사용자가 루트로 로그인하면 디바이스는 비공개 키가 구성된 공개 키와 일치하는지 여부를 확인합니다.
[edit system] user@host# set root-authentication load-key-file my-host:.ssh/id_rsa.pub .file.19692 | 0 KB | 0.3 kB/s | ETA: 00:00:00 | 100%
구성 모드에서 명령을 입력하여 SSH 키 항목을 확인할 수 있습니다 show
. 다음 출력과 유사해야 합니다.
[edit system] user@host# show root-authentication { ssh-rsa "$ABC123"; ## SECRET-DATA }
예: 루트 로그인에 대한 일반 텍스트 암호 구성
이 예는 루트 수준 사용자(사용자 이름은 루트)에 대한 일반 텍스트 비밀번호를 구성하는 방법을 보여줍니다. 일반 텍스트 암호를 구성하는 것은 권한이 없는 사용자가 루트 수준에 액세스하는 것을 방지하는 한 가지 방법입니다. 권한이 없는 사용자가 시스템 구성을 변경하는 데 사용할 수 있는 수퍼유저 명령에 대한 액세스 권한을 얻지 못하도록 해야 합니다.
요구 사항
이 예제를 구성하기 전에 디바이스 초기화 이외의 특별한 구성은 필요하지 않습니다.
일반 텍스트 암호에 대한 기본 요구 사항은 다음과 같습니다.
-
6자에서 128자 사이여야 합니다.
-
대부분의 문자 클래스(대문자, 소문자, 숫자, 구두점 및 기타 특수 문자)를 포함할 수 있습니다. 제어 문자는 권장되지 않습니다.
-
적어도 하나의 케이스 또는 문자 클래스 변경을 포함해야 합니다.
개요
라우터 전원을 켜면 구성할 준비가 됩니다. 처음에는 암호 없이 루트 수준 사용자로 로그인합니다. 루트 암호를 설정하려면 몇 가지 옵션이 있습니다. 이 예는 디바이스에서 암호화하는 일반 텍스트 암호를 입력하는 방법을 보여줍니다.
구성
CLI 빠른 구성
이 예제를 빠르게 구성하려면 다음 명령을 복사하여 창에 붙여넣습니다. 메시지가 표시되면 새 암호를 입력하고 메시지가 표시되면 다시 입력합니다.
set system root-authentication plain-text-password
사용자 루트에 대한 일반 텍스트 암호 구성
단계별 절차
루트 수준 사용자에 대한 일반 텍스트 암호를 구성하려면:
-
set
일반 텍스트 암호에 대한 명령을 입력하고 Enter 키를 누릅니다.[edit] user@host# set system root-authentication plain-text-password New password:
-
프롬프트 옆에
New password
새 비밀번호를 입력하고 Enter 키를 누릅니다.New password: new-password Retype new password:
-
프롬프트 옆에
Retype new password
동일한 비밀번호를 다시 입력하고 Enter 키를 누릅니다.New password: new-password Retype new password: new-password
결과
구성 모드에서 명령을 사용하여 show system
구성을 확인합니다. 다음과 같이 표시되어야 합니다.
[edit] user@host# show system root-authentication { encrypted-password "$ABC123"; ## SECRET-DATA }
출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.
구성이 올바른지 확인한 후 구성 모드로 들어갑니다 commit
.
확인
사용자 루트에 대한 일반 텍스트 비밀번호 구성 확인
목적
루트 수준 사용자에 대한 일반 텍스트 암호 구성을 확인합니다.
행동
운영 모드에서 명령을 입력하여 show configuration system
구성을 확인합니다.
user@host> show configuration system root-authentication { encrypted-password "$ABC123"; ## SECRET-DATA }
의미
일반 텍스트 암호를 사용하는 경우 디바이스는 암호를 구성하자마자 자동으로 암호화됩니다. 다른 시스템과 마찬가지로 비밀번호를 암호화하기 위해 디바이스를 구성할 필요가 없습니다. 일반 텍스트 암호는 숨겨져 있으며 구성에서 ## SECRET-DATA로 표시됩니다. 사용자가 구성을 볼 때 사용자는 암호화되지 않은 비밀번호가 아닌 암호화된 문자열만 보게 됩니다.