说说juniper router的系统管理

在UNIX世界里，root无所不能。同样，对于juniper os,BSD流派的系统来说，root帐号
是那么的重要，所以,还是从这里开始吧。
初始时，juniper router是没有密码的，
比如
login:root

terminal type? [vt100]

root@huajiejie>

输入帐号root,默认回车，你就是root了！

友情提醒一下，在JUNOS 5底下是不允许root通过SSH远程登陆的。

第一次登陆juniper router以后，赶紧设置控制台root登陆密码

step by step

root@huajiejie>configure
root@#edit system
[edit system]
root#set root-authentication plain-text-password
root#new password:ccxx.net
root#retype new password:ccxx.net

不用担心你输入的密码是不可见的。
junos使用MD5加密root和user帐号

root@huajiejie>show configuration
看到的root帐号是密文

设置好root帐号以后就可以进行帐号管理工作的，对于系统来说，仅仅有一个root
帐号是不明智的。使用root帐号一定要谨慎，最好是确认了以后再用root帐号登陆
设置管理等.

在[edit system]环境下使用命令
root#set longin user w00w00
添加帐号w00w00

设置用户密码

root#set login user authentication plain-text-password

输入密码，确认就ok了

还有一个安全等级的概念。在系统里分等级权限来管理是个好办法，比如你想一个用户
是只读状态，比如你想他可以配置某一类的命令 比如firewall snmp等
这都要使用等级权限分类进行管理

在juniper router里面
我们可以使用以下命令进行权限管理,juniper的权限分的很好
[edit system]状态下
root#set longin user w00w00 class superuser
class是语法，指定用户的等级权限
这是个predefined classes

其他的包括有

operator
read-noly
superuser
unauthorized

其中superuser的权限是all,无所不能....operator的权限只比readonly大那么一丁点
呵呵。

operator可以清ARP表，可以重起机器，可以ping和telnet,可以看一下输出命令
show的内容,但是始终不能看configuration :-)

操作工就是操作工啊,sigh....

w00w00
试图突破这些，假设他是operator的话
他面对的只有
>show configuration
version /*access-denied*/
system /access-denied/
interface /*access-denied*/

显然，这样的权限设置单调了些，也委屈了operator，关键的是，你要是想他帮你
实现一些任务的时候，他就力不从心了
所以，要自己定义一下权限等级，允许用户进行那么操作

在[edit system]底下

#set login class <clas-name> permissions <permissions>

比如

设置

#set login class provisioning permission [clear network reset trace view
configure interface-control]

那么,provisioning等级的兄弟似乎该开心多点了吧

然后

我们就可以设置用户的等级

#set login user w00w00 class provisioning

恩，我不想某人讨厌的使用一些命令

#set login class <class-name> deny-commands <regular-expression>

这样就可以去除等级中的某种权限

比如，我想你最关心是的是request system reboot吧，嘿嘿

#set class all-but-reboot all deny-commands "request system reboot"

all-but-root用户（假设在superuser等级）的reboot武功就给废了，可能是老板
透露给我他最近想辞工吧......

那想强行来都没办法

operation>request system reboot
syntax error,expecting <command>  :-P

当然，还可以设置idle时间，有时间发呆那就踢出去发呆个够好了

#set login class <class-name> idle-timeout <minutes>