Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
На этой странице
 

Предотвращение несанкционированного доступа к коммутаторам серии EX с использованием неавторизованного режима для загрузки по сети

Junos OS позволяет настраивать режим u-Boot в режиме ожидания, чтобы предотвратить несанкционированный доступ к коммутатору в процессе загрузки. При настройке бесхозяйного режима пользователь может получить доступ интерфейс командной строки процесса загрузки, задав пароль загрузчику. Это предотвращает несанкционированный доступ во время процесса загрузки. Дополнительные сведения об этом разделе.

Понимание неутендного режима U-Boot на коммутаторах серии EX

Режим U-Boot в режиме Unattended можно настроить так, чтобы предотвратить несанкционированный доступ к коммутатору, который может произойти во время процесса загрузки. После сброса CPU существует несколько известных методов доступа к системе до того, как появится подсказка входа JUNOS OS, которые не требуют, чтобы пользователь ввести учетные данные авторизации. Для получения несанкционированного доступа пользователь может просматривать, изменять или повременить конфигурацию коммутатора или сделать коммутатор недоступным в сети.

При настройке неудатного режима пользователь может получить доступ к интерфейс командной строки во время процесса загрузки только нажимая кнопку <Ctrl+c> и введите правильный пароль, который известен как пароль загрузщика. Пароль загрузчика должен быть предварительно настроен на коммутаторе. Ввод правильного пароля загрузчика покитет пользователя в загрузочный интерфейс командной строки. Если пароль неправильный или если в течение одной минуты пароль не введен, доступ к загрузочного интерфейс командной строки блокируется, и процесс загрузки продолжается автоматически.

Доступ к командной подсказке загрузки загрузчика () блокируется в режиме без управления, что предотвращает использование loader> следующих механизмов восстановления: восстановление корневого пароля с помощью одиночного пользовательского режима и загрузка коммутатора с помощью программного пакета, сохраненного на флэш-накопителе USB.

Прим.:

Если пароль корневого коммутатора утерян, пока коммутатор находится в режиме unattended, необходимо восстановить заводские настройки по умолчанию с помощью панели LCD. Дополнительные сведения см. в "Обращение к заводским настройкам для коммутаторов серии EX".

Если не настроен неавтоматируемый режим, но настроен пароль загрузщика, пользователь должен ввести правильный пароль для доступа к загрузочного интерфейс командной строки. Если пароль загрузчика не настроен, пользователь может получить доступ к интерфейс командной строки загрузки без ввода пароля. В любом случае пользователь может получить доступ к командной подсказке boottrap loader, которая включает восстановление корневого пароля с помощью одно пользовательского режима и загрузки с флэш-накопителя USB.

Режим Unattended по умолчанию не включен. При настройке неавторизованный режим включается и блокирует несанкционированный доступ к коммутатору. Табл. 1 суммирует поведение режима U-Boot.

Табл. 1: Поведение в режиме без управления

Безудережный режим

Пароль загрузчика

Действие

На

Установить

  • Доступ к загрузочного интерфейс командной строки разрешен только после ввода правильного пароля.

  • Доступ к командной подсказке loader блокируется.

  • Загрузка из USB заблокирована.

  • Восстановление корневого пароля с помощью одно пользовательского режима блокируется.

На

Не установлено

  • Доступ к загрузо интерфейс командной строки заблокирован.

  • Доступ к командной подсказке loader блокируется.

  • Загрузка из USB заблокирована.

  • Восстановление корневого пароля с помощью одно пользовательского режима блокируется.

Выключите (off

Установить

  • Доступ к загрузочного интерфейс командной строки разрешен только после ввода правильного пароля.

  • Доступ к командной подсказке loader разрешен.

  • Загрузка из USB разрешена.

  • Восстановление корневого пароля с помощью одно пользовательского режима разрешено.

Выключите (off

Не установлено

  • Доступ к загрузо интерфейс командной строки разрешен.

  • Доступ к командной подсказке loader разрешен.

  • Загрузка из USB разрешена.

  • Восстановление корневого пароля с помощью одно пользовательского режима разрешено.

См. также

Использование режима "Unattended" для загрузки по u-boot, чтобы предотвратить несанкционированный доступ

Режим U-Boot в режиме Unattended можно использовать для предотвращения несанкционированного доступа к коммутатору, который может произойти во время процесса загрузки. При настройке неудатного режима пользователь может получить доступ интерфейс командной строки во время процесса загрузки только путем ввода правильного пароля, который известен как пароль загрузчика. Пароль загрузчика должен быть предварительно настроен на коммутаторе.

При настройке неудатного режима доступ к командной подсказке загрузчика () блокируется, что предотвращает использование loader> следующих механизмов восстановления: восстановление корневого пароля с помощью одиночного пользовательского режима и загрузка коммутатора с помощью программного пакета, сохраненного на флэш-накопителе USB.

Внимание:

На EX2200 коммутаторов, если пароль корневого и неудатного режима потерян, пока коммутатор находится в неавтоматном режиме, альтернативных методов восстановления не существует. Коммутатор необходимо вернуть в Juniper Networks. Дополнительные сведения см. в "Возвращение EX2200 или компонента для ремонта или замены".

Для работы в неавтомат режиме выполните следующие процедуры:

Настройка пароля загрузчика

Для настройки пароля загрузчика можно использовать нешифрованный пароль, который зашифрован системой, или пароль, который уже зашифрован. При использовании нешифрованного пароля пароль Junos OS в виде зашифрованной строки, поэтому пользователи, просматривая конфигурацию, не смогут его увидеть. При вводе пароля простым текстом пароль Junos OS шифруется немедленно. Не нужно настраивать пароль Junos OS шифровать пароль. Неявные пароли в конфигурации помечаются как ##SECRET-DATA.

Чтобы настроить пароль загрузчика:

  1. Введите нешифрованный или зашифрованный пароль с помощью set system boot-loader authentication команды.

    • Чтобы ввести простой пароль, используйте этот параметр и повторно введите его plain-text-password при запросе:

    • Чтобы ввести пароль, который уже зашифрован, используйте этот encrypted-password параметр:

  2. Сфиксировать изменения.
  3. Для просмотра записей зашифрованного пароля используется команда режима show конфигурации. Например:

Настройка неувядаемого режима для загрузки по незагрузке

Перед включением неустановленного режима для U-Boot необходимо загрузить и установить пакет микропрограмм jloader, как описано в /volume/build/junos/13.2/service/13.2X51-D20.2/ship/jloader-ex-2200-13.2X51-D20.2-signed.tgzTSB16425.

Режим Unattended для U-Boot по умолчанию не включен. Используйте следующую процедуру для настройки неудатного режима:

  1. Настройте неавтоматируемый режим.
  2. Сфиксировать изменения.

Доступ к загрузо-интерфейс командной строки

После настройки неудатного режима U-Boot и настройки пароля загрузщика можно получить доступ к загрузочного интерфейс командной строки во время процесса загрузки, нажав кнопку <Ctrl+c> и ввести пароль при запросе:

Правильный пароль необходимо вводить в течение одной минуты после того, как появится подсказка. Если пароль не был введен в течение одной минуты или если пароль неправильный или не был настроен, доступ к загрузочного интерфейс командной строки будет заблокирован, и процесс загрузки продолжится. Дополнительные сведения о неудатом режиме см. в "Сведения о режиме unattended для U-Boot на коммутаторах серии EX".

См. также

Связанные темы