Contraseña de raíz
Cuando el enrutador, conmutador o dispositivo de seguridad se enciende por primera vez, está listo para ser configurado. Inicialmente, inicia sesión como el usuario root sin contraseña. Posteriormente, debe configurar una contraseña de texto sin formato para el usuario de nivel raíz (cuyo nombre de usuario sea raíz). La configuración de una contraseña de texto sin formato es una forma de proteger el acceso al nivel raíz por parte de usuarios no autorizados. Si olvida la contraseña raíz del enrutador, puede utilizar el procedimiento de recuperación de contraseña para restablecer la contraseña raíz. Lea este tema para obtener más información.
Configuración de la contraseña de raíz
El Junos OS está preinstalado en el enrutador o conmutador. Cuando el enrutador o conmutador esté encendido, estará listo para su configuración. Inicialmente, inicia sesión como el usuario root sin contraseña. El directorio raíz de un dispositivo UNIX es el punto de entrada a todas las demás carpetas y archivos de ese dispositivo. Como resultado, el acceso al directorio raíz se restringe de forma predeterminada a una cuenta de usuario predefinida conocida como usuario raíz. El usuario root (también llamado superusuario) tiene acceso sin restricciones y permisos totales dentro del sistema. La expresión "iniciar sesión como raíz" se usa por lo general cuando una acción requiere que el usuario inicie sesión en el dispositivo como usuario raíz.
Si configura una contraseña en blanco mediante la instrucción en el nivel de jerarquía para la autenticación raíz, puede confirmar una configuración, pero no puede iniciar sesión como usuario raíz y obtener acceso a nivel raíz al enrutador o encrypted-password[edit system root-authentication] conmutador.
Después de iniciar sesión, debe configurar la contraseña raíz (superusuario) incluyendo la root-authentication instrucción en el [edit system] nivel de jerarquía y configurando una de las opciones de contraseña:
[edit system] root-authentication { (encrypted-password "password"| plain-text-password); load-key-file URL filename; ssh-dsa “public-key” <from hostname>; ssh-ecdsa “public-key” <from hostname>; ssh-rsa “public-key” <from hostname>; }
Si configura la plain-text-password opción, se le pedirá que escriba y confirme la contraseña:
[edit system] user@host# set root-authentication plain-text-password New password: type password here Retype new password: retype password here
Los requisitos predeterminados para las contraseñas de texto sin formato son:
La contraseña debe tener entre 6 y 128 caracteres
Puede incluir la mayoría de las clases de caracteres en una contraseña (letras mayúsculas, letras minúsculas, números, signos de puntuación y otros caracteres especiales). No se recomienda utilizar caracteres de control.
Las contraseñas válidas deben contener al menos una letra mayúscula, una letra minúscula o una clase de carácter.
Puede usar la instrucción load-key-file filename URL para cargar un archivo de clave SSH que se generó anteriormente mediante ssh-keygen . El nombre de archivo URL es la ruta a la ubicación y el nombre del archivo. Cuando se usa esta opción, el contenido del archivo de clave se copia en la configuración inmediatamente después de escribir la load-key-file instrucción URL. Este comando carga las claves públicas de RSA (SSH versión 1 y SSH versión 2) y DSA (SSH versión 2).
A partir de Junos OS versión 18.3R1, los algoritmos hostkey y se desuso (en lugar de eliminarse de inmediato) para proporcionar compatibilidad con versiones anteriores y una oportunidad para que su configuración se cumpla con la nueva ssh-dssssh-dsa configuración.
Opcionalmente, puede usar las ssh-dsainstrucciones, ssh-ecdsao ssh-rsa para configurar directamente las claves SSH RSA, DSA o ECDSA para autenticar los inicios de sesión raíz. Puede configurar más de una clave pública para la autenticación SSH de inicios de sesión raíz, así como para las cuentas de usuario. Cuando un usuario inicia sesión como raíz, se hace referencia a las claves públicas para determinar si la clave privada coincide con alguna de ellas.
[edit system] user@host# set root-authentication load-key-file my-host:.ssh/id_dsa.pub .file.19692 | 0 KB | 0.3 kB/s | ETA: 00:00:00 | 100% [edit system]
Desde el modo de configuración, puede confirmar las entradas de clave SSH introduciendo el show comando. Debe ser similar al siguiente:
[edit system]
user@hos# show
root-authentication {
ssh-rsa "$ABC123"; #
SECRET-DATA
}
El software Junos-FIPS tiene requisitos de contraseña especiales. La longitud de las contraseñas de FIPS debe estar comprendida entre 10 y 20 caracteres. Las contraseñas deben utilizar al menos tres de los cinco conjuntos de caracteres definidos (letras mayúsculas, letras minúsculas, dígitos, signos de puntuación y otros caracteres especiales). Si Junos-FIPS está instalado en el enrutador o conmutador, no puede configurar contraseñas a menos que cumplan este estándar.
Si utiliza la encrypted-password opción, no se permite una contraseña nula (vacía). Debe configurar una contraseña cuyo número de caracteres esté comprendido entre 1 y 128 caracteres e incluir la contraseña entre comillas.
Consulte también
Ejemplo Configuración de una contraseña de texto sin formato para inicios de sesión raíz
Este ejemplo muestra cómo configurar una contraseña de texto sin formato para el usuario del nivel raíz (cuyo nombre de usuario es root). La configuración de una contraseña de texto sin formato es una forma de proteger el acceso al nivel raíz por parte de usuarios no autorizados. Debe impedir que usuarios no autorizados obtengan acceso a comandos de superusuario que se pueden utilizar para modificar la configuración del sistema.
Aplicables
No es necesaria ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.
Asegúrese de que comprende los requisitos de una contraseña de texto sin formato válida. Por Junos OS, los requisitos predeterminados de una contraseña de texto sin formato son los siguientes:
Debe tener entre 6 y 128 caracteres.
Puede incluir la mayoría de las clases de caracteres (letras mayúsculas, letras minúsculas, números, signos de puntuación y otros caracteres especiales). No se recomienda utilizar caracteres de control.
Debe contener al menos un cambio de mayúsculas o minúsculas o de la clase de carácter.
Descripción general
El Junos OS está preinstalado en el enrutador. Cuando el enrutador esté encendido, estará listo para su configuración. En un principio, iniciará sesión como usuario de nivel raíz sin contraseña. Para establecer la contraseña de raíz, dispone de varias opciones. En este ejemplo se muestra cómo escribir una contraseña de texto sin formato que Junos OS, a continuación, cifra por usted.
Automática
- Configuración rápida de CLI
- Configuración de una contraseña de texto sin formato para la raíz del usuario
- Resultados
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie el siguiente comando y péguelo en la ventana. Cuando se le pida, escriba la nueva contraseña y, a continuación, cuando se le solicite, vuelva a escribirla.
set system root-authentication plain-text-password
Configuración de una contraseña de texto sin formato para la raíz del usuario
Procedimiento paso a paso
Para configurar una contraseña de texto sin formato para el usuario de nivel raíz:
Escriba el
setcomando correspondiente a la contraseña de texto sin formato y pulse Entrar.[edit] user@host# set system root-authentication plain-text-password New password:
Escriba la nueva contraseña junto a la
New passwordpregunta y presione Entrar.New password: new-password Retype new password:
Vuelva a escribir la misma contraseña junto a
Retype new passwordla pregunta y presione Entrar.
Resultados
En el modo de configuración, utilice el show comando para confirmar la configuración. Debe ser similar al siguiente:
[edit ]
user@host# show system
root-authentication {
encrypted-password "$ABC123"; ## SECRET-DATA
}
Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.
Después de haber confirmado que la configuración es correcta, entre commit en el modo de configuración.
Comproba
Verificación de la configuración de una contraseña de texto sin formato para la raíz de usuario
Purpose
Compruebe la configuración de una contraseña de texto sin formato para el usuario de nivel raíz.
Intervención
Desde el modo operativo, escriba el show configuration system comando para confirmar la configuración.
user@host> show configuration system
root-authentication {
encrypted-password "$ABC123"; ## SECRET-DATA
}
Efectos
Si utiliza contraseñas de texto sin cifrar, Junos OS mostrará la contraseña como una cadena cifrada para que los usuarios que la vean no puedan ver la contraseña no cifrada. Es decir, a medida que escribe la contraseña como texto sin formato, Junos OS la cifra inmediatamente. No es necesario que configure Junos OS para cifrar la contraseña como en otros sistemas. Las contraseñas de texto sin formato se ocultan y se marcan como # # datos secretos en la configuración.
Ejemplo Configuración de la autenticación SSH para inicios de sesión raíz
En el siguiente ejemplo se muestra cómo configurar dos claves DSA públicas para la autenticación SSH de inicios de sesión raíz:
[edit system]
root-authentication {
encrypted-password "$ABC123";
## SECRET-DATA;
ssh-dsa "2354 95 9304@user.device";
ssh-dsa "0483 02 8362@user.device";
}