官网:恢复管理员密码 - HUAWEI USG6000E, USG6000, USG9500, NGFW Module V500, V600 维护宝典(html) - 华为
手册:下载 https://www.123pan.com/s/NNzA-dRED3.html
恢复管理员密码
介绍管理员密码丢失的处理方法。
Console口密码遗忘处理
Console口密码遗忘后,管理员可以使用具有3级或以上级别的其它管理员账号,通过Web、Telnet、SSH方式登录设备,修改Console口的密码。
Telnet方式存在安全风险,请使用Web或SSH方式登录设备,本例以SSH为例。
- 管理员使用admin1账号,通过SSH方式登录设备,确认当前管理员账号的权限。
- 使用display users命令查看所有登录账号,其中带有“+”标记一行为当前管理员,记录对应的编号VTY 0。
<sysname> display users User-Intf Delay Type Network Address AuthenStatus AuthorcmdFlag 0 CON 0 47:47:45 no Username : Unspecified + 34 VTY 0 16:32:31 SSH 172.16.30.93 pass no Username : admin1
- 执行命令display user-interface,查看管理员账号的权限,确认VTY 0对应的级别为15级,有权限修改Console口的密码。
<sysname> display user-interface Idx Type Tx/Rx Modem Privi ActualPrivi Auth Int 0 CON 0 9600 - 15 15 P - + 34 VTY 0 - 15 15 A - ......
- 根据Console口的认证方式,修改Console口的密码。
- Console口使用Password认证方式修改Console口的密码为Admin@1234:
<sysname> system-view [sysname] user-interface console 0 [sysname-ui-console0] set authentication password Please configure the login password (8-16) Enter Password: Confirm Password:
- Console口使用AAA认证方式修改admin账号的密码为Admin@1234:
<sysname> system-view [sysname] aaa [sysname-aaa] manager-user admin [FW-aaa-manager-user-admin] password Enter Password: Confirm Password:
- Console口使用Password认证方式
- 修改完成后,管理员可以使用修改后的密码或账号/密码通过Console口登录。
Telnet登录密码遗忘处理(USG6000E/USG6000和NGFW Module)
介绍Telnet登录密码遗忘的故障处理诊断流程。
Telnet协议可以对设备进行远程维护和管理,如果Telnet密码丢失,只能通过其他方式登录设备后重新进行配置。
目前系统支持Telnet登录的2种验证方式:
- AAA方式:使用账号+密码方式登录。
- Password方式:只使用密码登录。
VTY是设备为Telnet登录创建的逻辑接口,根据管理员登录的次序依次为其分配VTY0~4(或0~14)接口供其使用。因为无法为管理员指定其登录使用的VTY接口,所以一般会对所有的VTY接口进行相同的配置。
当管理员登录到设备配置界面后,可使用display current-configuration configuration user-interface命令查看VTY的认证方式。您可以在原有认证方式的基础上修改密码,也可以重新配置认证方式。
AAA方式
<sysname> system-view [sysname] user-interface vty 0 4 [sysname-ui-vty0-4] authentication-mode aaa [sysname-ui-vty0-4] quit [sysname] aaa [sysname-aaa] manager-user admin1 [sysname-aaa-manager-user-admin1] password Enter Password: Confirm Password: [sysname-aaa-manager-user-admin1] service-type telnet [sysname-aaa-manager-user-admin1] level 15
该配置完成后管理员可以使用admin1以及设置好的密码登录设备。
Password方式
<sysname> system-view [sysname] user-interface vty 0 4 [sysname-ui-vty0-4] authentication-mode password [sysname-ui-vty0-4] set authentication password Warning: The "password" authentication mode is not secure, and it is strongly recommended to use "aaa" authentication mode. Please configure the login password (6-16) Enter Password: Confirm Password:
该配置完成后管理员可以使用设置好的密码登录设备。
管理员账号/密码遗忘处理(USG6000E/USG6000和NGFW Module)
当Console密码也遗忘,设备也不存在其他高级别的管理员账号时,需要进入BootLoader进行修复。
- 通过Console口连接设备并重启设备。在设备启动过程中,看到提示信息“Press Ctrl+B to break auto startup...”时,在三秒内按下Ctrl+B,输入BootLoader密码后,进入BootLoader主菜单。
- 对于USG6000E V600R007C00,BootLoader有缺省密码,为了提高安全性,建议在进入BootLoader主菜单后选择6进行修改。具体修改操作请参见修改BootLoader密码(USG6000E),密码修改后请妥善保管以免丢失。此处以修改后的密码进入BootLoader主菜单。
- 对于USG6000E V600R007C20,缺省情况下,BootLoader密码为空,首次登录时系统会要求设置密码,请按系统提示设置密码,要求:密码长度不小于8位,且至少包含英文大写字母(A~Z)、英文小写字母(a~z)、数字(0~9)、特殊字符(如!、@、#、$、%等)中的二种。密码设置后请妥善保管。此处以设置密码后进入BootLoader主菜单为例进行介绍。
- 对于USG6000,BootROM有缺省密码,为了提高安全性,建议在进入扩展段BootROM主菜单后选择5进行修改。具体修改操作请参见修改BootROM密码(USG6000和NGFW Module),密码修改后请妥善保管以免丢失。此处以修改后的密码进入扩展段BootROM主菜单
- 您可以在《华为安全产品缺省帐号与密码》文档中获取各种缺省帐号与密码信息。获取该文档需要权限,如需升级权限,请查看网站帮助。
- BootROM”在USG6101/6305/6305-W/6310S/6310S-W/6310S-WL/6510/6510-WL中称为“BootLoader”。关键操作没有区别。
对于USG6000E,回显信息如下所示:
Press Ctrl+B to break auto startup... 3 Enter Password:************ Main Menu 1. Default startup 2. Serial submenu 3. Ethernet submenu 4. Startup parameters submenu 5. File system submenu 6. Password manager submenu 7. Reset factory configuration 8. Reset factory password 0. Reboot Enter your choice(0-8):8 //此处选择8,进入重置管理员密码子菜单。对于USG6000,回显信息如下所示:
Press Ctrl+B to Enter main menu...3 Password: ******** ====================< Extend Main Menu >==================== | <1> Boot System | | <2> Set Startup Application Software and Configuration | | <3> File Management Menu... | | <4> Load and Upgrade Menu... | | <5> Modify Bootrom Password | | <6> Reset Factory Configuration | | <7> Reset Factory Password | | <0> Reboot | | ---------------------------------------------------------| | Press Ctrl+T to Enter Manufacture Test Menu... | | Press Ctrl+Z to Enter Diagnose Menu... | ============================================================ Enter your choice(0-7): 7 //此处选择7,进入重置管理员密码子菜单。 - 选择继续修改密码,并引导系统启动。
对于USG6000E,回显信息如下所示:
NOTE: This operation will reset current password. Choose 'yes' to continue, or 'no' to stop and return. <1> Yes <0> No Enter your choice(0-1): 1 Restoring factory password ...Done. Main Menu 1. Default startup 2. Serial submenu 3. Ethernet submenu 4. Startup parameters submenu 5. File system submenu 6. Password manager submenu 7. Reset factory configuration 8. Reset factory password 0. Reboot Enter your choice(0-8):1 //此处选择1引导系统启动。对于USG6000,回显信息如下所示:
NOTE: This operation will reset current passwrod. Choose 'yes' to continue, or 'no' to stop and return. <1> Yes <0> No Enter your choice(0-1): 1 ====================< Extend Main Menu >==================== | <1> Boot System | | <2> Set Startup Application Software and Configuration | | <3> File Management Menu... | | <4> Load and Upgrade Menu... | | <5> Modify Bootrom Password | | <6> Reset Factory Configuration | | <7> Reset Factory Password | | <0> Reboot | | ---------------------------------------------------------| | Press Ctrl+T to Enter Manufacture Test Menu... | | Press Ctrl+Z to Enter Diagnose Menu... | ============================================================ Enter your choice(0-7): 1 //此处选择1引导系统启动。
出现如下回显信息并进入用户视图,则表示设备启动成功。
Recover configuration begin ... Recover configuration end Press ENTER to get started. Warning: There is a risk on the user-interface which you login through. Please change the configuration of the user-interface as soon as possible. ************************************************************************* * Copyright (C) 2014-2020 Huawei Technologies Co., Ltd. * * All rights reserved. * * Without the owner's prior written consent, * * no decompiling or reverse-engineering shall be allowed. * ************************************************************************* Info: Please change the configuration of the password as soon as possible. <sysname>
进入用户视图后不要执行命令quit,否则设备退出后您需要再次重启设备,才能执行下一步重新设置管理员密码。
- 重新设置管理员密码,假设管理员为admin,密码重新设置为Admin@12345。
<sysname> system-view [sysname] aaa [sysname-aaa] manager-user admin [sysname-aaa-manager-user-admin] password cipher Admin@12345 Info: You are advised to config on man-machine mode. [sysname-aaa-manager-user-admin] quit [sysname-aaa] quit [sysname] quit <sysname> quit
密码修改完成后,请及时执行命令quit退出设备,以保证设备的安全性。退出后即可使用修改后的密码登录设备。
管理员账号/密码遗忘(USG9500)
介绍管理员登录账号/密码遗忘的处理流程。
当管理员账号/密码遗忘导致无法登录设备时,基本处理思路如下:
- 提前准备一个可以在USG9500中正常使用的配置文件,例如名称为newvrpcfg.zip的配置文件,并获取到该配置文件中的管理员账号/密码。
- 在BootROM菜单下上传newvrpcfg.zip配置文件到设备中,然后设置其为下次启动时使用的配置文件。
- 设备正常启动后,使用newvrpcfg.zip配置文件中的管理员密码登录设备。
- 将原来的配置文件(含遗忘管理员密码的配置文件,例如名称为vrpcfg.zip)拷贝到操作终端中,打开vrpcfg.zip配置文件修改管理员密码。
- 将修改后的配置文件(例如名称为modifyvrpcfg.zip)回传到设备上,并设置其为下次启动时使用的配置文件。
- 重新启动后,使用修改后的密码登录设备。
通过manager-user password-modify enable命令开启管理员登录时修改自身密码功能的情况下,设备重启后,会从CF卡的数据库中读取管理员密码,而不是从配置文件中读取密码。如果管理员密码遗忘,将无法通过恢复配置文件的方法找回登录密码。如需找回登录密码,请先执行undo manager-user password-modify enable命令关闭管理员登录时修改自身密码的功能。
具体操作步骤如下:
- 重新启动设备。
与设备搭建配置环境的PC机或配置终端屏幕上显示如下时,在3秒内按下“Ctrl+B”,输入密码,进入BootROM主菜单(Main Menu)。
您可以在《华为安全产品缺省帐号与密码》文档中获取各种缺省帐号与密码信息。获取该文档需要权限,如需升级权限,请查看网站帮助。**************************************************** * * * 8090 boot ROM, Ver 166.01 * * * **************************************************** Copyright 2001-2018 Huawei Tech. Co., Ltd. Creation date: Aug 2 2016, 16:34:23 CPU type : MPC8548E Press Ctrl+B to enter Main Menu... 1 Password: ********** - BootROM主菜单如下所示。
Main Menu(bootload ver: 166.01) 1. Boot with default mode 2. Boot from CFcard 3. Enter ethernet submenu 4. Set boot file and path 5. Modify boot ROM password 6. Chkdsk CFcard 7. Format CFcard 8. List file in CFcard 9. Delete file from CFcard 10. Set patch mode 11. Set version back signal 12. Reboot Enter your choice(1-12):
- 输入3,进入以太网子菜单。
Enter your choice(1-12): 3 Ethernet Submenu 1. Download file to SDRAM through ethernet interface and boot 2. Download file to CFcard through ethernet interface 3. Modify ethernet interface boot parameters 4. Return to main menu - 输入3,按以下方式设置以太网接口参数,其余的设置项按默认值即可:
- Boot device是固定值,USG9520主控板MPUD为mottsec3,USG9520主控板E8KE-X3-MPU、USG9560主控板E8KE-X8-SRUA-200和USG9580主控板EKEX16-FWCD00MPUB00为motetsec0。
Boot device建议使用默认值,一般不需要修改,否则会导致FTP下载失败。
- file name对应要下载的文件,此处以加载**.zip文件为例。修改方法是:直接在显示的文件名后输入新的文件名即可。下面的项同样方法修改。
- inet on ethernet (e)用于设置FW的IP地址,此地址可以设置为与提供FTP服务的PC机在同一网段。如果设置的不是同一个网段,需保证FW与FTP服务器之间路由可达。
- gateway inet (g)表示网关的IP地址,当FW与PC不在同一网段时,需要指定该参数。
- host inet (h)必须设置为提供FTP服务的PC机的实际IP地址。
- user (u) 输入FTP用户名。
- ftp password (pw) (blank = use rsh)输入对应的FTP用户密码。
- flags (f)是固定值,0x0对应通过FTP方式下载;0x80对应通过TFTP方式下载。
举例如下:Enter your choice(1-4): 3 Note: two protocols for download, tftp & ftp. You can modify the flags following the menu. tftp--0x80, ftp--0x0. '.' = clear field; '-' = go to previous field; ^D = quit boot device : mottsec3 processor number : 0 host name : host file name : newvrpcfg.zip inet on ethernet (e) : 10.10.12.1 inet on backplane (b): host inet (h) : 10.10.12.12 gateway inet (g) : user (u) : mpua ftp password (pw) (blank = use rsh): **** flags (f) : 0x0 target name (tn) : startup script (s) : other (o) : - Boot device是固定值,USG9520主控板MPUD为mottsec3,USG9520主控板E8KE-X3-MPU、USG9560主控板E8KE-X8-SRUA-200和USG9580主控板EKEX16-FWCD00MPUB00为motetsec0。
- 在操作终端计算机上,开启FTP服务器软件,并指定配置文件所在的路径、创建用户名mpua、密码为mpua。其中,该用户和密码即为以太网参数设置时需输入的用户名和密码。
- 在以太网子菜单下输入2,下载配置文件到CFcard。
- 在以太网子菜单下输入4,回到BootROM主菜单。
- 输入4,设置下次启动时使用的配置文件。
Boot Files Submenu 1. Modify the boot file 2. Modify the paf file 3. Modify the license file 4. Modify the config file 5. Modify the patch file 6. Modify the patch states file 7. Return to main menu Enter your choice(1-7):
- 输入4,修改启动时使用的配置文件为newvrpcfg.zip。第一行显示信息中的vrpcfg.zip即为当前系统启动时使用的配置文件。
Config file is cfcard:/vrpcfg.zip, modify the file name if needed. Please input correctly, e.g.: cfcard:/vrpcfg.zip cfcard:/newvrpcfg.zip The file name you input is cfcard:/newvrpcfg.zip. Are you sure? Yes or No(Y/N)y Setting ...Done! Clear version back signal...Done!
- 输入7回到主菜单后,再输入2,重新启动设备。
- 设备重启后,使用newvrpcfg.zip配置文件中的管理员密码登录设备。
- 将原来的配置文件vrpcfg.zip拷贝到操作终端上(如PC),打开配置文件修改管理员密码。此处以修改管理员admin的密码为Admin@1234为例进行说明。
- 将修改后的配置文件modifyvrpcfg.zip回传到设备上,并在用户视图下设置其为下次启动时的配置文件。
<sysname> startup saved-configuration cfcard:/modifyvrpcfg.zip Info: Succeeded in setting the configuration for booting system.
- 重启设备后,就可以使用新的用户名admin和密码Admin@1234登录,且配置也恢复为最近保存的配置。在重启过程中,如果提示以下信息请输入N。
Warning: The configuration has been modified, and it will be saved to the next startup saved-configuration file cfcard:/modifyvrpcfg.zip. Continue? [Y/N]:N
发表评论 取消回复