Ajude-nos a melhorar a sua experiência.

Conte-nos a sua opinião.

Tem dois minutos para uma pesquisa?

close
keyboard_arrow_left
list Table of Contents

Esta tradução automática foi útil?

starstarstarstarstar
Go to English page
ISENÇÃO DE RESPONSABILIDADE:

Esta página será traduzida com software de tradução por máquina de terceiros. Embora esforços razoáveis tenham sido feitos para fornecer uma tradução de qualidade, a Juniper Networks não pode garantir sua exatidão. Se houver dúvidas sobre a exatidão das informações contidas nesta tradução, consulte a versão em inglês. O PDF para download está disponível apenas em inglês.

Prevenção do acesso não autorizado a switches da Série EX usando modo autônomo para u-boot

date_range 03-Aug-24

O Junos OS permite que você configure o modo desejado para U-Boot para evitar o acesso não autorizado ao switch durante o processo de inicialização. Quando você configura o modo autônomo, um usuário pode acessar a CLI durante o processo de inicialização fornecendo a senha do boot-loader. Isso impede o acesso não autorizado durante o processo de inicialização. Leia este tópico para obter mais informações.

Entendendo o modo sem vigilância para U-Boot em switches da Série EX

O modo desacompanhado para U-Boot pode ser configurado para evitar o acesso não autorizado ao switch que pode ocorrer durante o processo de inicialização. Após a redefinição da CPU, existem vários métodos conhecidos de acesso ao sistema antes que o prompt de login do JUNOS OS apareça que não exijam que o usuário insira credenciais de autorização. Ao obter acesso não autorizado, o usuário pode visualizar, modificar ou corrupçãor a configuração do switch ou tornar o switch indisponível na rede.

Quando o modo desacompanhado é configurado, o usuário pode acessar a CLI durante o processo de inicialização apenas pressionando <Ctrl+c> e digitando a senha correta, que é conhecida como a senha do boot-loader. A senha do boot-loader deve ter sido configurada anteriormente no switch. Inserir a senha correta do boot-loader colocará o usuário no U-Boot CLI. Se a senha estiver incorreta ou se nenhuma senha for inserida em um minuto, o acesso ao U-Boot CLI será bloqueado e o processo de inicialização continua automaticamente.

O acesso ao prompt de comando de carga de bootstrap (loader>) é bloqueado no modo autônomo, o que impede o uso dos seguintes mecanismos de recuperação: recuperação de senha raiz usando o modo de usuário único, e inicializando o switch usando um pacote de software armazenado em um pen drive USB.

Nota:

Se a senha raiz for perdida enquanto o switch estiver no modo autônomo, o switch deve ser redefinido para a configuração padrão de fábrica usando o painel LCD. Para obter mais informações, veja Reverter para a configuração padrão de fábrica para o switch da Série EX.

Se o modo desacompanhado não estiver configurado, mas uma senha de boot-loader tiver sido configurada, o usuário deve digitar a senha correta para acessar o U-Boot CLI. Se uma senha do boot-loader não tiver sido configurada, o usuário pode acessar o U-Boot CLI sem digitar uma senha. Em ambos os casos, o usuário pode acessar o prompt de comando do carregador bootstrap, que permite a recuperação de senha raiz usando o modo de usuário único, bem como o inicialização de um pen drive USB.

O modo desacompanhado não é habilitado por padrão. Quando configurado, o modo autônomo é ativado e bloqueará o acesso não autorizado ao switch. Tabela 1 resume os comportamentos do modo U-Boot.

Tabela 1: Comportamento do modo desacompanhado

Modo sem vigilância

Senha do boot-loader

Comportamento

Em

Pôr

  • O acesso ao U-Boot CLI só é permitido após digitar a senha correta.

  • O acesso ao prompt de comando do carregador está bloqueado.

  • O inicialização do USB está bloqueado.

  • A recuperação de senha raiz usando o modo de usuário único está bloqueada.

Em

Não definir

  • O acesso ao U-Boot CLI está bloqueado.

  • O acesso ao prompt de comando do carregador está bloqueado.

  • O inicialização do USB está bloqueado.

  • A recuperação de senha raiz usando o modo de usuário único está bloqueada.

Desligado

Pôr

  • O acesso ao U-Boot CLI só é permitido após digitar a senha correta.

  • É permitido acessar o prompt de comando do carregador.

  • O inicialização do USB é permitido.

  • A recuperação de senha raiz usando o modo de usuário único é permitida.

Desligado

Não definir

  • O acesso ao U-Boot CLI é permitido.

  • É permitido acessar o prompt de comando do carregador.

  • O inicialização do USB é permitido.

  • A recuperação de senha raiz usando o modo de usuário único é permitida.

Usando modo autônomo para u-boot para evitar acesso não autorizado

O modo desacompanhado para U-Boot pode ser usado para evitar o acesso não autorizado ao switch que pode ocorrer durante o processo de inicialização. Quando o modo desacompanhado é configurado, o usuário pode acessar a CLI durante o processo de inicialização apenas digitando a senha correta, que é conhecida como a senha do boot-loader. A senha do boot-loader deve ter sido configurada anteriormente no switch.

Quando o modo desacompanhado é configurado, o acesso ao prompt de comando do carregador de bootstrap (loader>) é bloqueado, o que impede o uso dos seguintes mecanismos de recuperação: recuperação de senha raiz usando o modo de usuário único, e inicializando o switch usando um pacote de software armazenado em um pen drive USB.

Aviso:

Nos switches EX2200, se a senha do modo raiz e não atendida for perdida enquanto o switch estiver no modo autônomo, não haverá um método de recuperação alternativo disponível. O switch deve ser devolvido à Juniper Networks. Para obter mais informações, veja O retorno de um switch ou componente EX2200 para reparo ou substituição.

Para usar o modo autônomo, siga os seguintes procedimentos:

Configurando a senha do boot loader

Para configurar a senha do boot loader, você pode usar uma senha de texto simples que o sistema criptografa para você, ou uma senha que já foi criptografada. Se você usar uma senha de texto simples, o Junos OS exibe a senha como uma string criptografada para que os usuários que visualizam a configuração não possam vê-la. Ao digitar a senha em texto simples, o Junos OS a criptografa imediatamente. Você não precisa configurar o Junos OS para criptografar a senha. As senhas de texto simples estão ocultas e marcadas como ## SECRET-DATA na configuração.

Para configurar a senha do boot-loader:

  1. Digite uma senha de texto simples ou uma senha criptografada usando o set system boot-loader authentication comando.
    • Para inserir uma senha de texto simples, use a opção plain-text-password e reentra na senha quando solicitado:

      content_copy zoom_out_map
      [edit]
      root@# set system boot-loader-authentication plain-text-password 
      New Password: type password here
      Retype new password: retype password here
      
    • Para inserir uma senha que já está criptografada, use a opção encrypted-password :

      content_copy zoom_out_map
      [edit]
      root@# set system boot-loader-authentication encrypted-password password
      
  2. Comprometa as mudanças.
    content_copy zoom_out_map
    [edit]
    root@# commit
    
  3. Para visualizar as entradas de senha criptografadas, use o comando do modo show de configuração. Por exemplo:
    content_copy zoom_out_map
    [edit]
    root@# show system boot-loader-authentication
    encrypted-password “$ABC123”; ## SECRET-DATA
    

Configuração do modo autônomo para u-boot

Antes de habilitar o modo autônomo para o U-Boot, você deve baixar e instalar o pacote /volume/build/junos/13.2/service/13.2X51-D20.2/ship/jloader-ex-2200-13.2X51-D20.2-signed.tgzde firmware jloader, conforme descrito em TSB16425.

O modo desacompanhado para U-Boot não é habilitado por padrão. Use o procedimento a seguir para configurar o modo autônomo:

  1. Configure o modo desacompanhado.
    content_copy zoom_out_map
    [edit]
    root@# set system unattended-boot
    
  2. Comprometa as mudanças.
    content_copy zoom_out_map
    [edit]
    root@# commit
    

Acesso ao U-Boot CLI

Quando o modo desacompanhado para U-Boot estiver configurado e a senha do boot-loader tiver sido definida, você pode acessar o U-Boot CLI durante o processo de inicialização pressionando <Ctrl+c> e digitando a senha no prompt:

content_copy zoom_out_map
Press Ctrl-C in next 1 seconds to enter u-boot prompt...
Enter password:
password correct...
=>

A senha correta deve ser inserida dentro de um minuto após a visualização do prompt. Se a senha não for inserida dentro de um minuto ou se a senha estiver incorreta ou não tiver sido configurada, o acesso ao U-Boot CLI será bloqueado e o processo de inicialização continuará. Para obter mais informações sobre o comportamento do modo autônomo, veja Entenda o modo sem vigilância para U-Boot em switches da Série EX.

external-footer-nav