Prevención del acceso no autorizado a los conmutadores de la serie EX mediante el modo desatendido para el arranque en universal
Junos OS le permite configurar el modo desatendido para el arranque universal a fin de evitar el acceso no autorizado al conmutador durante el proceso de arranque. Cuando se configura el modo desatendido, un usuario puede tener acceso a la CLI durante el proceso de arranque proporcionando la contraseña del cargador de arranque. Esto evita el acceso no autorizado durante el proceso de arranque. Lea este tema para obtener más información.
Descripción del modo desatendido para el arranque en U en conmutadores de la serie EX
El modo desatendido para U-Boot se puede configurar para evitar el acceso no autorizado al conmutador que puede ocurrir durante el proceso de arranque. Después de restablecer la CPU, existen varios métodos conocidos para acceder al sistema antes de que aparezca el mensaje de inicio de sesión de JUNOS OS que no requieren que el usuario ingrese las credenciales de autorización. Al obtener acceso no autorizado, el usuario puede ver, modificar o dañar la configuración del conmutador, o hacer que el conmutador no esté disponible en la red.
Cuando se configura el modo desatendido, el usuario solo puede acceder a la CLI durante el proceso de arranque pulsando <Ctrl+c> e ingresando la contraseña correcta, lo que se conoce como contraseña del gestor de arranque. La contraseña del cargador de arranque debe haberse configurado previamente en el conmutador. Si ingresa la contraseña correcta del cargador de arranque, el usuario se ubicará en la CLI de U-Boot. Si la contraseña es incorrecta o si no se introduce ninguna contraseña en el plazo de un minuto, se bloqueará el acceso a la CLI de U-Boot y el proceso de arranque continuará automáticamente.
El acceso al símbolo del sistema del cargador de arranque () está bloqueado en modo desatendido, lo que impide el uso de los siguientes mecanismos de recuperación:loader> recuperación de contraseña raíz mediante el modo de usuario único y arranque del conmutador mediante un paquete de software almacenado en una unidad flash USB.
Si la contraseña raíz se pierde mientras el conmutador está en modo desatendido, el conmutador debe restablecerse a la configuración predeterminada de fábrica mediante el panel LCD. Para obtener más información, consulte Revertir a la configuración predeterminada de fábrica para el conmutador de la serie EX.Reverting to the Default Factory Configuration for the EX Series Switch
Si el modo desatendido no está configurado, pero se ha configurado una contraseña del cargador de arranque, el usuario debe introducir la contraseña correcta para acceder a la CLI de U-Boot. Si no se ha configurado una contraseña del gestor de arranque, el usuario puede acceder a la CLI de U-Boot sin necesidad de introducir una contraseña. En cualquier caso, el usuario puede acceder al símbolo del sistema del cargador de arranque, que permite la recuperación de contraseña raíz mediante el modo de usuario único, así como el arranque desde una unidad flash USB.
El modo desatendido no está habilitado de forma predeterminada. Cuando se configura, el modo desatendido se activa y bloqueará el acceso no autorizado al conmutador. resume los comportamientos del modo U-Boot.Tabla 1
Modo desatendido |
Contraseña del cargador de arranque |
Comportamiento |
|---|---|---|
En |
Establecer |
|
En |
No establecido |
|
Desactivado |
Establecer |
|
Desactivado |
No establecido |
|
Consulte también
Uso del modo desatendido para el arranque universal para evitar el acceso no autorizado
El modo desatendido para U-Boot se puede utilizar para evitar el acceso no autorizado al conmutador que puede ocurrir durante el proceso de arranque. Cuando se configura el modo desatendido, el usuario solo puede tener acceso a la CLI durante el proceso de arranque introduciendo la contraseña correcta, lo que se conoce como contraseña del cargador de arranque. La contraseña del cargador de arranque debe haberse configurado previamente en el conmutador.
Cuando se configura el modo desatendido, se bloquea el acceso al símbolo del sistema del cargador de arranque (), lo que impide el uso de los siguientes mecanismos de recuperación:loader> recuperación de contraseña raíz mediante el modo de usuario único y arranque del conmutador mediante un paquete de software almacenado en una unidad flash USB.
En los conmutadores EX2200, si la contraseña del modo raíz y el modo desatendido se pierden mientras el conmutador está en modo desatendido, no hay ningún método de recuperación alternativo disponible. El conmutador debe devolverse a Juniper Networks. Para obtener más información, consulte Devolución de un conmutador o componente EX2200 para su reparación o reemplazo.https://www.juniper.net/documentation/en_US/release-independent/junos/topics/topic-map/ex2200-returning-chassis-components.html
Para utilizar el modo desatendido, siga los procedimientos siguientes:
- Configuración de la contraseña del cargador de arranque
- Configuración del modo desatendido para el arranque universal
- Acceso a la CLI de U-Boot
Configuración de la contraseña del cargador de arranque
Para configurar la contraseña del cargador de arranque, puede utilizar una contraseña de texto sin formato que el sistema cifre por usted o una contraseña que ya se haya cifrado. Si utiliza una contraseña de texto sin formato, Junos OS mostrará la contraseña como una cadena cifrada para que los usuarios que vean la configuración no puedan verla. A medida que introduce la contraseña en texto sin formato, Junos OS la cifra inmediatamente. No es necesario configurar Junos OS para cifrar la contraseña. Las contraseñas de texto sin formato se ocultan y se marcan como ## SECRET-DATA en la configuración.
Para configurar la contraseña del cargador de arranque:
Configuración del modo desatendido para el arranque universal
Antes de habilitar el modo desatendido para U-Boot, debe descargar e instalar el paquete de firmware de jloader, como se describe en TSB16425./volume/build/junos/13.2/service/13.2X51-D20.2/ship/jloader-ex-2200-13.2X51-D20.2-signed.tgzhttps://kb.juniper.net/InfoCenter/index?page=content&id=TSB16425&cat=&actp=LIST
El modo desatendido para U-Boot no está habilitado de forma predeterminada. Use el siguiente procedimiento para configurar el modo desatendido:
Acceso a la CLI de U-Boot
Cuando el modo desatendido para U-Boot está configurado y se ha establecido la contraseña del cargador de arranque, puede acceder a la CLI de U-Boot durante el proceso de arranque presionando <Ctrl+c> e ingresando la contraseña en el indicador:
Press Ctrl-C in next 1 seconds to enter u-boot prompt... Enter password: password correct... =>
La contraseña correcta debe ingresarse dentro de un minuto después de que aparezca el mensaje. Si la contraseña no se introduce en un minuto, o si la contraseña es incorrecta o no se ha configurado, se bloqueará el acceso a la CLI de U-Boot y el proceso de arranque continuará. Para obtener más información acerca del comportamiento del modo desatendido, consulte Descripción del modo desatendido para el arranque en U en conmutadores de la serie EX.Descripción del modo desatendido para el arranque en U en conmutadores de la serie EX