前两天接到某客户电话,客户自己更改了防火墙admin账户的密码,但是客户忘记了更改后的密码,现在无法登录web控制台。
如果在修改了密码之后,有使用 Xshell/Putty 等软件连接过防火墙设备,并且保存了密码,此时可以直接通过软件连接到设备,更改admin的密码即可。若软件没有保存密码,还可以尝试通过Console 口登录设备来更改密码,前提是 Console 口登录验证是关闭的。建议先尝试 ssh/telnet/Console口 方式修改密码,因为如果无法通过命令行下直接更改密码的方式去修改,那么想要恢复密码就必须要重启设备才能做到。而重启设备势必会造成业务中断,并且如果此时配置没有save的话,从上次save到现在期间修改的配置均会丢失。
更改密码命令:
[H3C]local-user admin class manage [H3C-luser-manage-admin]password simple admin [H3C-luser-manage-admin]
此时 admin 的密码被修改为 admin ,现在就可以通过web登录控制台了。
但是如果 Console口 也无法进入命令行更改密码了,那么要更改密码就必须要重启设备才能更改。而重启设备势必会造成业务中断,如果此时配置没有save的话,从上次save到现在期间修改的配置均会丢失这些情况需要和客户提请沟通后才能进行操作。
此时还要分两种情况来讨论,两种情况均需要重启设备。
一、设备开启了密码恢复功能 password-recovery enable(系统默认开启)
通过Console口连接到设备,将设备断电后重新上电。
查看屏幕输出提示,按 Ctrl+B 进入bootware界面
System is starting... Press Ctrl+D to access BASIC-BOOTWARE MENU... Press Ctrl+T to start heavy memory test. Booting Normal Extended BootWare The Extended BootWare is self-decompressing....Done. **************************************************************************** * * * H3C SecPath BootWare, Version 3.00 * * * **************************************************************************** Copyright (c) 2004-2019 New H3C Technologies Co., Ltd. Compiled Date : Apr 11 2019 Memory Type : DDR3 SDRAM Memory Size : 2048MB Memory Speed : 667MHz Flash Size : 16MB Nandflash Size : 256MB PCB Version : Ver.A BootWare Validating... Press Ctrl+B to access EXTENDED-BOOTWARE MENU... Password recovery capability is enabled. Note: The current operating device is flash Enter < Storage Device Operation > to select device. ============================================================================ |<1> Boot System | |<2> Enter Serial SubMenu | |<3> Enter Ethernet SubMenu | |<4> File Control | |<5> Restore to Factory Default Configuration | |<6> Skip Current System Configuration | |<7> BootWare Operation Menu | |<8> Skip Authentication for Console Login | |<9> Storage Device Operation | |<0> Reboot | ============================================================================ Ctrl+Z: Access EXTENDED ASSISTANT MENU Ctrl+C: Display Copyright Ctrl+F: Format File System Enter your choice(0-9):
进入该界面后,选择:<8> Skip Authentication for Console Login
看到“Clear Image Password Success!”的提示,即代表跳过 Console 登录认证,选择 <0> Reboot 重启设备后,在 Console口 下直接更改密码即可。
二、设备没有开启密码恢复功能undo password-recovery enable
使用和第一种情况相同的方式进入bootware界面。
选择 <6> Skip Current System Configuration 跳过当前系统配置,以默认配置启动。然后选择 <0> Reboot 重启设备
此时设备会使用默认配置来启动设备。所以重启后千万不要 save,否则配置会被默认配置覆盖掉。设备重启后,在命令行下通过 ftp 将设备中的 steup.cfg 配置文件下载下来。
#连接ftp <h3c>ftp 192.168.0.2 Trying 192.168.0.2 ... Press CTRL+K to abort Connected to 192.168.0.2. 220 (vsFTPd 3.0.3) #登录ftp User(192.168.0.2:(none)):admin 331 Please specify the password. Password: 230 Login successful. #上传配置文件(将防火墙的配置文件上传到ftpServer) [ftp] [ftp]put startup.cfg 227 Entering Passive Mode (192,168,0,2,198,35). 150 Ok to send data. 226 Transfer complete. FTP: 8744 byte(s) sent in 0.013 second(s), 672.00Kbyte(s)/sec. [ftp]
将配置文件下载到本地后,在本地更改配置文件中的账号密码。
找到配置文件中如下的部分
user-group system # local-user admin class manage password hash ****** 密码哈希值 ****** service-type ssh telnet terminal https authorization-attribute user-role level-3 authorization-attribute user-role network-admin authorization-attribute user-role network-operator #
将密码那一行改为 “password simple admin” 后保存文件,然后通过web上传配置文件并应用,验证无问题后保存配置,重启防火墙即可。
文章评论
还好有快照,把文章找回来了,电脑上的数据库备份居然是一月份的 ==