安全網關Web密碼丟失的處理

■ 濰坊 代善國

編者按：筆者在工作中遇到網關設備Web管理帳號密碼丟失的問題，最終利用Putty登入操作系統，通過修改設備中密碼存放文件的方式做了修復。

對于網關或路由器等網絡設備來說，一般提供了兩種設置方式。一為命令行方式，多是利用串口或PuTTY等工具登入，然后使用Linux命令或廠家提供的相應操作命令對相應的網絡參數進行設置。

這種方式效率較高，但對相應Linux命令或廠家操作命令要求較高，多為專業網管人員使用。另一種較為直觀，雖然對設備的操控能力不及前者，但勝在操作簡單方便。

筆者在工作中遇到網關設備Web管理帳號密碼丟失，最終利用Putty登入操作系統，通過修改設備中密碼存放文件的方式做了修復。

具體思路為，首先在一臺正常設備上修改Web帳號密碼，然后利用Putty進入Linux系統，根據文件修改時間查找系統中剛修改過的文件，然后根據文件名對相關文件作用做簡單判斷，找出有可能存放Web帳號密碼的文件。接著用CAT命令查看相關文件內容，最終確定密碼存放文件。文件確定后，將故障設備接入，進入Linux系統后，使用VI命令修改相關文件中所存放的密碼字符號，最后將結果保存，設備重啟，完成相關操作。

具體步驟為：

1.將計算機與正常網關設備連接，并將相應網卡IP設置為同一網段。

2.在計算機上啟動putty,用root帳號密碼登錄系統。

3.使用Web方式登錄網關設備，將密碼更改為”a123456”,不做其他任何操作，直接保存退出。

4.在putty中使用“lscat”命令確定密碼存放文件。

5.將正常網關設備取下，接入需修改密碼網關設備。

6.使用CD命令進入相應文件存放文件夾。

7.使用CHMOD命令修改待修改文件權限。

8.使用vi命令修改相關內容。

9.保存修改退出。

10.重啟設備。

其中主要的操作步驟命令為：

“Ls -m -t”：此操作搜索顯示機器中所有最近修改過的文件，主要作用為根據修改時間，初步確定帳號密碼存放文件。

“Cat 文件名”：在上步操作初步確定有可能存放密碼的文件后，用此操作逐一查看各文件內容，以進一步判斷密碼文件。在筆者機器中，最終確定文件為/ssl/bin/Password.Box.config,而密碼修改時間及內容記錄文件為/ssl/bin/CF.config,同時系統在完成上述修改后將上述兩文件壓縮備存為/ssl/bin/ssl-vpn-tmpfsdata.tar.gz.根據修改時間，最終確定一旦修改WEB管理帳號與密碼，則系統需要修改的文件只有這三個。

“Chmod 777 ssl/bin/Password.Box.config”：此操作修改密碼存放文件操作權限，以便進行內容修改。

“Vi ssl/bin/Password.Box.config”：此 操 作 修改相應密碼存放文件，以直接修改密碼。進入后，按”I”鍵進入編輯狀態，將“亂 碼 ”的中間亂碼修改即可。需要注意，在筆者所修改的設備中，此操作中，亂碼生成機制不明，若直接刪除，重啟后將報錯，似乎證明系統對此安全性有檢測要求，不允許直接空密碼運行,所以在實際操作中，需事先在正常設備上記錄一簡單密碼字符串轉化后的亂碼值，以便替換修改。比如字符串“a123456” 對應的亂碼為“XJaAZxLufy8=”。修改完成后，按ESC退出編輯狀態，輸入”wq”保存退出vi。

類似的操作，修改時間記錄文件”ssl/bin/CF.config”,及 備 份 壓 縮文 件” /ssl/bin/ssl-vpntmpfs-data.tar.gz”。

至此密碼已更改為”a123456”,重啟網關設備后，即可正常使用。

回顧整個故障修復過程，思路較為簡單，就是直接修改密碼存放文件。其中最大難點在于如何找到密碼存放文件。因為網關或路由器設備的Web管理軟件大多是由不同廠家自主研發，其密碼存放文件各不相同，加密保護措施也不盡一致，所以如何準確找到需要修改的文件，是最大的困難。

筆者認為，這一點應該可以從時間上來考慮，因為不管如何加密保護，其最終修改時間是無法改變的，否則成本太高。也期待著各位同仁提出更好的解決方法。