В заводской конфигурации NSG Linux 2.1 определены два пользователя nsg и root. При этом вход в систему изначально возможен только для пользователя nsg с пустым паролем. Перед подключением устройства к реальной сети необходимо установить для него уникальный содержательный пароль.
Начиная с версии NSG Linux 2.1.4, ввиду систематического пренебрежения этим правилом со стороны пользователей, процедура назначения пароля как для пользователя nsg, так и для созданных дополнительных пользователей, сделана принудительной. При входе в систему с пустым паролем доступен только узел данного пользователя, в котором необходимо установить пароль, выйти и зайти снова. После этого будет видно полное дерево конфигурации (или индивидуальное дерево для данного пользователя).
Для пользователя root в заводской конфигурации пароль установлен таким образом, что вход в систему с этим именем невозможен. Если в этом имеется необходимость (например, для каких-либо операций в оболочке bash), то рекомендуется, в первую очередь, рассмотреть альтернативные варианты выполнения требуемых действий. Например, чтобы только перенести на устройство ключи и сертификаты, можно использовать USB Flash; файловые операции с ней доступны пользователю nsg в облочках nsgsh и Web. Ряд стандарных диагностических и отладочных утилит доступен в узлах .system.show и .tools. На практике это наиболее частые операции, для которых требутся входить в систему как root, и если дело ограничивается ими, то такая необходимость отпадает.
Если доступ в качестве root нужен для более широкого круга действий, то его можно разрешить; для этого следует назначить пользователю некоторый пароль. В этом случае перед подключением к реальной сети необходимо установить пароли как для пользователя nsg, так и для пользователя root. Если же вход в качестве root требовался только для настройки устройства и не нужен в процессе регулярной эксплуатации, то рекомендуется снова запретить его.
Если вход в качестве root необходим в процессе эксплуатации по существу, то рекомендуется использовать доступ по SSH с помощью ключа. (Описание этого метода см. здесь, но в данном случае он используется в противоположном направлении: ключ генерируется на ПК администратора и помещается на устройство NSG.) Это позволяет решить ещё ряд задач, таких как синхронизация настроек основного и резервного устройств. Этот способ доступа не запрещается командой lock
.
Если постоянный доступ для root всё-таки требуется, и при этом именно по паролю, то к стойкости пароля для него предъявляются максимальные требования. Этот пользователь имеется на всех *NIX-подобных системах и обладает полными правами на все операции, а поэтому является хорошо известной и самой желанной целью для всех санитаров леса. Надёжный пароль должен:
s0siska
), или набранным в другой раскладке (rfr;tdsvtyzdctljcnfkb
), и т.п. — такие сочетания легко подбираются по словарю.Несмотря на очевидные рекомендации не использовать пароли типа 123
или qwerty
, прецеденты использования и, соответственно, взлома таких паролей достаточно часты в практике технической поддержки NSG. Если вы тоже установили такой пароль — пеняйте на себя.
ВНИМАНИЕ!!! Введённые пароли не хранятся в устройстве; хранятся только хэши от них. Утраченный пароль не может быть восстановлен никакими средствами, кроме brute force, т.е. тупого подбора. (Против него, естественно, также приняты надлежащие меры, но их эффективность ограничена длиной и сложностью самого пароля.) Если пароль утрачен, то конструктивно восстановить доступ к устройству можно только путём полного сброса конфигурации.
© Network Systems Group 2015–2024 | Отдел документации |