루트 암호
디바이스의 전원을 처음 켜면 구성할 준비가 됩니다. 처음에는 암호 없이 사용자 root
로 로그인합니다. 구성을 처음 수정하고 커밋할 때 루트 수준 사용자(사용자 이름이 루트)의 일반 텍스트 암호를 구성해야 합니다. 일반 텍스트 암호 구성은 인증되지 않은 사용자의 루트 수준 액세스를 보호하기 위한 한 가지 방법입니다. 디바이스의 루트 암호를 잊어버린 경우 암호 복구 절차를 통해 루트 암호를 재설정할 수 있습니다.
루트 암호 구성
라우터나 스위치의 전원을 켜면 구성할 준비가 됩니다. 처음에는 암호 없이 사용자 root
로 로그인합니다. 루트 디렉터리는 해당 디바이스에 있는 다른 모든 폴더와 파일의 진입점입니다. 그 결과, 루트 디렉터리에 대한 액세스가 기본적으로 루트 사용자로 알려진 사전 정의된 사용자 계정으로 제한됩니다. 루트 사용자(superuser라고도 함)는 시스템 내에서 무제한 액세스와 전체 권한을 갖습니다. 'log in as root'라는 표현식은 일반적으로 사용자가 디바이스에 루트 사용자로 로그인해야 하는 작업을 수행할 때 사용됩니다.
루트 인증을 위해 [edit system root-authentication]
계층 수준에서 encrypted-password
문을 사용하여 빈 암호를 구성하는 경우 구성을 커밋할 수 있습니다. 그러나 루트 사용자로 로그인하여 라우터나 스위치에 대한 루트 수준 액세스 권한을 확보할 수없습니다 .
로그인 후 [edit system]
계층 수준에서 root-authentication
문을 포함하고 다음 암호 옵션 중 하나를 구성하여 루트(superuser) 암호를 구성해야 합니다.
[edit system] root-authentication { (encrypted-password "password"| plain-text-password); load-key-file URL filename; ssh-ecdsa “public-key” <from hostname>; ssh-rsa “public-key” <from hostname>; }
plain-text-password
옵션을 구성하면 암호를 입력하고 확인하라는 메시지가 표시됩니다.
[edit system] user@host# set root-authentication plain-text-password New password: type password here Retype new password: retype password here
일반 텍스트 암호의 기본 요구 사항은 다음과 같습니다.
-
암호 길이는 6~128자 사이여야 합니다.
-
대부분의 문자 종류(대문자, 소문자, 숫자, 구두점, 기타 특수 문자)를 암호에 포함할 수 있습니다. 제어 문자는 권장되지 않습니다.
-
유효한 암호에는 적어도 하나 이상의 대문자자 소문자, 또는 하나의 문자 클래스가 포함되어야 합니다.
Junos-FIPS 소프트웨어에는 특별한 암호 요구 사항이 있습니다. FIPS 암호 길이는 10~20자 사이여야 합니다. 암호는 5개의 정의된 문자 모음(대문자, 소문자, 자릿수, 구두점 및 특수 문자) 중 적어도 3개를 사용해야 합니다. Junos-FIPS가 라우터나 스위치에 설치된 경우, 이 표준을 충족하지 않는 한 암호를 구성할 수 없습니다.
Junos OS 릴리스 23.1R1부터 루트 암호에 대한 20자 제한을 제거했습니다. 복잡성과 최소 길이에 대한 이전 요구 사항은 Junos OS 릴리스 23.1R1 이전에 적용되었습니다.
encrypted-password
옵션을 사용하는 경우 NULL 암호(빈 암호)는 허용되지 않습니다. 암호는 1~128자 사이에서 구성하고 따옴표로 묶어야 합니다.
load-key-file URL filename
문을 사용하여 이전에 ssh-keygen
으로 생성한 SSH 키 파일을 로드할 수 있습니다. URL filename
옵션은 파일 위치와 이름에 대한 경로입니다. 이 옵션을 사용하면 load-key-file URL
문 입력 직후에 키 파일의 내용이 구성에 복사됩니다. 이 명령은 RSA(SSH 버전 1 및 SSH 버전 2)와 DSA(SSH 버전 2) 공개 키를 로드합니다.
선택적으로 ssh-ecdsa
또는 ssh-rsa
문을 사용하여 SSH RSA 및 ECDSA 키를 직접 구성하고 루트 로그인을 인증할 수 있습니다. 루트 로그인 및 사용자 계정의 SSH 인증을 위해 두 개 이상의 공개 키를 구성할 수 있습니다. 사용자가 루트로 로그인하면, 디바이스는 비공개 키가 구성된 공개 키와 일치하는지 여부를 확인합니다.
[edit system] user@host# set root-authentication load-key-file my-host:.ssh/id_rsa.pub .file.19692 | 0 KB | 0.3 kB/s | ETA: 00:00:00 | 100%
구성 모드에서 show
명령을 입력하여 SSH 키 항목을 확인할 수 있습니다. 다음 출력과 유사해야 합니다.
[edit system] user@host# show root-authentication { ssh-rsa "$ABC123"; ## SECRET-DATA }
예: 루트 로그인에 대한 일반 문구 비밀번호 구성하기
다음 예시는 루트 수준 사용자(사용자 이름이 루트)에 대한 일반 문구 비밀번호를 구성하는 방법을 보여줍니다. 일반 문구 비밀번호를 구성하는 것은 권한이 없는 사용자가 루트 수준에 액세스하는 것을 막는 한 방법입니다. 시스템 구성을 변경하는 데 사용할 수 있는 슈퍼유저 명령에 대한 액세스를 권한이 없는 사용자가 얻는 것을 반드시 막아야 합니다.
요구 사항
이 예를 구성하기 전에 디바이스 초기화를 제외한 특별한 구성은 필요하지 않습니다.
일반 문구 비밀번호에 대한 기본 요구 사항은 다음과 같습니다.
-
6개에서 최대 128글자 길이어야 합니다.
-
대부분의 문자 종류(대문자, 소문자, 숫자, 구두점, 기타 특수 문자)를 포함할 수 있습니다. 제어 문자는 권장되지 않습니다.
-
적어도 하나의 케이스 또는 문자 종류의 변경을 반드시 포함해야 합니다.
개요
라우터 전원을 공급할 때 구성할 준비가 됩니다. 처음에는 비밀번호 없이 루트 수준 사용자로 로그인합니다. 루트 비밀번호를 설정하기 위해 여러 옵션이 있습니다. 다음 예는 디바이스에 일반 텍스트 비밀번호를 입력하고 암호화하는 방법을 보여줍니다.
구성
CLI 빠른 구성
이 예를 빠르게 구성하기 위해 다음 명령을 복사하여 창에 붙입니다. 프롬프트 메시지가 표시되면 새로운 비밀번호를 입력하고 프롬프트 되면 다시 입력합니다.
set system root-authentication plain-text-password
사용자 루트에 대한 일반 문구 비밀번호 구성하기
단계별 절차
루트 수준 사용자에 대한 일반 문구 비밀번호를 구성하기 위해 다음을 수행합니다.
-
일반 문구 비밀번호에 대한
set
명령을 입력하고 엔터를 누릅니다.[edit] user@host# set system root-authentication plain-text-password New password:
-
New password
프롬프트 옆에 새로운 비밀번호를 입력하고 엔터를 누릅니다.New password: new-password Retype new password:
-
Retype new password
프롬프트 옆에 동일한 비밀번호를 다시 입력하고 엔터를 누릅니다.New password: new-password Retype new password: new-password
결과
구성 모드에서 show system
명령을 사용하여 구성을 확인합니다. 이렇게 보이게 되어야 합니다.
[edit] user@host# show system root-authentication { encrypted-password "$ABC123"; ## SECRET-DATA }
출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.
구성이 올바른지 확인한 후 구성 모드에서 commit
을(를) 입력합니다.
검증
사용자 루트에 대한 일반 문구 비밀번호 구성을 확인합니다.
목적
루트 수준 사용자에 대한 일반 문구 비밀번호 구성을 확인합니다.
작업
운영 모드에서 show configuration system
명령을 입력하여 구성을 확인합니다.
user@host> show configuration system root-authentication { encrypted-password "$ABC123"; ## SECRET-DATA }
의미
일반 문구 비밀번호를 사용하는 경우 디바이스는 암호를 구성하자 마자 자동으로 암호화됩니다. 다른 시스템과 마찬가지로 비밀번호를 암호화하기 위해 디바이스를 구성할 필요가 없습니다. 일반 텍스트 암호는 숨겨져 있으며 구성에서 ## SECRET-DATA로 표시됩니다. 사용자가 구성을 볼 때 사용자는 암호화되지 않은 비밀번호가 아닌 암호화된 문자열만 보게 됩니다.
변경 내역 표
기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. Feature Explorer 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.
ssh-dss
및 ssh-dsa
호스트 키 알고리즘이 역 호환성을 제공하고 구성이 새로운 구성과 호환되도록 즉시 제거되기 보다 더 이상 사용되지 않습니다.