https://support.huawei.com/enterprise/zh/doc/EDOC1100262134#ZH-CN_TOPIC_0000001182066188
您是否有过忘记安全设备密码的经历?忘记密码,登录不上安全设备该怎么办? 本文档主要介绍,在遗忘安全设备的Console口登录密码、STelnet/Telnet登录密码、BootROM/BootLoad菜单密码或Web网管登录密码时,如何清除老密码或者设置新的密码,确保可以正常登录安全设备。
忘记密码怎么办?如何修改或清除密码?
简介
本文档主要介绍,在遗忘安全设备的Console口登录密码、STelnet/Telnet登录密码、BootROM/BootLoad菜单密码或Web网管登录密码时,如何清除老密码或者设置新的密码,确保可以正常登录安全设备。
适用版本
本文档适用的版本和产品系列如下:
V500R005C00及后续版本的USG6000、USG9500、Eudemon200E-N、Eudemon1000E-N、Eudemon8000E-X、NIP6000、NIP6000D、AntiDDoS8000、NGFW Module系列设备。
V600R006C00及后续版本的USG6000E、Eudemon200E-G、Eudemon1000E-G、IPS6000E、IPS6000ED、NIP6000E、NIP6000ED、AntiDDoS1800系列设备。
具体操作可能因设备型号和版本存在差异,请参考相应的产品文档。
本文档基于特定实验室环境中的设备编写。如果您的设备在现网中运行,请确保您已经了解所有命令的潜在影响。
场景一:已修改所有默认密码,并且忘记所有密码
如果您忘记Console口登录密码、所有的SSH/Telnet账号及密码、BootROM/BootLoad菜单密码,并且所有密码都已修改,不是缺省密码:
对于支持RST按钮的安全设备,您可通过长按(5秒以上)RST按钮,使安全设备恢复出厂配置并自动重新启动。RST按钮如下图所示。
对于不支持RST按钮的安全设备,则需返厂维修。图1-1 RST按钮示意图
在恢复出厂配置后,不会影响恢复前保存的配置文件内容。可在任意视图,执行display startup命令查看当前配置文件和下一次启动的配置文件。若想将保存的一个配置文件启用,需要在用户视图,执行startup saved-configuration configuration-file命令配置设备下次启动时加载的配置文件,并执行reboot命令重启设备即可。
场景二:未修改所有默认密码,并且忘记默认密码
对于V600R007C20及之后版本的安全设备,由于未设置任何缺省账号密码,用户登录安全设备时必须设置新密码,所以不存在场景二的情形。
但是,对于V600R007C20之前版本的安全设备,除Telnet登录没有缺省密码以外,设备对Console口登录、BootROM/BootLoad菜单、Web网管登录均设置了缺省密码,且不同版本的缺省密码可能不同。
如果您一直使用的是设备缺省密码,未曾改过密码,您可以在《华为安全产品 缺省帐号与密码》(企业网、运营商)文档中获取各种缺省帐号与密码信息。该文档的权限为C级(客户支持级),如需升级权限,请查看网站帮助。
为保证设备安全,建议不要使用缺省密码,并定期修改密码。
场景三:忘记Console口登录密码
设备提供如下方法恢复Console口密码。
请优先使用方法一,如果STelnet/Telnet密码也忘记了再使用方法二。
方法一:通过Web、Telnet、SSH登录设备修改Console口密码
如果您拥有Web、Telnet、SSH账号并且具有3级或以上级别的管理员权限,则可以通过Web、Telnet、SSH方式登录设备后,修改Console口的密码,然后保存配置。
下面以SSH登录设备后修改Console口登录密码为例。
使用Telnet协议存在安全风险,建议使用Web或SSH登录设备。
使用SSH账号登录设备后,确认当前账号权限为3级或3级以上。
使用display users命令查看当前设备所有登录用户。其中带“+”标记行表示为当前用户,记录对应的编号VTY1。
<HUAWEI> display users User-Intf Delay Type Network Address AuthenStatus AuthorcmdFlag 129 VTY 0 00:23:36 TEL 10.135.18.67 pass no Username : Unspecified + 130 VTY 1 01:20:36 SSH 10.135.18.91 pass no Username : Unspecified 131 VTY 2 00:00:00 TEL 10.135.18.54 pass no Username : Unspecified
使用display user-interface命令可以显示所有用户的权限,确定VTY1对应的等级为15,有权限修改Console口登录密码。
<HUAWEI> display user-interface Idx Type Tx/Rx Modem Privi ActualPrivi Auth Int 0 CON 0 9600 - 15 - P - + 129 VTY 0 - 15 15 P - + 130 VTY 1 - 15 15 P - + 131 VTY 2 - 15 - P - 132 VTY 3 - 15 15 P - ......
修改Console口登录的密码。
Console口使用Password认证方式,修改Console口的密码为test@123为例。
<HUAWEI> system-view [HUAWEI] user-interface console 0 [HUAWEI-ui-console0] authentication-mode password [HUAWEI-ui-console0] set authentication password Please configure the login password (8-16) Enter Password: //输入密码test@123 Confirm Password: //再次输入密码test@123进行确认 [HUAWEI-ui-console0] return
Console口使用AAA认证方式,用户名为testuser,密码为test@123为例。
<HUAWEI> system-view [HUAWEI] user-interface console 0 [HUAWEI-ui-console0] authentication-mode aaa [HUAWEI-ui-console0] quit [HUAWEI] aaa [HUAWEI-aaa] manager-user testuser [HUAWEI-aaa-manager-user-testuser] password Enter Password: //输入密码test@123 Confirm Password: //再次输入密码test@123进行确认 [HUAWEI-aaa-manager-user-testuser] return
为了防止重启后配置丢失,保存配置。
<HUAWEI> save The current configuration will be written to the device. Are you sure to continue?[Y/N]y Now saving the current configuration to the slot 0. Save the configuration successfully.
方法二:在BootROM/BootLoad下修复Console口密码
如果您记得BootROM/BootLoad菜单密码,能正常进入BootROM/BootLoad菜单,则可以通过BootROM/BootLoad菜单清除Console口登录密码,并在安全设备重新启动后设置新的Console口登录密码,然后保存配置。
由于安全设备及版本不一样,在BootROM/BootLoad下修改Console口密码方法也不一样。下文按设备及版本分为以下几类,分别介绍修复Console口密码的具体操作方法:
如果您一直使用的是设备缺省密码,未曾改过密码,您可以在《华为安全产品 缺省帐号与密码》(企业网、运营商)文档中获取各种缺省帐号与密码信息。该文档的权限为C级(客户支持级),如需升级权限,请查看网站帮助。
修复V600R007C00及后续版本的盒式设备Console口密码
通过Console口连接设备并重启设备。在设备启动过程中,看到提示信息“Press Ctrl+B to break auto startup...”时,在三秒内按下Ctrl+B,输入BootLoader密码后,进入BootLoader主菜单。
Press Ctrl+B to break auto startup... 3 Enter Password:************ Main Menu 1. Default startup 2. Serial submenu 3. Ethernet submenu 4. Startup parameters submenu 5. File system submenu 6. Password manager submenu 7. Reset factory configuration 8. Reset factory password 0. Reboot Enter your choice(0-8):8 //此处选择8,进入重置管理员密码子菜单。
选择继续修改密码,并引导系统启动。
NOTE: This operation will reset current password. Choose 'yes' to continue, or 'no' to stop and return. <1> Yes <0> No Enter your choice(0-1): 1 Password:************ //输入BootLoader密码 Restoring factory password ...Done. Main Menu 1. Default startup 2. Serial submenu 3. Ethernet submenu 4. Startup parameters submenu 5. File system submenu 6. Password manager submenu 7. Reset factory configuration 8. Reset factory password 0. Reboot Enter your choice(0-8):1 //此处选择1引导系统启动。
出现如下回显信息并进入用户视图,则表示设备启动成功。
Recover configuration begin ... Recover configuration end Press ENTER to get started. Warning: There is a risk on the user-interface which you login through. Please c hange the configuration of the user-interface as soon as possible. ************************************************************************* * Copyright (C) 2014-2020 Huawei Technologies Co., Ltd. * * All rights reserved. * * Without the owner's prior written consent, * * no decompiling or reverse-engineering shall be allowed. * ************************************************************************* Info: Please change the configuration of the password as soon as possible. <sysname>
进入用户视图后不要执行命令quit,否则设备退出后您需要再次重启设备,才能执行下一步重新设置管理员密码。
重新设置管理员密码,假设管理员为testuser,密码重新设置为test@123。
<sysname> system-view [sysname] aaa [sysname-aaa] manager-user testuser [sysname-aaa-manager-user-admin] password cipher test@123 Info: You are advised to config on man-machine mode. [sysname-aaa-manager-user-admin] quit [sysname-aaa] quit [sysname] quit <sysname> quit
密码修改完成后,请及时执行命令quit退出设备,以保证设备的安全性。退出后即可使用修改后的密码登录设备。
修复V500R005C20及后续版本的盒式和NGFW Module设备Console口密码
通过Console口连接设备并重启设备。在设备启动过程中,看到提示信息“Press Ctrl+B to enter main menu...3”时按下Ctrl+B,输入BootROM密码后,进入扩展段BootROM主菜单。
“BootROM”在USG6101/6305/6305-W/6310S/6310S-W/6310S-WL/6510/6510-WLUSG6305/6305-W/6310S/6310S-W/6310S-WL-OVS/6510/6510-WL中称为“BootLoader”。关键操作没有区别。
Press Ctrl+B to Enter main menu...3 Password: ******** ====================< Extend Main Menu >==================== | <1> Boot System | | <2> Set Startup Application Software and Configuration | | <3> File Management Menu... | | <4> Load and Upgrade Menu... | | <5> Modify Bootrom Password | | <6> Reset Factory Configuration | | <7> Reset Factory Password | | <0> Reboot | | ---------------------------------------------------------| | Press Ctrl+T to Enter Manufacture Test Menu... | | Press Ctrl+Z to Enter Diagnose Menu... | ============================================================ Enter your choice(0-7): 7 //此处选择7,进入重置管理员密码子菜单。
选择继续修改密码,并引导系统启动。
NOTE: This operation will reset current passwrod. Choose 'yes' to continue, or 'no' to stop and return. <1> Yes <0> No Enter your choice(0-1): 1 ====================< Extend Main Menu >==================== | <1> Boot System | | <2> Set Startup Application Software and Configuration | | <3> File Management Menu... | | <4> Load and Upgrade Menu... | | <5> Modify Bootrom Password | | <6> Reset Factory Configuration | | <7> Reset Factory Password | | <0> Reboot | | ---------------------------------------------------------| | Press Ctrl+T to Enter Manufacture Test Menu... | | Press Ctrl+Z to Enter Diagnose Menu... | ============================================================ Enter your choice(0-7): 1 //此处选择1引导系统启动。
出现如下回显信息并进入用户视图,则表示设备启动成功。
Recover configuration begin ... Recover configuration end Press ENTER to get started. Warning: There is a risk on the user-interface which you login through. Please c hange the configuration of the user-interface as soon as possible. ************************************************************************* * Copyright (C) 2014-2019 Huawei Technologies Co., Ltd. * * All rights reserved. * * Without the owner's prior written consent, * * no decompiling or reverse-engineering shall be allowed. * ************************************************************************* Info: Please change the configuration of the password as soon as possible. <sysname>
进入用户视图后不要执行quit,否则设备退出后您需要再次重启设备,才能执行下一步重新设置管理员密码。
重新设置管理员密码,假设管理员为testuser,密码重新设置为test@123。
<sysname> system-view [sysname] aaa [sysname-aaa] manager-user testuser [sysname-aaa-manager-user-admin] password cipher test@123 Info: You are advised to config on man-machine mode. [sysname-aaa-manager-user-admin] quit [sysname-aaa] quit [sysname] quit <sysname> quit
密码修改完成后请及时执行quit退出设备,以保证设备的安全性。退出后即可使用修改后的密码登录设备。
修复V500R005C00、V500R005C10版本的盒式设备Console口密码
Console口管理员账号/密码遗忘导致无法登录设备时,可以将设备配置为空配置启动。设备启动后使用缺省管理员账号/密码登录设备,将配置文件导出并修改管理员密码,覆盖回设备上的配置文件,达到修改登录密码的效果。
您可以在《华为安全产品缺省帐号与密码》文档中获取各种缺省帐号与密码信息。获取该文档需要权限,如需升级权限,请查看网站帮助。
通过manager-user password-modify enable命令开启管理员登录时修改自身密码功能的情况下,设备重启后,会从CF卡的数据库中读取管理员密码,而不是从配置文件中读取密码。如果管理员密码遗忘,将无法通过恢复配置文件的方法找回登录密码。如需找回登录密码,请先执行undo manager-user password-modify enable命令关闭管理员登录时修改自身密码的功能。
通过Console口连接设备并重启设备。在设备启动过程中,看到提示信息“Press Ctrl+B to Enter Main Menu...3”时按下Ctrl+B,输入BootROM密码后,进入扩展段BootROM主菜单,按如下步骤将设备配置为空配置启动。
Press Ctrl+B to Enter Main Menu...3 Password: ******** ====================< Extend Main Menu >==================== | <1> Boot System | | <2> Set Startup Application Software and Configuration | | <3> File Management Menu... | | <4> Load and Upgrade Menu... | | <5> Modify Bootrom Password | | <6> Reset Factory Configuration | | <0> Reboot | | ---------------------------------------------------------| | Press Ctrl+T to Enter Manufacture Test Menu... | | Press Ctrl+Z to Enter Diagnose Menu... | ============================================================ Enter your choice(0-6): 2 //此处选择2,进入设置启动文件和配置文件的子菜单。 Current boot application software: <hda1:/sup.bin> Current boot configuration: <hda1:/vrpcfg.zip> <1> Modify setting <0> Quit Enter your choice (0-1): 1 //此处选择1,进入修改配置子菜单。 File(s) in hda1: 1:hda1:/sup.bin 139720443 bytes 2:hda1:/vrpcfg.zip 17142 bytes Total size: 1201569792 bytes. Free size: 1061832207 bytes. File(s) in hda2: 1:hda2:/keylog/log_1389968546.txt 442185 bytes Total size: 640745472 bytes. Free size: 640253952 bytes. Input the name of application software(eg: hda1:/sup.bin): Input the name of configuration or '.' to clear setting(eg: hda1:/vrpcfg.zip):. //此处输入“.”来将下次启动配置改为空配置。 Modifed configuration successful. Next boot configuration: NULL ====================< Extend Main Menu >==================== | <1> Boot System | | <2> Set Startup Application Software and Configuration | | <3> File Management Menu... | | <4> Load and Upgrade Menu... | | <5> Modify Bootrom Password | | <6> Reset Factory Configuration | | <0> Reboot | | ---------------------------------------------------------| | Press Ctrl+T to Enter Manufacture Test Menu... | | Press Ctrl+Z to Enter Diagnose Menu... | ============================================================ Enter your choice(0-6): 1 //此处选择1引导系统启动。
如果使用缺省值登录,为了提高安全性,建议在进入扩展段BootROM主菜单后选择5进行修改。密码修改后请妥善保管以免丢失。此处以修改后的密码进入扩展段BootROM主菜单。
“BootROM”在USG6101/6305/6305-W/6310S/6310S-W/6310S-WL/6510/6510-WLUSG6305/6305-W/6310S/6310S-W/6310S-WL-OVS/6510/6510-WL中称为“BootLoader”。关键操作没有区别。
在管理PC上,登录设备的Web管理界面https://192.168.0.1:8443。
选择“系统 > 配置文件管理”,单击“下次启动配置文件”所在行的“选择”。在“配置文件管理”页签中,导出最近一次保存的配置文件。
在PC上解压缩该文件,得到vrpcfg.cfg,使用文本编辑工具修改配置文件中的管理员密码。此处以修改管理员admin的密码为Admin@1234为例进行说明。
将修改后的配置文件上传回设备,并设置为下次启动配置文件。
选择“系统 > 配置 > 系统重启”,单击“重启”,重启设备。
设备完成启动后,就可以使用新的用户名admin和密码Admin@1234登录,且配置也恢复为最近保存的配置。
修复V500R005C00及后续版本的框式设备Console口密码
基本处理思路如下:
提前准备一个可以在USG9500、Eudemon8000E-X、NIP6800、AntiDDoS8000中正常使用的配置文件,例如名称为newvrpcfg.zip的配置文件,并获取到该配置文件中的管理员账号/密码。
在BootROM菜单下上传newvrpcfg.zip配置文件到设备中,然后设置其为下次启动时使用的配置文件。
设备正常启动后,使用newvrpcfg.zip配置文件中的管理员密码登录设备。
将原来的配置文件(含遗忘管理员密码的配置文件,例如名称为vrpcfg.zip)拷贝到操作终端中,打开vrpcfg.zip配置文件修改管理员密码。
将修改后的配置文件(例如名称为modifyvrpcfg.zip)回传到设备上,并设置其为下次启动时使用的配置文件。
重新启动后,使用修改后的密码登录设备。
USG9500、Eudemon8000E-X设备,通过manager-user password-modify enable命令开启管理员登录时修改自身密码功能的情况下,设备重启后,会从CF卡的数据库中读取管理员密码,而不是从配置文件中读取密码。如果管理员密码遗忘,将无法通过恢复配置文件的方法找回登录密码。如需找回登录密码,请先执行undo manager-user password-modify enable命令关闭管理员登录时修改自身密码的功能。
如果设备是双主控,操作前将备用主控板拔出,待执行完以下操作后,再插上备用主控板,执行save命令以保证主用主控板和备用主控板配置一致。
具体操作步骤如下:
重新启动设备。
与设备搭建配置环境的PC机或配置终端屏幕上显示如下时,在3秒内按下“Ctrl+B”,输入密码,进入BootROM主菜单(Main Menu)。
**************************************************** * * * 8090 boot ROM, Ver 166.01 * * * **************************************************** Copyright 2001-2018 Huawei Tech. Co., Ltd. Creation date: Aug 2 2016, 16:34:23 CPU type : MPC8548E Press Ctrl+B to enter Main Menu... 1 Password: **********
BootROM主菜单如下所示。
Main Menu(bootload ver: 166.01) 1. Boot with default mode 2. Boot from CFcard 3. Enter ethernet submenu 4. Set boot file and path 5. Modify boot ROM password 6. Chkdsk CFcard 7. Format CFcard 8. List file in CFcard 9. Delete file from CFcard 10. Set patch mode 11. Set version back signal 12. Reboot Enter your choice(1-12):
输入3,进入以太网子菜单。
Enter your choice(1-12): 3 Ethernet Submenu 1. Download file to SDRAM through ethernet interface and boot 2. Download file to CFcard through ethernet interface 3. Modify ethernet interface boot parameters 4. Return to main menu
输入3,按以下方式设置以太网接口参数,其余的设置项按默认值即可:
举例如下:
Enter your choice(1-4): 3 Note: two protocols for download, tftp & ftp. You can modify the flags following the menu. tftp--0x80, ftp--0x0. '.' = clear field; '-' = go to previous field; ^D = quit boot device : mottsec3 processor number : 0 host name : host file name : newvrpcfg.zip inet on ethernet (e) : 10.10.12.1 inet on backplane (b): host inet (h) : 10.10.12.12 gateway inet (g) : user (u) : mpua ftp password (pw) (blank = use rsh): **** flags (f) : 0x0 target name (tn) : startup script (s) : other (o) :
Boot device是固定值,USG9520、Eudemon8000E-X3、NIP6830、AntiDDoS8030主控板MPUD为mottsec3,USG9520、Eudemon8000E-X3、NIP6830、AntiDDoS8030主控板E8KE-X3-MPU、USG9560、Eudemon8000E-X8、NIP6860、AntiDDoS8080主控板E8KE-X8-SRUA-200和USG9580、Eudemon8000E-X16、AntiDDoS8160主控板EKEX16-FWCD00MPUB00为motetsec0。
Boot device建议使用默认值,一般不需要修改,否则会导致FTP下载失败。
file name对应要下载的文件,此处以加载**.zip文件为例。修改方法是:直接在显示的文件名后输入新的文件名即可。下面的项同样方法修改。
inet on ethernet (e)用于设置安全设备的IP地址,此地址可以设置为与提供FTP服务的PC机在同一网段。如果设置的不是同一个网段,需保证安全设备与FTP服务器之间路由可达。
gateway inet (g)表示网关的IP地址,当安全设备与PC不在同一网段时,需要指定该参数。
host inet (h)必须设置为提供FTP服务的PC机的实际IP地址。
user (u) 输入FTP用户名。
ftp password (pw) (blank = use rsh)输入对应的FTP用户密码。
flags (f)是固定值,0x0对应通过FTP方式下载;0x80对应通过TFTP方式下载。
在操作终端计算机上,开启FTP服务器软件,并指定配置文件所在的路径、创建用户名mpua、密码为mpua。其中,该用户和密码即为以太网参数设置时需输入的用户名和密码。
在以太网子菜单下输入2,下载配置文件到CFcard。
在以太网子菜单下输入4,回到BootROM主菜单。
输入4,设置下次启动时使用的配置文件。
Boot Files Submenu 1. Modify the boot file 2. Modify the paf file 3. Modify the license file 4. Modify the config file 5. Modify the patch file 6. Modify the patch states file 7. Return to main menu Enter your choice(1-7):
输入4,修改启动时使用的配置文件为newvrpcfg.zip。
第一行显示信息中的vrpcfg.zip即为当前系统启动时使用的配置文件。
Config file is cfcard:/vrpcfg.zip, modify the file name if needed. Please input correctly, e.g.: cfcard:/vrpcfg.zip cfcard:/newvrpcfg.zip The file name you input is cfcard:/newvrpcfg.zip. Are you sure? Yes or No(Y/N)y Setting ...Done! Clear version back signal...Done!
输入7回到主菜单后,再输入2,重新启动设备。
设备重启后,使用newvrpcfg.zip配置文件中的管理员密码登录设备。
将原来的配置文件vrpcfg.zip拷贝到操作终端上(如PC),打开配置文件修改管理员密码。此处以修改管理员testuser的密码为test@123为例进行说明。
将修改后的配置文件modifyvrpcfg.zip回传到设备上,并在用户视图下设置其为下次启动时的配置文件。
<sysname> startup saved-configuration cfcard:/modifyvrpcfg.zip Info: Succeeded in setting the configuration for booting system.
重启设备后,就可以使用新的用户名testuser和密码test@123登录,且配置也恢复为最近保存的配置。
在重启过程中,如果提示以下信息请输入N。
Warning: The configuration has been modified, and it will be saved to the next startup saved-configuration file cfcard:/modifyvrpcfg.zip. Continue? [Y/N]:N
场景四:忘记SSH/Telnet登录密码
设备提供如下方法恢复SSH/Telnet登录密码。
方法一:通过其他有管理员权限的SSH/Telnet账号登录,重新配置密码
如果您只是忘记某一个SSH/Telnet账号的登录密码,可以通过其他有管理员权限的SSH/Telnet账号登录,重新配置密码。具体操作方法如下:
通过有管理员权限的SSH/Telnet账号登录安全设备。
修改SSH/Telnet登录密码。以修改VTY0~4的SSH/Telnet登录密码为例。表1-1 修改STelnet/Telnet登录密码
修改密码场景
配置方法
配置Telnet登录的认证方式为Password认证,Telnet登录密码为test@123,同时配置用户级别为15级。
<HUAWEI> system-view [HUAWEI] user-interface vty 0 4 [HUAWEI-ui-vty0-4] protocol inbound telnet [HUAWEI-ui-vty0-4] authentication-mode password [HUAWEI-ui-vty0-4] set authentication password Please configure the login password (8-16) Enter Password: //输入密码test@123 Confirm Password: //再次输入密码test@123进行确认 [HUAWEI-ui-vty0-4] user privilege level 15 [HUAWEI-ui-vty0-4] return <HUAWEI> save
配置Telnet登录的认证方式为AAA认证,用户名为testuser,密码为test@123,同时配置用户级别为15级。
此用户名可以是原登录使用的用户名,相当于对原登录账号的密码进行重置;也可以是新配置的一个用户名,相当于新配置一个Telnet登录账号。两种情形的配置方法相同。
<HUAWEI> system-view [HUAWEI] user-interface vty 0 4 [HUAWEI-ui-vty0-4] protocol inbound telnet [HUAWEI-ui-vty0-4] authentication-mode aaa [HUAWEI-ui-vty0-4] quit [HUAWEI] aaa [HUAWEI-aaa] manager-user testuser [HUAWEI-aaa-manager-user-testuser] password Enter Password: //输入密码test@123 Confirm Password: //再次输入密码test@123进行确认 [HUAWEI-aaa-manager-user-testuser] level 15 [HUAWEI-aaa-manager-user-testuser] return <HUAWEI> save
配置SSH登录的认证方式为Password认证,SSH用户名为test@123,密码为test@123,同时配置用户级别为15级。
此用户名可以是原登录使用的用户名,相当于对原登录账号的密码进行重置;也可以是新配置的一个用户名,相当于新配置一个SSH登录账号。两种情形的配置方法相同。
<HUAWEI> system-view [HUAWEI] user-interface vty 0 4 [HUAWEI-ui-vty0-4] authentication-mode aaa [HUAWEI-ui-vty0-4] protocol inbound ssh [HUAWEI-ui-vty0-4] user privilege level 15 [HUAWEI-ui-vty0-4] quit [HUAWEI] ssh user admin123 [HUAWEI] ssh user admin123 service-type stelnet [HUAWEI] ssh user admin123 authentication-type password [HUAWEI] aaa [HUAWEI-aaa] manager-user admin123 [HUAWEI-aaa-manager-user-admin123] password Enter Password: //输入密码test@123 Confirm Password: //再次输入密码test@123进行确认 [HUAWEI-aaa-manager-user-admin123] level 15 [HUAWEI-aaa-manager-user-admin123] service-type ssh [HUAWEI-aaa-manager-user-admin123] return [HUAWEI-aaa] quit [HUAWEI] ecc local-key-pair create Info: The key name will be: HUAWEI_Host_ECC. Info: The key modulus can be any one of the following: 256, 384, 521. Info: If the key modulus is greater than 512, it may take a few minutes. Please input the modulus [default=521]:521 Info: Generating keys.......... Info: Succeeded in creating the ECC host keys. [HUAWEI] return <HUAWEI> save
配置SSH登录的认证方式为ECC认证(RSA、DSA认证类似,不再赘述),SSH用户名为admin123,密码为abcd@123,同时配置用户级别为15级。
此用户名可以是原登录使用的用户名,相当于对原登录账号的密码进行重置;也可以是新配置的一个用户名,相当于新配置一个SSH登录账号。两种情形的配置方法相同。
使用ECC认证方式时,需要在SSH服务器上输入SSH客户端生成的密钥中的公钥部分。这样当客户端登录服务器时,自己的私钥如果与输入的公钥匹配成功,则认证通过。客户端公钥的生成请参见相应的SSH客户端软件的帮助文档。
<HUAWEI> system-view [HUAWEI] user-interface vty 0 4 [HUAWEI-ui-vty0-4] authentication-mode aaa [HUAWEI-ui-vty0-4] protocol inbound ssh [HUAWEI-ui-vty0-4] user privilege level 15 [HUAWEI-ui-vty0-4] quit [HUAWEI] ssh user admin123 [HUAWEI] ssh user admin123 service-type stelnet [HUAWEI] ssh user admin123 authentication-type ecc [HUAWEI] ecc peer-public-key key01 encoding-type pem Info: Enter "ECC public key" view, return system view with "peer-public-key end". [HUAWEI-ecc-public-key] public-key-code begin //进入公共密钥编辑视图 Info: Enter "ECC key code" view, return the last view with "public-key-code end". [HUAWEI-dsa-key-code] 308188 //拷贝复制客户端的公钥,为十六进制字符串 [HUAWEI-dsa-key-code] 028180 [HUAWEI-dsa-key-code] B21315DD 859AD7E4 A6D0D9B8 121F23F0 006BB1BB [HUAWEI-dsa-key-code] A443130F 7CDB95D8 4A4AE2F3 D94A73D7 36FDFD5F [HUAWEI-dsa-key-code] 411B8B73 3CDD494A 236F35AB 9BBFE19A 7336150B [HUAWEI-dsa-key-code] 40A35DE6 2C6A82D7 5C5F2C36 67FBC275 2DF7E4C5 [HUAWEI-dsa-key-code] 1987178B 8C364D57 DD0AA24A A0C2F87F 474C7931 [HUAWEI-ecc-key-code] A9F7E8FE E0D5A1B5 092F7112 660BD153 7FB7D5B2 [HUAWEI-ecc-key-code] 171896FB 1FFC38CD [HUAWEI-ecc-key-code] 0203 [HUAWEI-ecc-key-code] 010001 [HUAWEI-ecc-key-code] public-key-code end //退回到公共密钥视图 [HUAWEI-ecc-public-key] peer-public-key end //退回到系统视图 [HUAWEI] ssh user admin123 assign ecc-key key01 //为用户admin123分配一个已经存在的公钥key01 [HUAWEI] ecc local-key-pair create Info: The key name will be: HUAWEI_Host_ECC. Info: The key modulus can be any one of the following: 256, 384, 521. Info: If the key modulus is greater than 512, it may take a few minutes. Please input the modulus [default=521]:521 Info: Generating keys.......... Info: Succeeded in creating the ECC host keys. [HUAWEI] return <HUAWEI> save
方法二:通过Console口登录后,设置新的SSH/Telnet登录密码
如果您忘记SSH/Telnet登录密码,但记得Console口登录密码,则可以通过Console口登录设备后设置新的SSH/Telnet登录密码。
使用Telnet协议存在安全风险,建议使用SSH(建议使用STelnet V2协议)登录设备。
通过Console口连接安全设备。将Console配置线的DB9(孔)插头插入PC机的COM口中,再将RJ-45插头端插入设备的Console口中,如图1-2所示。图1-2 通过Console口链接设备
在PC上打开终端仿真软件,新建连接,设置连接的接口,配置通信参数如下:
波特率:9600
数据位:8
停止位:1
奇偶校验位:无
流控:无
单击“Connect”,根据提示输入或配置登录密码,完成Console口登录。
修改SSH/Telnet登录密码。请参考方法一的步骤2。
场景五:忘记BootROM/BootLoad菜单密码
由于安全设备及版本不一样,BootROM/BootLoad密码修改方法也不一样。下文分为以下几类,分别介绍BootROM/BootLoad密码恢复、修改具体操作方法:
恢复、修改V600R006C00及后续版本的盒式设备BootLoader密码
BootLoader密码丢失后,请使用RST按钮一键恢复出厂配置功能,让设备恢复出厂配置。设备恢复出厂配置后,BootLoader密码也恢复为缺省值。为提高安全性,请及时设置BootLoader新密码,并妥善保管。
通过Console口连接设备。
通过面板上的RST按钮恢复出厂配置。
设备恢复出厂配置的方法为:在设备上电一段时间后,先按住面板上的RST按钮,保持至少5秒钟,然后松开RST按钮,设备会使用出厂配置重新启动。
重新设置下一次启动的配置文件为原配置文件。
恢复出厂配置启动后,不会影响原有配置文件内容,但是需要重新设置下一次启动的配置文件。具体步骤如下:
查看当前配置文件和下一次启动的配置文件。
<sysname> display startup MainBoard: Configured startup system software: hda1:/sup-new.bin Startup system software: hda1:/sup-new.bin Next startup system software: hda1:/sup-new.bin Startup saved-configuration file: NULL //本次启动为空配置文件启动 Next startup saved-configuration file: NULL //下次启动为空配置文件启动 Startup paf file: default Next startup paf file: default Startup license file: default Next startup license file: default Startup patch package: NULL Next startup patch package: NULL
设置下次启动的配置文件为恢复出厂设置前的原配置文件。
<sysname> startup saved-configuration vrpcfg.zip //这里的文件名是原使用的配置文件名 Info: Succeeded in setting the configuration for booting system.
查看配置是否成功。
<sysname> display startup MainBoard: Configured startup system software: hda1:/sup-new.bin Startup system software: hda1:/sup-new.bin Next startup system software: hda1:/sup-new.bin Startup saved-configuration file: NULL Next startup saved-configuration file: hda1:/vrpcfg.zip //下一次启动的配置文件为原配置文件 Startup paf file: default Next startup paf file: default Startup license file: default Next startup license file: default Startup patch package: NULL Next startup patch package: NULL
重启系统。
<sysname> reboot //重启 Info: The system is now comparing the configuration, please wait........ Warning: The configuration has been modified, and it will be saved to the next startup saved-configuration file hda1:/vrpcfg.zip. Continue? [Y/N]:n //不保存本次操作引起的配置变化,以免覆盖原配置文件 Info: If want to reboot with saving diagnostic information, input 'N' and then execute 'reboot save diagnostic-information'. System will reboot! Continue?[Y/N]:y //确定重启
修改BootLoader密码。
您可以在《华为安全产品 缺省帐号与密码》(企业网、运营商)文档中获取各种缺省帐号与密码信息。该文档的权限为C级(客户支持级),如需升级权限,请查看网站帮助。
在设备启动过程中,看到提示信息“Press Ctrl+B to break auto startup...”时,在三秒内按下“Ctrl+B”,进入BootLoader主菜单,设置BootLoader新密码,并输入1继续启动设备。
Press Ctrl+B to break auto startup... 3 Info: The password is empty. For security purposes, change the password. The password must contain at least 2 of these characters: upper-case letters, lo wer-case letters, digits, and special characters. New password:********* Confirm password:********* Main Menu 1. Default startup 2. Serial submenu 3. Ethernet submenu 4. Startup parameters submenu 5. File system submenu 6. Password manager submenu 7. Reset factory configuration 8. Reset factory password 0. Reboot Enter your choice(0-8):1 //此处选择1引导系统启动。
恢复、修改V500R005C00及后续版本的盒式设备BootROM/BootLoad密码
BootROM密码丢失后,请使用RST按钮一键恢复出厂配置功能,让设备恢复出厂配置。设备恢复出厂配置后,BootROM密码也恢复为缺省值。
“BootROM”在USG6101/6305/6305-W/6310S/6310S-W/6310S-WL/6510/6510-WLUSG6305/6305-W/6310S/6310S-W/6310S-WL-OVS/6510/6510-WL中称为“BootLoader”。关键操作没有区别。
通过面板上的RST按钮恢复出厂配置。
Eudemon200E-N、Eudemon1000E-N、USG6000、NIP6300、NIP6600、NIP6000D系列设备恢复出厂配置的方法为:在设备没有上电前先按住面板上的RST按钮,然后上电。大约3~5秒左右,面板上的MODE或SYS指示灯出现闪烁时,松开RST按钮,设备会使用出厂配置启动。
在设备上电后,按RST按钮只会重启系统,并不会恢复出厂缺省配置。
重新设置下一次启动的配置文件为原配置文件。
恢复出厂配置启动后,不会影响原有配置文件内容,但是需要重新设置下一次启动的配置文件。具体步骤如下:
查看当前配置文件和下一次启动的配置文件。
<sysname> display startup MainBoard: Configured startup system software: hda1:/sup-new.bin Startup system software: hda1:/sup-new.bin Next startup system software: hda1:/sup-new.bin Startup saved-configuration file: NULL //本次启动为空配置文件启动 Next startup saved-configuration file: NULL //下次启动为空配置文件启动 Startup paf file: default Next startup paf file: default Startup license file: default Next startup license file: default Startup patch package: NULL Next startup patch package: NULL
设置下次启动的配置文件为恢复出厂设置前的原配置文件。
<sysname> startup saved-configuration vrpcfg.zip //这里的文件名是原使用的配置文件名 Info: Succeeded in setting the configuration for booting system.
查看配置是否成功。
<sysname> display startup MainBoard: Configured startup system software: hda1:/sup-new.bin Startup system software: hda1:/sup-new.bin Next startup system software: hda1:/sup-new.bin Startup saved-configuration file: NULL Next startup saved-configuration file: hda1:/vrpcfg.zip //下一次启动的配置文件为原配置文件 Startup paf file: default Next startup paf file: default Startup license file: default Next startup license file: default Startup patch package: NULL Next startup patch package: NULL
重启系统。
<sysname> reboot //重启 Info: The system is now comparing the configuration, please wait........ Warning: The configuration has been modified, and it will be saved to the next startup saved-configuration file hda1:/vrpcfg.zip. Continue? [Y/N]:n //不保存本次操作引起的配置变化,以免覆盖原配置文件 Info: If want to reboot with saving diagnostic information, input 'N' and then execute 'reboot save diagnostic-information'. System will reboot! Continue?[Y/N]:y //确定重启
您可以在《华为安全产品 缺省帐号与密码》(企业网、运营商)文档中获取各种缺省帐号与密码信息。该文档的权限为C级(客户支持级),如需升级权限,请查看网站帮助。
基本段BootROM密码的修改。
在设备启动过程中,看到提示信息“Press Ctrl+A to stop auto boot...3”时按下Ctrl+A,输入BootROM密码后,进入基本段BootROM主菜单。
Press Ctrl+A to stop auto boot...3 Password:******** For the sake of security, please modify the original password. ========================< Base Main Menu >=================== | <1> Boot Extended Bootrom | | <2> Upgrade Extended Bootrom | | <3> Modify Base Bootrom Password | | <0> Reboot | ============================================================= Enter your choice (0-3):3 Change Password. Old Password: //输入原密码 New Password: //输入新密码 Confirm Password: //再次输入新密码 Save new password ... Done.
扩展段BootROM密码的修改。
在设备启动过程中,看到提示信息“Press Ctrl+B to enter main menu...3”时按下Ctrl+B,输入BootROM密码后,进入扩展段BootROM主菜单。
Press Ctrl+B to enter main menu...3 Password:******** For the sake of security, please modify the original password. ====================< Extend Main Menu >==================== | <1> Boot System | | <2> Set Startup Application Software and Configuration | | <3> File Management Menu... | | <4> Load and Upgrade Menu... | | <5> Modify Bootrom Password | | <6> Reset Factory Configuration | | <7> Reset Factory Password | | <0> Reboot | | ---------------------------------------------------------| | Press Ctrl+T to Enter Manufacture Test Menu... | | Press Ctrl+Z to Enter Diagnose Menu... | ============================================================ Enter your choice(0-6):5 Change Password. Old Password: //输入原密码 New Password: //输入新密码 Confirm Password: //再次输入新密码 Save new password ... Done.
恢复、修改V500R005C00及后续版本的框式设备BootROM密码
BootROM分为基本段BootROM(boot ROM small system)和扩展段BootROM(boot ROM main system):
如果基本段BootROM密码遗忘,请联系华为技术工程师。
如果扩展段BootROM密码遗忘,请参考以下步骤进行处理。
通过Console口连接设备,重新启动设备。
在设备启动过程中,看到提示信息“Press Ctrl+A to enter Update Boot ROM Menu”时按下Ctrl+A,输入BootROM密码后,进入基本段BootROM主菜单。
Press Ctrl+A to enter Update Boot ROM Menu... 2 Password: ********** Update Boot ROM Menu(bootbase ver: 156.00) 1. Update boot ROM small system 2. Update boot ROM main system 3. Modify serial interface parameter 4. Modify system and chassis parameters 5. Boot main system 6. Resume boot ROM main system default password 7. Modify boot ROM small system password 8. Reboot Enter your choice(1-8):
输入6,恢复扩展段BootROM的密码为默认密码。
您可以在《华为安全产品 缺省帐号与密码》(企业网、运营商)文档中获取各种缺省帐号与密码信息。该文档的权限为C级(客户支持级),如需升级权限,请查看网站帮助。
修改扩展段BootROM密码。
在设备启动过程中,看到提示信息“Press Ctrl+B to enter Main Menu”时按下Ctrl+B,输入BootROM密码后,进入扩展段BootROM主菜单。
Press Ctrl+B to enter Main Menu... 3 Password: ********** Main Menu(bootload ver: 08.02) 1. Boot with default mode 2. Boot from CFcard 3. Enter ethernet submenu 4. Set boot file and path 5. Modify boot ROM password 6. Chkdsk CFcard 7. Format CFcard 8. List file in CFcard 9. Delete file from CFcard 10. Set patch mode 11. Set version back signal 12. Reboot Enter your choice(1-12):5 Change Password. Old Password: //输入原密码 New Password: //输入新密码 Confirm Password: //再次输入新密码 Save new password ... Done.
恢复、修改V500R005C00及后续版本的NGFW Module设备BootRoM密码
NGFW Module设备的BootROM密码丢失后请执行如下命令恢复BootROM密码为缺省值。
<sysname> reset boot password The password used to enter the boot menu by clicking Ctrl+B will be restored to the default password, continue? [Y/N]y Info: Succeeded in restoring the boot password to the default one.
通过Console口连接设备,修改BootROM密码。请参考恢复、修改V500R005C00及后续版本的盒式设备BootROM/BootLoad密码的步骤3。
场景六:忘记Web登录密码,但可以通过Console口/SSH/Telnet登录
如果您可以通过Console口、SSH或Telnet登录设备,登录后执行以下操作,设置新的Web登录密码。 以Web登录用户名为testuser,用户级别不变,还是原来的设置,密码为test@123为例。
<HUAWEI> system-view [HUAWEI] aaa [HUAWEI-aaa] manager-user testuser [HUAWEI-aaa-manager-user-admin123] password Enter Password: //输入密码test@123 Confirm Password: //再次输入密码test@123进行确认 [HUAWEI-aaa-manager-user-admin123] service-type web [HUAWEI-aaa-manager-user-admin123] return <HUAWEI> save
支付宝微信扫一扫,打赏作者吧~本文链接:https://www.kinber.cn/post/4083.html 转载需授权!
推荐本站淘宝优惠价购买喜欢的宝贝:
您阅读本篇文章共花了: 
