安全网关Web密码丢失的处理

■ 潍坊 代善国

编者按：笔者在工作中遇到网关设备Web管理帐号密码丢失的问题，最终利用Putty登入操作系统，通过修改设备中密码存放文件的方式做了修复。

对于网关或路由器等网络设备来说，一般提供了两种设置方式。一为命令行方式，多是利用串口或PuTTY等工具登入，然后使用Linux命令或厂家提供的相应操作命令对相应的网络参数进行设置。

这种方式效率较高，但对相应Linux命令或厂家操作命令要求较高，多为专业网管人员使用。另一种较为直观，虽然对设备的操控能力不及前者，但胜在操作简单方便。

笔者在工作中遇到网关设备Web管理帐号密码丢失，最终利用Putty登入操作系统，通过修改设备中密码存放文件的方式做了修复。

具体思路为，首先在一台正常设备上修改Web帐号密码，然后利用Putty进入Linux系统，根据文件修改时间查找系统中刚修改过的文件，然后根据文件名对相关文件作用做简单判断，找出有可能存放Web帐号密码的文件。接着用CAT命令查看相关文件内容，最终确定密码存放文件。文件确定后，将故障设备接入，进入Linux系统后，使用VI命令修改相关文件中所存放的密码字符号，最后将结果保存，设备重启，完成相关操作。

具体步骤为：

1.将计算机与正常网关设备连接，并将相应网卡IP设置为同一网段。

2.在计算机上启动putty,用root帐号密码登录系统。

3.使用Web方式登录网关设备，将密码更改为”a123456”,不做其他任何操作，直接保存退出。

4.在putty中使用“lscat”命令确定密码存放文件。

5.将正常网关设备取下，接入需修改密码网关设备。

6.使用CD命令进入相应文件存放文件夹。

7.使用CHMOD命令修改待修改文件权限。

8.使用vi命令修改相关内容。

9.保存修改退出。

10.重启设备。

其中主要的操作步骤命令为：

“Ls -m -t”：此操作搜索显示机器中所有最近修改过的文件，主要作用为根据修改时间，初步确定帐号密码存放文件。

“Cat 文件名”：在上步操作初步确定有可能存放密码的文件后，用此操作逐一查看各文件内容，以进一步判断密码文件。在笔者机器中，最终确定文件为/ssl/bin/Password.Box.config,而密码修改时间及内容记录文件为/ssl/bin/CF.config,同时系统在完成上述修改后将上述两文件压缩备存为/ssl/bin/ssl-vpn-tmpfsdata.tar.gz.根据修改时间，最终确定一旦修改WEB管理帐号与密码，则系统需要修改的文件只有这三个。

“Chmod 777 ssl/bin/Password.Box.config”：此操作修改密码存放文件操作权限，以便进行内容修改。

“Vi ssl/bin/Password.Box.config”：此 操 作 修改相应密码存放文件，以直接修改密码。进入后，按”I”键进入编辑状态，将“乱 码 ”的中间乱码修改即可。需要注意，在笔者所修改的设备中，此操作中，乱码生成机制不明，若直接删除，重启后将报错，似乎证明系统对此安全性有检测要求，不允许直接空密码运行,所以在实际操作中，需事先在正常设备上记录一简单密码字符串转化后的乱码值，以便替换修改。比如字符串“a123456” 对应的乱码为“XJaAZxLufy8=”。修改完成后，按ESC退出编辑状态，输入”wq”保存退出vi。

类似的操作，修改时间记录文件”ssl/bin/CF.config”,及 备 份 压 缩文 件” /ssl/bin/ssl-vpntmpfs-data.tar.gz”。

至此密码已更改为”a123456”,重启网关设备后，即可正常使用。

回顾整个故障修复过程，思路较为简单，就是直接修改密码存放文件。其中最大难点在于如何找到密码存放文件。因为网关或路由器设备的Web管理软件大多是由不同厂家自主研发，其密码存放文件各不相同，加密保护措施也不尽一致，所以如何准确找到需要修改的文件，是最大的困难。

笔者认为，这一点应该可以从时间上来考虑，因为不管如何加密保护，其最终修改时间是无法改变的，否则成本太高。也期待着各位同仁提出更好的解决方法。