www.uname.in

참고 URL : https://pve.proxmox.com/wiki/User_Management

# pveum user add <ID>@pve -comment "<ID>"

# pveum passwd <ID>@pve

# pveum group add admin -comment "System Administrators"

# pveum acl modify / -group admin -role Administrator

# pveum user modify <ID>@pve -group admin

원문출처 : https://www.vinchin.com/vm-backup/export-import-proxmox-vm.html

목차

• Proxmox에서 VM 내보내기 및 가져오기의 이점
• Proxmox VM을 내보내고 가져오는 방법은 무엇입니까?
• Vinchin을 사용하여 Proxmox VM을 백업하고 복원하는 방법은 무엇입니까?
• Proxmox 내보내기 및 가져오기 FAQ
• 결론

강력한 VM 백업 솔루션을 찾고 계십니까? Vinchin 백업 및 복구를 사용해 보세요 !↘ 무료 평가판 다운로드

Proxmox 에서 가상 머신 내보내기 및 가져오기는 가상화된 환경을 관리하는 주요 작업 중 하나입니다. VM을 백업하든, 다른 노드로 마이그레이션하든, VM 이미지를 공유하든 관계없이 내보내기 및 가져오기 작업을 올바르게 수행하는 것이 중요합니다.

Proxmox에서 VM 내보내기 및 가져오기의 이점

Proxmox에서 VM 내보내기 및 가져오기를 수행할 때 얻을 수 있는 네 가지 주요 이점은 다음과 같습니다.

유연성:  Proxmox는 서로 다른 Proxmox 호스트 간에 가상 머신을 쉽게 마이그레이션할 수 있도록 하여 뛰어난 유연성을 제공합니다. 필요에 따라 VM 리소스를 재할당하고 관리할 수 있습니다.

단순성:  Proxmox는 직관적인 사용자 인터페이스와 명령줄 도구를 제공하므로 Proxmox VM 내보내기 및 가져오기 작업을 쉽게 사용할 수 있습니다. 하나의 Proxmox 환경에서 다른 환경으로 VM을 쉽게 내보내고 내보낸 VM 파일에서 VM을 빠르게 가져올 수 있습니다.

데이터 보안:  Proxmox VM을 내보내면 안정적인 백업을 생성하여 VM의 중요한 데이터를 효과적으로 보호할 수 있습니다. 필요한 경우 Proxmox VM 가져오기 작업을 통해 빠르고 제어된 복구가 가능합니다.

노드 마이그레이션 및 부하 분산:  Proxmox VM을 내보내면 Proxmox 클러스터의 노드를 쉽게 마이그레이션할 수 있습니다. 이는 로드 밸런싱, 리소스 최적화, 유지 관리 및 업그레이드에 유용합니다. 더 나은 리소스 할당 및 관리를 위해 필요한 경우 Proxmox VM을 다른 노드로 내보내고 Proxmox VM을 대상 노드로 가져올 수 있습니다.

Proxmox VM을 내보내고 가져오는 방법은 무엇입니까?

WinSCP는 Proxmox Virtual Environment  (Proxmox VE)  에서 가상 머신을 내보내고 가져오는 프로세스를 단순화하는 강력한 그래픽 파일 전송 도구입니다 . 전체 프로세스에는 Proxmox VM 백업, 나중에 사용하기 위해 VM 백업 내보내기, 필요할 때 VM 가져오기가 포함됩니다.

자세한 단계는 다음과 같습니다.

가상 머신 백업

1. VM 선택 >  백업 클릭 > 지금 백업 누르기

2. 백업 디자인 > 백업 클릭

TASK OK가  나타나면  백업 작업이 완료된 것입니다.

WinSCP를 사용하여 백업 다운로드

1. WinSCP를 두 번 클릭하고   팝업 페이지에  호스트 이름 , 사용자 이름 , 비밀번호를 입력하고 > 로그인을 클릭합니다.

2. 원격 디렉터리를 백업 디렉터리로 전환합니다(로컬 저장소의 백업 디렉터리는 /var/lib/vz/dump 입니다 ) > VM 백업 파일 찾기 > 마우스 오른쪽 버튼을 클릭하여 다운로드

 3. vma 백업 파일을 로컬 디렉터리에 다운로드하고 확인을 누르세요.

 

백업 업로드

1. 새 탭을 클릭  하고 위의 로그인 단계를 반복하여 다른 노드에 로그인합니다.

 2. 로컬 디렉터리를 방금 다운로드하고 백업한 디렉터리로 전환하고 > VM을 마우스 오른쪽 버튼으로 클릭한 후 > 업로드를 선택합니다.

 3. 업로드 경로를 입력하십시오:  /var/lib/vz/dump/ . (로컬 저장소의 백업 디렉토리는: /var/lib/vz/dump )> 확인을 클릭하십시오.

 

WinSCP에서 백업이 성공적으로 업로드되었음을 확인할 수 있습니다.

 가상 머신 복구

1. Proxmox VE에서 다른 노드에 로그인 > 적절한 업로드 저장소로 전환(로컬)

2. 방금 업로드한 vma 백업 파일 선택 > 복원 클릭 ​​> 관련 복원 매개변수 구성 >  복원 버튼 누르기

여기에서 복구가 성공적으로 완료되었음을 확인할 수 있습니다. 

Vinchin을 사용하여 Proxmox VM을 백업하고 복원하는 방법은 무엇입니까?

WinSCP를 사용하여 Proxmox VM을 가져오고 내보내는 것은 간단한 방법입니다. 그러나 업무상 중요한 환경에서는 데이터 무결성과 신뢰성을 보장하기 위해 전문적인 백업 솔루션을 권장합니다.

데이터 백업 솔루션이 필요하든 가상 머신 마이그레이션 솔루션이 필요하든 Vinchin Backup & Recovery  는 이상적인 선택입니다. 전문적인 백업 및 마이그레이션 솔루션으로서 Proxmox, VMware, Hyper-V, XenServer, XCP-ng, oVirt, RHV 및 기타 VM 플랫폼을 포함한 광범위한 가상 환경에 널리 적용 가능합니다.

에이전트 없는 백업 기술, 즉각적인 복구 및 V2V 마이그레이션  지원을 통해 Vinchin Backup & Recovery는 가상화된 환경에서 중요한 데이터를 포괄적으로 보호하고 효율적으로 관리하는 데 전념하고 있습니다.

Vinchin Backup & Recovery의 작동은 몇 가지 간단한 단계만으로 매우 간단합니다. 

Vinchin Backup & Recovery에서 VM을 백업하려면

1. 호스트에서 VM을 선택하기만 하면 됩니다.

2.그런 다음 백업 대상을 선택합니다. 

3.전략 선택

4.마지막으로 작업을 제출합니다.

Vinchin Backup & Recovery에서 VM을 복원하려면

1. 복원 지점 선택

2. 복원 대상 선택

3. 복원 전략 선택

4. 마지막으로 작업을 제출합니다.

위의 단계 중 하나라도 확실하지 않은 경우 Proxmox VM을 백업  하고 대상 호스트에서 VM을 복원하는 방법을 보여주는 비디오 자습서가 있습니다 . 또한 Vinchin은 사용자가 실제 환경에서 백업 및 마이그레이션 기능을 완벽하게 경험할 수 있도록  60일 무료 평가판을  제공합니다. 자세한 내용은 Vinchin에  직접 문의하거나  현지 파트너에게 문의 하세요 .

Proxmox 내보내기 및 가져오기 FAQ

1. 가상 머신을 다른 형식으로 내보낼 수 있나요?

A: 예, 다양한 가상화 플랫폼은 다양한 내보내기 형식을 지원합니다. 일반적인 형식에는 OVF(개방형 가상화 형식) 및 VMDK(VMware 가상 디스크 형식)가 있습니다. 가져오려는 대상 플랫폼에 따라 적절한 내보내기 형식을 선택할 수 있습니다.

2. 가져오고 내보낸 가상 머신이 다른 가상화 플랫폼과 호환됩니까?

A: 가상 머신 가져오기 및 내보내기는 일반적으로 가상화 플랫폼에 따라 다릅니다. 다양한 가상화 플랫폼은 다양한 VM 구성과 디스크 형식을 사용합니다. 따라서 한 플랫폼에서 다른 플랫폼으로 VM을 직접 가져오려면 형식 변환이나 기타 호환성 조정이 필요할 수 있습니다.

무료 평가판 다운로드다중 하이퍼바이저의 경우 ↖

* 무료 보안 다운로드

결론

Proxmox에서 가상 머신 내보내기 및 가져오기를 이해하는 것은 가상화된 환경을 효과적으로 관리하는 데 중요합니다. WinSCP는 중요한 비즈니스 요구 사항에 있어 작동 용이성을 제공하는 반면, Vinchin 백업 및 복구는 데이터 무결성과 신뢰성을 보장하는 전문가급 솔루션을 제공합니다.

원문출처 : https://ploz.tistory.com/entry/proxmox-%EB%8B%A4%EB%A5%B8-%EC%84%9C%EB%B2%84%EB%A1%9C-VM-migration%EC%9D%B4%EC%A0%84%ED%95%98%EA%B8%B0

Cluster 되어 있지 않거나 PBS(proxmox backup server)를 통하지 않고 vzdump & qmrestore 를 이용하여 다른 proxmox 서버로 VM을 이전한다.

vm dump

GUI 상에 Backup을 사용하여 dump를 뜨거나 CLI상에서 dump를 뜰 수 있다.

방식은 동일 하므로 GUI에서 Backup 하는 방법으로 진행한다.

VM - Backup - Backup now

Backup이 진행 될 때 상태창에 JOB 명령어와 저장되는 위치를 확인 할 수 있다.

dump 파일 복사

'/var/lib/vz/dump/vzdump-qemu-103-2023_04_25-17_21_32.vma.zst' 경로에 파일을 이전하고자 하는 서버에 복사한다.

위치는 아무곳이나 상관없다.

scp vzdump-qemu-103-2023_04_25-17_21_32.vma.zst root@<another proxmox ip>:<path/to/directory>

vm dump restore

이전하고자 하는 proxmox 에 사용하지 않는 VM ID 로 restore 한다.

주의. 스토리지 경로가 다르다면 옵션을 이용하여 스토리지를 지정하여 준다.

qmrestore vzdump-qemu-103-2023_04_25-17_21_32.vma.zst <VM ID> -- storage <storege ID>

restore 가 완료 된 후 'vzdump-qemu-103-2023_04_25-17_21_32.vma.zst' 파일은 삭제해도 된다.

원문출처 : https://blog.dalso.org/article/proxmox-cluster-not-ready-no-quorum-%ED%95%B4%EA%B2%B0%ED%95%98%EA%B8%B0

이번글은 Proxmox에서 Cluster를 이용한 환경구성에서 Node 한개가 꺼져있을때 아래와같이 발생하는 문제 해결방법입니다.

Proxmox에서는 node수에 따라서 아래처럼 vote수와 quorum이 존재하는데요.

quorum은 분산시스템. 즉, 클러스터에서 작업을 수행하기위해 분산트랜잭션이 획득해야하는 최소 투표수를 의미합니다.

그러니까 Proxmox에서 Cluster에 Node 2대가 있다면 이 quorum도 당연히 2가 설정되어 두 노드가 온라인 상태여야만 명령을 내릴수있다는게 됩니다.

근데 저의 환경에서는 굳이 Sub Proxmox를 24시간 온라인 상태로 켜놓을 이유가 없습니다.. 전기세만 들어가지..

해결방법

구글링해보니 해당 Qourum을 1로 설정하는방법이 있더군요.!

이렇게 설정을하게되면 Node가 하나만 켜있더라도 정상적으로 명령을 실행할 수 있습니다.

Proxmox 의 쉘로 진입해서 아래와같이 명령어를 입력해줍니다.

pvecm expected 1

명령 후 pvecm status 로 확인해보면 quorum이 1로 바뀐걸 확인하실 수 있고 

vm 실행/종료 등과 같이 모든 명령이 잘 작동하는걸 확인하실 수 있습니다.

원문출처 : https://it-svr.com/proxmox-ve-node-to-node-migration/

ZFS 관련 글을 쓰려다가.. 앞서 클러스터를 미리 만들어놨기때문에 이어서 노드에서 노드간에 VM 이전 / 복제를 한번 진행해보려고 합니다.

클러스터 구성을 위해 ESXi 밑에 테스트서버로 구성한 Proxmox Node 2대이기때문에 중첩가상화로 VM생성은 하지않고 LXC Container를 통해서 에제를 진행해보겠습니다.

사전 준비사항

Proxmox Cluster 구성(Node 1,2)

LXC 컨테이너 생성

노드간 VM(LXC) 이전하기.

먼저 가장중요한점은 노드간 VM/LXC 이전의 경우 라이브로 이전이 불가능합니다.(공식포럼에서도 데이터 무결성을 위해 반드시 정지 후 이전을 강조합니다.)

혹 무중단으로 이전해야된다고한다면 복제 -> 이전 과정으로 복제됐을때의 기록으로 무중단 이전이 가능하긴 합니다.(혹은 스냅샷 백업 후 복구)
물론 이경우에는 복제 후 쌓이는 데이터에 대해서 약간의 데이터 손실이 있을 수 있습니다.

이전방법은 매우 쉽습니다.

운영중인 VM/LXC 컨테이너를 중지시키고 우클릭 후 이전을 눌러주시면 자연스럽게 해당 컨테이너가 종료되고 노드간 이전이 완료되면 자동으로 그 노드에서 컨테이너가 바로 실행됩니다.

소스노드와 대상노드 확인

자동으로 다시시작되기 때문에 따로 해줄건없습니다 ㅎㅎ
마찬가지로 백업 복구도 가능하기때문에
여러대의 서버를 운영중이라면 아주 유용하게 사용할수있을듯합니다.

백업 복구 응용하면 이렇게 무중단으로도 이전가능합니다

원문출처 : https://it-svr.com/proxmox-qemu-agent-install/

ESXi에서 Proxmox 로 넘어오신분들이라면 아마 VM-Tools에 대해서 많이들어보셨을거라 생각합니다.

기본적으로 가상머신을 좀더 효율적으로 사용할 수 있게 도와주는 툴인데요. 이를통해서 Host 와 Guest 간에 여러가지 기능들을 할 수 있도록 지원해줍니다.(ACPI,Monitoring 등등)

qemu-guest-agent란?

qemu-guest-agent는 게스트에 설치되는 도우미 데몬입니다. 호스트와 게스트 간에 정보를 교환하고 게스트에서 명령을 실행하는 데 사용됩니다.

Proxmox VE에서 qemu-guest-agent는 주로 두 가지 용도로 사용됩니다.

1. ACPI 명령이나 Windows 정책에 의존하는 대신 게스트를 올바르게 종료하려면
2. 백업을 만들 때 게스트 파일 시스템을 고정하려면(Windows의 경우 볼륨 섀도 복사본 서비스 VSS 사용)

설치방법은 OS별로 상이하나 Ubuntu 기준으로 말씀드리겠습니다.

먼저 Guest에서 QEMU Agent를 사용할수있도록 옵션에서 활성화시켜주세요!

VM -> 옵션 -> QEMU GuestAgent를 사용설정.

그리고 플랫폼에 따라 설정을 진행합니다.

Ubuntu의 경우 apt-get install qemu-guest-agent

Redhat 계열 OS의 경우 yum install qemu-guest-agent

입니다. 윈도우는 맨아래 출처에서 드라이버를 다운로드받고설치해주셔야합니다.

설치후에는 agent를 실행시켜주시면 자동으로 인식합니다.

systemctl start qemu-guest-agent

다시 VM 대시보드를 확인해보면 아래처럼 안보이던 ip도 보이고 시스템 종료를 눌렀을때 안정적으로 시스템이 종료됩니다.

종료도 잘됩니다.

원문출처 : https://it-svr.com/proxmox-cluster-node/

이번에는 Proxmox의 핵심기능중 하나인 Cluster입니다.
ESXi에서 vMotion으로 할수있는  데이터센터에서 데이터센터로 노드간 VM이동등 서버여러대의 관리부터 각종 기능까지 사용할 수 있는 좋은 기능입니다.

Proxmox Cluster란?

pvecm 를 사용하여 새 클러스터를 만들고, 노드를 클러스터에 가입하고, 클러스터를 떠나고, 상태 정보를 얻고, 기타 다양한 클러스터 관련 작업을 수행할 수 있습니다. Proxmo x C 클러스터 파일 시스템 ( " pmxcfs ")은 클러스터 구성을 모든 클러스터 노드에 투명하게 배포하는 데 사용됩니다.

노드를 클러스터로 그룹화하면 다음과 같은 이점이 있습니다.

중앙 집중식 웹 기반 관리
다중 마스터 클러스터: 각 노드가 모든 관리 작업을 수행할 수 있습니다.
corosync 를 사용하여 모든 노드에서 실시간으로 복제되는 구성 파일 저장을 위한 데이터베이스 기반 파일 시스템인 pmxcfs 사용
물리적 호스트 간에 가상 머신 및 컨테이너의 손쉬운 마이그레이션
빠른 배포
방화벽 및 HA와 같은 클러스터 전체 서비스

쉽게말해 여러 서버를 웹 사이트에 하나로 통합하여 관리할 수 있다는 뜻입니다.
단순히 서버의 상태만 볼수있는게 아닌 각 VM의 가상머신 LXC 컨테이너등의 생성/삭제 등등 모두 가능합니다

가장 핵심기능은 노드간 가상 머신 및 컨테이너의 복제입니다.
노드1에서 사용하다가 노드2로 옮길 수 있고 뭐 그런거죠 ㅎㅎ

여기서는 간단하게 Proxmox에서 클러스터를 만들고 노드를 가입시켜보겠습니다.

테스트환경

Proxmox 7.1-7 2대

Cluster 생성하기

클러스터 생성은 매우 간단합니다.

이렇게 클릭 두번으로 클러스터 생성은 끝납니다 ㅎㅎ

클러스터 가입하기

이제 만든 클러스터의 가입정보를 눌러주세요.
클러스터의 가입정보를 가지고 노드의 클러스터 가입이 가능합니다.

이제 가입하고자 하는 노드에서 클러스터 가입을 누른뒤에 위 정보를 복붙해주면

아래처럼 피어주소가 나오며 연결하는 노드의 PW를 입력 후 가입을 누르면 클러스터 가입이 됩니다.
*주의할점은 가입하는 노드에 VM이 있으면 가입이 불가능합니다.

쉽게 클러스터가 연결되는걸 확인하실수있습니다.

원문출처 : https://babo-it.tistory.com/89

Proxmox에서 클러스터 제거는 웹에서 불가합니다. 버튼 역시 찾아 볼수 없습니다. 다른 하나는 제가 못찾은 거 일 수도 있습니다. 하지만 일단 찾지 못하였으니. 명령어로 제거 하는 방법을 행하여 보도록 하겠습니다.

아래 명령어로 proxmox의 클러스터 정보를 확인 할 수 있습니다.

pvecm status

노드 정보를 확인 했으면 아래와 같이 노드를 보겠습니다.

이중 우리는 4번째 노드를 제거 할 것입니다.

root@empathize:~# pvecm nodes

Membership information
----------------------
    Nodeid      Votes Name
         1          1 empathize (local)
         2          1 empathize2
         3          1 empathize3
         4          1 empathize4

제거 명령어는 아래와 같습니다.

4번째 노드는 제거 되었습니다. 이제 확인을 해봐야 겠죠

root@empathize:~# pvecm delnode empathize4
Killing node 4

root@empathize:~# pvecm nodes

Membership information
----------------------
    Nodeid      Votes Name
         1          1 empathize (local)
         2          1 empathize2
         3          1 empathize3

제거된 화면

지금까지 proxmox에서의 노드 제거 방법에 대해 알아 봤습니다.

여기서 알아야 할 명령어는 몇개 되지 않습니다.

• 클러스터의 상태 정보 : pvecm status
• 클러스터 노드 : pvecm nodes
• 클러스터에서 노드 제거 : pvecm delnode [노드명]

proxmox 사용하시는 분들에게 유용한 자료가 되었으면 합니다.

그리고 전체 클러스터 삭제에대해서도  잠시 알고 넘어 가도록 하겠습니다.

systemctl stop pve-cluster corosync
pmxcfs -l
rm /etc/corosync/*
rm /etc/pve/corosync.conf
killall pmxcfs
systemctl start pve-cluster

위와 같이 해 주시면 전체 클러스터가 삭제 될 것입니다.

원문출처 : https://babo-it.tistory.com/88

클러스터 연결은 상당히 쉽습니다. 웹에서 연결을 하는 방법에 대해서 알아 보겠습니다. 우선 먼저 아래와 같은 경로로 찾아 들어갑니다.

Datacenter > Cluster > Create Cluster

아래와 같이 클러스터 연결을 만들어 볼 수 있습니다. 만들고 나면 이제 다른 Nodes를 연결해 주면 됩니다.

이제 그럼 다른 노드에서 어떻게 붙여야 하는지 보겠습니다.

저는 4개의 노드를 사용한다고 지난번에 한번 이야 했던 적이있습니다. 3개는 이미 클러드터로 연결되었고 1대만 남겨둔 상황이였는데요

그럼 이 한대 마저도 클러스터 연결을 하겠습니다. Datacenter > Cluster > Join Information 을 눌러주면 아래와 같은 화면이 나옵니다. 

그리고 Copy Informaiton을 해줍니다. 그런 이후 신규로 추가해줄 노드로 돌아 갑니다.

DataCenter > Cluster > Join Cluster 로 가서 아까 복사해준 Cluster Information 을 아래와 같이 붙여 넣어 연결해 줍니다.

cluster 명은 empathize로 하였습니다 해당 클러스터에 연결해주기를 누르면 끝납니다.

아래와 같이 3개의 node에서 4개의 node로 변경 된 것을 확인 할 수 있습니다.

추가 전

추가 후

클러스터 추가는 글로 쓰니 조금 복잡해 보이는데 한두번 해보면 아주 쉽게 하실 수 있습니다.

하지만 클러스터를 제거 하려면 웹에서 제가가 불가능 합니다.

원문출처 : https://it-svr.com/proxmox-backup-server-nfs-datastore/

과정이 꽤나 복잡하나 잘 따라만 하신다면 크게 어려움없이 설정하실 수 있을거라 생각합니다.

시놀로지/헤놀로지에서 NFS 저장소 만들기

먼저 사용하고 계신 시놀/헤놀에서 NFS 저장소를 만들어주세요.

공유폴더를 만들고 NFS 접근권한셋팅을해주겠습니다.

생성한 공유폴더에 편집 -> NFS 권한 -> PBS 서버의 ip를 입력해주고 설정합니다.

그리고 아래 NFS 마운트 경로를 미리 확인해주세요.

이제 PBS에서 해당 NFS를 마운트하겠습니다.

PBS에서 NFS 마운트하기

먼저 shell로 이동한뒤 기본패키지를 설치해줍니다.

기본적으로 패키지가 설치되어있긴하나 이왕이면 최신버전으로 ㅎㅎ

그리고 아래 과정들을 통해 마운트할 디렉터리를 만들고 NFS를 마운트해주세요.
*volume2 이하 경로는 개인마다 다릅니다.

mkdir -p /data/PBS_NFS
chown backup:backup /data/PBS_NFS
chmod 775 /data/PBS_NFS
mount 192.168.1.30:/volume2/Proxmox_PBS /data/PBS_NFS
touch /data/PBS_NFS/test.txt

시놀/헤놀에서도 아래처럼 test.txt 파일이 생성된걸 확인하실 수 있습니다.

이제 재부팅시에도 NFS가 자동으로 마운트 되도록  아래 명령어로 fstab에 추가설정을진행해줍니다.

echo "192.168.1.30:/volume2/Proxmox_PBS /data/PBS_NFS nfs defaults 0 0" >> /etc/fstab

PBS에 NFS 데이터 저장소 추가하기

PBS 메인 UI로 가서 데이터스토어 추가를 해주신뒤 아래처럼 내용을 작성해줍니다.

Backing Path 는 마운트된 경로입니다.

이렇게 데이터스토어를 생성해도 아래처럼 Permission deined가 나오신다면 chmod 755로 NFS쪽 권한부여를 추가로해주시면됩니다

사용자계정을만들어서 권한부여를 진행하겠습니다.

구성 -> 접근관리 -> 사용자 관리 -> 추가 -> 계정 추가.

계정이 생성되었으니 이제 권한부여를 진행하겠습니다.

이제 Proxmox Backup Server를 Proxmox VE 에 추가할수있도록 셋팅해보겠습니다.

미리 쉘에서 아래 명령어를 통해 인증서의 Fingerprint값을 미리 복사해주세요.

proxmox-backup-manager cert info | grep Fingerprint

Proxmox VE에 PBS 서버 추가하기

아래처럼 내용을 잘 추가해주세요.

요렇게 잘 보이시면됩니다!

백업은 항상그렇듯 VM에서 데이터스토어만 지정해주시면 잘됩니다.

증분백업도 잘되는군요 ㅎㅎ

참조 : https://crepaldi.us/2021/03/07/how-to-setup-nfs-on-synology-nas-for-proxmox-backup-server-to-use-as-datastore/

Proxmox를 처음 설치하고나서 네트워크 설정을 해줘야 정상적으로 작동한다

/etc/resolv.conf

domain skbroadband //skbroadband를 사용하고있기에 이렇게 적어주는 것
search skbroadband
nameserver [해당통신사의 DNS주소]

/etc/network/interfaces

auto lo
iface lo inet loopback

iface [인터페이스 이름] inet manual

auto [가상 인터페이스 이름]
iface [가상 인터페이스 이름] inet dhcp //dhcp로 설정할것
	bridge-ports [인터페이스 이름]
    bridge-stp off
    bridge-fd 0

라즈베리파이 업데이트

$ sudo apt update
기존:1 http://deb.debian.org/debian bullseye InRelease
기존:2 http://deb.debian.org/debian bullseye-updates InRelease
받기:3 http://security.debian.org/debian-security bullseye-security InRelease [48.4 kB]
기존:4 https://downloads.plex.tv/repo/deb public InRelease
무시:5 https://repo.vivaldi.com/stable/deb stable InRelease
기존:6 https://repo.vivaldi.com/stable/deb stable Release
기존:7 http://archive.raspberrypi.org/debian bullseye InRelease
내려받기 48.4 k바이트, 소요시간 2초 (21.4 k바이트/초)
패키지 목록을 읽는 중입니다... 완료
의존성 트리를 만드는 중입니다... 완료
상태 정보를 읽는 중입니다... 완료        
All packages are up to date.

$ sudo apt full-upgrade
패키지 목록을 읽는 중입니다... 완료
의존성 트리를 만드는 중입니다... 완료
상태 정보를 읽는 중입니다... 완료        
업그레이드를 계산하는 중입니다... 완료
0개 업그레이드, 0개 새로 설치, 0개 제거 및 0개 업그레이드 안 함.

라즈베리파이 펌웨어 업데이트

$ sudo rpi-update
 *** Raspberry Pi firmware updater by Hexxeh, enhanced by AndrewS and Dom
 *** Performing self-update
 *** Relaunching after update
 *** Raspberry Pi firmware updater by Hexxeh, enhanced by AndrewS and Dom
 *** We're running for the first time
 *** Backing up files (this will take a few minutes)
 *** Backing up firmware
 *** Backing up modules 6.1.21-v8+
#############################################################
WARNING: This update bumps to rpi-6.1.y linux tree
See: https://forums.raspberrypi.com/viewtopic.php?t=344246

'rpi-update' should only be used if there is a specific
reason to do so - for example, a request by a Raspberry Pi
engineer or if you want to help the testing effort
and are comfortable with restoring if there are regressions.

DO NOT use 'rpi-update' as part of a regular update process.
##############################################################
Would you like to proceed? (y/N)

 *** Downloading specific firmware revision (this will take a few minutes)
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
  0     0    0     0    0     0      0      0 --:--:-  0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--     0
  0     0    0     0    0     0      0      0 --:--:-100 8860k    0 8860k    0     0  7162k      0 --:--:-100 28.3M    0 28.3M    0     0  12.6M      0 --:--:-100 51.8M    0 51.8M    0     0  16.0M      0 --:--:-100 74.1M    0 74.1M    0     0  17.4M      0 --:--:-100 93.8M    0 93.8M    0     0  17.9M      0 --:--:-100  116M    0  116M    0     0  18.7M      0 --:--:-100  128M    0  128M    0     0  17.2M      0 --:--:-100  136M    0  136M    0     0  16.5M      0 --:--:-100  144M    0  144M    0     0  16.1M      0 --:--:--  0:00:08 --:--:-- 14.9M
 *** Updating firmware
 *** Updating kernel modules
 *** depmod 6.1.54+
 *** depmod 6.1.54-v8_16k+
 *** depmod 6.1.54-v8+
 *** depmod 6.1.54-v7+
 *** depmod 6.1.54-v7l+
 *** Updating VideoCore libraries
 *** Using SoftFP libraries
 *** Updating SDK
 *** Running ldconfig
 *** Storing current firmware revision
 *** Deleting downloaded files
 *** Syncing changes to disk
 *** If no errors appeared, your firmware was successfully updated to cac01bed1224743104cb2a4103605f269f207b1a
 *** A reboot is needed to activate the new firmware

최신 부트로더 설치

$ sudo rpi-eeprom-update -d -a
*** INSTALLING EEPROM UPDATES ***

BOOTLOADER: update available
   CURRENT: 2020. 09. 03. (목) 12:11:43 UTC (1599135103)
    LATEST: 2023. 01. 11. (수) 17:40:52 UTC (1673458852)
   RELEASE: default (/lib/firmware/raspberrypi/bootloader/default)
            Use raspi-config to change the release.

  VL805_FW: Dedicated VL805 EEPROM
     VL805: up to date
   CURRENT: 000138c0
    LATEST: 000138c0
   CURRENT: 2020. 09. 03. (목) 12:11:43 UTC (1599135103)
    UPDATE: 2023. 01. 11. (수) 17:40:52 UTC (1673458852)
    BOOTFS: /boot
Using recovery.bin for EEPROM update

EEPROM updates pending. Please reboot to apply the update.
To cancel a pending update run "sudo rpi-eeprom-update -r".

라즈베리파이 재부팅

$ sudo reboot

How to set or change the MAC addresses associated with a FortiGate interface

Description
The following instructions can be used to set or change the MAC address associated with a FortiGate interface:
 
Set the MAC Address on the Interface

Execute the commands:

FGT# config sys int
FGT# edit <interface>
FGT# set macaddr <MAC address>
FGT# end

Restart the routing engine on the FortiGate.

FGT# exec router restart

<아래는 설정된 MAC 확인 명령어>

FGT# diagnose hardware deviceinfo nic wan1 | grep HW
Current_HWaddr           90:6c:ac:4c:d4:da
Permanent_HWaddr           90:6c:ac:4c:d4:da

원문출처 : https://ebt-forti.tistory.com/396

VIP 설정에서 "Optional Filter"에 "Service" 설정이 있다.

위와 같이 설정한 경우, 외부에서 [192.168.170.55:8000], [192.168.170.55:8008], [192.168.170.55:8080]으로 접속하면 내부의 [192.168.11.110:80]으로 전달한다.

만약 아래 처럼 "Port Forwarding" 설정이 없다면 다음과 같이 전달된다. (단. 방화벽 정책에 해당  port에 대한 허용 정책은 필요하다)

[192.168.170.55:8000] → [192.168.11.110:8000]

[192.168.170.55:8008] → [192.168.11.110:8008] 

[192.168.170.55:8080] → [192.168.11.110:8080]

단, "Service" 항목에서 설정한 port외의 다른 port로 접근하면 VIP는 동작하지 않는다. 

원문출처 : https://ebt-forti.tistory.com/426

WebFIlter 프로파일에서 사용자가 직접 설정할 수 있는 Static URL Filter 기능을 이용하여 Youtube를 차단하는 방법 이다. 

브라우저 캐시로 우회하거나 검색 엔진을 통해 YouTube 동영상을 검색하는 것을 피하기 위해 아래의 두 URL을 regex 방식으로 추가해야 한다.

".*googlevideo.*" 

".*youtube.*"

YouTube 웹사이트는 계속 접속가능하더라도, 동영상이 플레이 되지 않는다.

Google 크롬 브라우저의 경우 아래의 링크를 참조하여 QUIC를 차단해야 한다.

https://ebt-forti.tistory.com/57

Youtube가 차단되면 webfilter 로그에서 확인 가능하다.

원문출처 : https://ebt-forti.tistory.com/489

FortiGate가 FortiToken 발급이나 alert email 또는 Automation Stitch 기능을 이용하여 메일을 보낼때 default로는 FortiNet의 "notification.fortinet.net" 메일서버를 이용하여 보낸다.

가끔 "notification.fortinet.net" 메일 서버를 스팸으로 판단하여 수신하지 못하는 경우가 있다.

이를 경우, 다른 메일서버를 이용하여 메일을 보낼 수 있도록 메일서버를 변경할수 있는데 gmail로 변경하는 방법이다.

FortiGate가 메일을 보내기 위해 Gmail에 접속할때 보안이 낮게 설정되어 있어 접속이 불가능 하기 때문에 메일을 보낼수 없다. 

보내고자 하는 Gmail 계정을 '앱 비밀번호'를 사용하도록 수정하여야한다. 이렇게 하기위해서는 먼저 Gmail 계정에 2-factor 인증을 사용해야만 한다.

1. 먼저 GMail에 로그인해서, 아래 링크를 통해 "보안 > 앱 비밀번호" 를 접속한다.

    https://myaccount.google.com/security

2.  앱은 "메일"을 선택하고, 기기는 아래와 같이 선택한다.

3. 앱에서 사용할 16자리 비밀번호를 표시하는데, FortiGate설정에서 사용할것이기 때문에 꼭 기억해 놓아야 한다.

4. FortiGate의 System > Setting 메뉴에서 메일서버를 Gmail로 설정한다. 이때 사용자의 비밀번호를 위에서 받은 16자리 앱 비밀번호를 사용한다.

위와 같이 설정하면 FortiGate가 Gmail을 통해 FortiToken 발급이나 alert email 또는 Automation Stitch  메일을 보낼수 있다.

원문출처 : https://ebt-forti.tistory.com/491

FortiGuard 라이선스가 만료된 경우, FortiGate의 각 기능별 동작 가능 여부이다.

• Firewall : 라이선스가 만료 되더라도 방화벽 기능은 정상 동작한다.
• HA : HA 기능도 라이선스와 상관없이 여전히 동작한다.
• AntiVirus(AV) : 바이러스 탐지 기능은 여전히 동작하지만, 라이선스가 만료되면 신규 바이러스에 대한 대응 시그니처의 업데이트가 불가능하다.
• Anti-Malware :  Anti-Malware 엔진은 정상 동작하지만, 새로운 시그니처의 업데이트는 불가능하다.
• IPS : 침입 탐지 기능은 정상적으로 동작하지만, 새로운 시그니처 업데이트는 불가능하다.
• Application Control : Application Control 기능은 정상적으로 동작하지만, 새로운 Application 및 새로운 버전의 Application에 대한 시그니처 업데이트는 불가능하다.
• VPN : IPsec VPN, SSLVPN 기능 모두 정상 동작한다.
• Web Filtering : Web Filtering 엔진은 여전히 동작하지만, FortiGuard로부터 Query에 대한 응답을 받지 못하기 때문에 raiting 에러로 web 접속이 불가능할 수 있다. FortiGuard로 Query 하지 않는 Static URL Filter 같은 기능은 라이런스가 만료되어도 여전히 사용 가능하다.
• DNS Filtering : Web Filter와 동일하게 FortiGuard로 query가 불가능하다. 사용자 지정 기능은 사용 가능하다.
• SD-WAN : 라이선스와 상관없이 정상 동작한다.
• Advanced Routing : 라이선스와 상관없이 정상 동작한다.
• QoS & Traffic Shaping : 라이선스와 상관없이 정상 동작한다.
• Explicit proxy & WAN Optimization : 라이선스와 상관없이 정상 동작한다.

원문출처 : https://ebt-forti.tistory.com/490

Troubleshoooting 등 필요에 의해 모든 방화벽 정책(policy)과 address, VIP를 CLI 명령어를 이용하여 한꺼번에 삭제하는 방법이다.

삭제할시 다른곳에서 참조(사용)되고 있는 경우 해당 object 를 삭제할 수 없다.

따라서 policy를 먼저 삭제하고, 이후 address 나 vip를 삭제한다.

◼  방화벽 policy 삭제

    삭제하면 아래와 같이 'Implicit Deny' 정책을 제외한 모든 정책이 삭제 된다. 

◼  방화벽 address 삭제 : 다른곳(route 등)에서 참조(사용)되는 address를 제외하고, 사용자가 생성한 모든 address는 삭제된다.

     FortiGate가 Facrory default 상태의 주소는 여전히 존재 한다.

◼  방화벽 VIP 삭제 

원문출처 : https://ebt-forti.tistory.com/520

SSLVPN 접속용 port와 장비를 관리하기위한 https port를 동일하게 사용하게 되면, 해당 port로 접속할 경우 SSLVPN으로 만 접속하게 된다.

예를 들어 SSLVPN과 관리용 https port를 동일하게 443으로 설정한 경우, 해당 인터페이스로 443 접속하면 SSLVPN 연결을 위한 페이지가 표시된다.

이는 default로 아래의 설정이 enable 되어 있기 때문이다. 만약 disable로 설정하게 되면 관리자 https 연결이 된다.

이를 이용해서 해당 인터페이스에 secondary IP두고, Primary IP로 접속하면 SSLVPN으로 접속되고, Secondary IP로 접속하면 장비 관리용 https로 접속하도록 설정 가능하다. 

먼저, 위 설정을 disable 한다.

Secondary IP를 설정하고, 관리자 접속을 원하는 IP는 Administrative Access 에서 HTTPS를 체크하고, SSLVPN 접속을 원하는 IP는 HTTPS 체크를 하지 않는다.

위의 경우....

• https://192.168.1.55 : SSLVPN 연결
• https://192.168.1.66 : 관리자 연결

Administrative Access 조정하여 반대의 연결도 가능하다.

원문출처 : https://ebt-forti.tistory.com/573

FortiGate의 Interface가 DHCP 또는 PPPoE로 IP를 할당 받은 경우, FortiGate에 설정된 DNS를 사용하지 않고 DHCP 또는 PPPoE에서 할당 받은 DNS 서버를 사용하는 경우가 있다.

이는 Interface 설정의 "Override internal DNS" 옵션 영향이다.

 Interface는 위와 같이  "Override internal DNS" 가 enable 설정되어 있는 상황에서, System > DNS 설정에서 FortiGuard DNS를 사용하도록 설정 되어 있다.

FortiGate의 DHCP 서버의 DNS Server 설정이 "Same as System DNS" 라고 설정되어 있지만, FortiGate로 부터 IP를 할당받는  DHCP Client의 DNS는 "Override internal DNS" 옵션에 의해 '168.126.63.1'과 '168.126.63.2'가 할당 된다.

FortiGate DHCP Server 설정

DHCP Client의 DNS Server 확인

하지만 FortiGate가 직접 사용하는 DNS는 DNS Protocols 옵션에 따라 조금 다르게 동작한다.

FortiGate에서 출발하는 DNS query를 암호화 해서 보내는 TLS, HTTPS 방식이 있고, 일반적인 Clear text로 보내는 UDP 방식이 있다. 암호화 해서 보내는 TLS, HTTPS 방식을 사용하려면 서버도 이를 지원해야 한다.

위 예에서 '168.126.63.1'과 '168.126.63.2'의 경우 TLS 방식을 지원하지 않는다.

DNS Protocols 옵션을 TLS로 설정하게 되면 서버가 지원하지 않는 방식이기 때문에, FortiGate에서 출발(사용)하는 DNS query는 FortiGate에 설정된 FortiGuard DNS를 사용하게 된다.

하지만 DNS Protocols 옵션을 UDP로 설정하게 되면 168.126.6.1(2) 서버가 지원방식이기 때문에, FortiGate에서 출발(사용)하는 DNS query는 "Override internal DNS" 옵션에 의해 '168.126.63.1'과 '168.126.63.2'가 사용된다.

원문출처 : https://ebt-forti.tistory.com/598

FortiGate에서 관리자 password를 잊어버릴 경우 maintainer 계정을 이용하여 복구 할 수 있었다. 

FortiOS v7.2.4 부터는 보안상의 이유로  maintainer 계정이 삭제되어, 위의 방법으로 password 복구는 불가능하다. 콘솔을 연결하고, TFTP를 통하여 펌웨어를 다시 업로드하는 방식으로 바뀌었다.

1) 장비에 콘솔을 연결하고 TFTP를 이용하여 펌웨어를 업로드한다.

2) 펌웨어를 다시 로드하면 설정이 공장 기본값으로 변경된다. (admin 계정에 password없이 접근 가능)

3) config backup 파일에서 관리자 계정의 password를 변경하여 restore 한다.

    backup 파일에서 " config system admin"에서 "super_admin" 프로파일이 적용된 계정의 password를 변경한다.

   기존에 암호화(ENC)된 방식이지만, 일반 text로 password 설정이 가능하다.

password 변경 전

password 변경 후

4) 변경한 config file을 장비 restore한다.

주의) config restore는 동일한 펌웨어 버전이어야 한다. config file 맨 위쪽에서 확인 가능하다.

만약 backup 받은 config가 없다면 처음부터 다시 설정해야 한다.

원문출처 : https://ebt-forti.tistory.com/610

v7.2.4이상의  Lower-end 모델(40F, 60E, 61E, 60F, 61F, 80E, 81E)등 모델에서는 메모리 문제(2 GB 이하)로 Proxy를 포함한 일부 기능을 default로 disable 해 놓았다.

"System > Feature Visibility" 메뉴에서 확인한 disable 메뉴

이전 버전에서는 Policy 설정 화면에서 Flow inspection과 Proxy Inspection을 선택할 수 있었지만, v7.2.4에서는 아래와 같이 설정 화면이 사라졌다.

다시 보이게 할려면 아래의 CLI 명령을 입력한 후, 관리자가 GUI를 재접속하면 표시된다.

원문출처 : https://ebt-forti.tistory.com/614

FortiGate를 FortiCare에 등록하면 일반적으로 동일한 계정으로 FortiCloud를 사용하여 로그를 저장하거나, FortiCloud를 통해 관리를 받을 수 있다.

FortiCloud를 다른 계정으로 하기위해 FortiCloud를 logout 하더라도, GUI에서는 이전에 등록된 계정을 수정할 수 없게 되어 있다.

CLI에서 다음의 명령어를 통해, 기존 등록된 계정을 삭제하고 새로운 계정으로 등록할 수 있다.

다음의 CLI명령어는 'tap'이나 '?' 등으로 자동으로 완성되지 않는 숨겨진 명령어이다.

수동으로 모든 명령어를 입력해야 한다.

위 CLI 명령어를 입력하면 "Request sent.' 메세지가 표시되고, 몇 분후 GUI에서 확인하면 바뀐 계정으로 로그인 되어 있다. 

원문출처 : https://ebt-forti.tistory.com/618

FortiGate에서는 " *.etevers.com " 처럼 wildcard FQDN을 이용하여 방화벽 정책이나, SSL inspection의 예외처리등에 사용 할 수 있다.

일반적인 FQDN(예 : www.eteversebt.com)과 wildcard FQDN의 IP를 DNS query를 통해 확인하게 되는데, 그 방식이 서로 다르다. 

일반적인 FQDN의 경우 FortiGate에 설정된 DNS를 이용하여 FortiGate에서 출발하는 DNS query방식이고, wildcard FQDN의 경우 FortiGate를 통과하는 트래픽에서 IP를 획득한다. 즉 사용자 트래픽의 DNS query에서 IP를 획득하는 방식이다.

내부에서 외부로의 허용되는 방화벽 정책이 disable 된 예이다.

내부에서 외부로 방화벽 정책 disable

이 상황에서 일반적인 FQDN은 FortiGate가 스스로 IP를 resolve 하지만, FortiGate를 통과하는 트래픽이 없는 상태라서 wildcard FQDN은 IP를 획득하지 못한다.

외부로의 트래픽을 허용하고, 내부에서 wildcard FQDN에 대해서 DNS query가 발생하면 할수록 IP를 계속해서 획득하게 된다. 

FortiGate를 통과하는 DNS query에서 IP resolve

위에서와 같이 Wildcard FQDN은 FortiGate를 통과하는 DNS query에 대해 session helper를 처리하면서 IP를 획득하게 된다. 

따라서 DNS에 대해 Session Helper가 삭제 되어 있다면 Wildcard FQDN은 IP를 얻지 못한다.

원문출처 : https://ebt-forti.tistory.com/249

Wildcard address object를 이용하여 방화벽 정책에 적용하였지만 제대로 작동하지 않는 경우, Session helper 기능에서 DNS가 disable 되어 있는지 확인해야 한다.

DNS에 대한 Session helper 기능은 default로 enable이지만, 만약 disable되어 있으면 Wildcard Address에 대해 DNS lookup이 제대로 되지않아 방화벽 정책이 동작하지 않는다.

아래와 같이 Wildcard address를 생성하고, DNS에 대한 Session helper가 enable 되어 있다면 정상적으로 IP address가 확인 되어 방화벽 정책이 정상적으로 동작한다. (실제로 dns query가 있어야 IP address를 확인)

만약 DNS에 대한 Session helper가 disalbe 이라면 아래처럼 IP address가 확인 되지 않아, Wildcard Object를 이용한 방화벽 정책이 정상적으로 동작하지 않는다.

원문출처 : https://ebt-forti.tistory.com/646

FortiGate각 FQDN 객체에 대해 IP를 얻는 방법은 2가지이다.

FortiGate에 설정된 DNS에 직접 Query를 하여 IP를 확인하거나, FortiGate를 통과하는 DNS query에서 IP를 얻기도 한다.

예를들어 아래의 Topology에서 FortiGate는 외부의 공용 DNS Server가 설정되어 있으며, 내부 사용자들은 FortiGate를 통과하는 Local DNS 서버가 설정되어 있다. 

FortiGate에 "www.example.com" 에 대해 FQDN Object를 설정할 경우, FortiGate는 자신에게 설정된 DNS Server에 Query를 보내 IP를 확인한다.

내부 사용자가 Local DNS Server에 DNS query를 하는 트래픽에서 FortiGate는 "www.example.com" 에 대한 IP를 추가적으로 얻는다.

만약 사용자의 Query에 의한 IP 확인을 해지하려면 아래의 2가지 방법이 있다. 

첫번째는 Session-helper 에서 DNS 항목을 삭제하는 것이고, 다른 방법은 아래의 명령어를 이용하는 것이다.

    config system network-visibility 

          set destination-visibility disable

    end

위 2가지 방법 모두 주의할 점은 WildCard FQDN값을 확인 할수  없다는 것이다.

주의) 위 설정을 바꿀경우 FortiGate에서는 아래의 명령어(DNS 데몬 재시작)를 사용해서 DNS로 획득한 값을 모두 삭제 해야 한다.

참고적으로 사용자 PC에 캐시되어 있는 DNS를 삭제하는 방법은 아래와 같다.

원문출처 : https://ebt-forti.tistory.com/659

WebFIlter 기능을 이용하여 검색엔진에서 검색하는 특정 단어를 차단하는 방법이다.

예를 들어 "game"이라는 검색어를 차단하는 방법은 다음과 같다.

1. Web FIlter Profle에서 Static URL FIlter를 Wildcard 형식으로 설정 한다.

      * www.google.com/search*game*

      * www.google.co.kr/search*game*

2. 방화벽 정책에 해당 profile을 적용한다. 단 SSL Inspection은 Deep Inspection을 설정한다.

Google에서 "game"을 검색하면 아래와 같이 차단되며, "디아블로 GAME" 이라고 검색해도 차단된다. (대•소문자 구분 안함)

다른 검색엔진도 마찬가지 이다.

예를 들어 네이버에서 "game"이라고 검색하여 URL주소를 확인하면 다음과 같다.

https://search.naver.com/search.naver?where=nexearch&sm=top_hty&fbm=0&ie=utf8&query=game

위 주소를 가지고 wildcard 형식으로 등록한다.

Naver 검색 차단 화면

이런 형식으로 다양한 검색엔진에서 검색하는 키워드를 이용하여 Web Filter가 가능하다.

원문출처 : https://www.linkedin.com/pulse/configuring-igmp-proxy-fortiwifi-30e-fortios-version-625-denys

원문출처 : https://ebt-forti.tistory.com/79

Product : FortiGate

Detail : FortiGate의 관리자 비밀번호를 분실 하였을 때의 대처방법

    1. FortiGate Maintainer 계정에 대해서 

    2. 복구 방법

    3. FortiOS v7.2.4부터 Maintainer 계정 삭제

Solution :

    -1. FortiGate Maintainer 계정에 대해서

        FortiGate에서는 Admin권한 유저의 패스워드 분실을 해결하기 위해

        Maintainer라는 복구 전용 ID가 존재함.

        이는 제한된 권한만을 가진 특수계정으로 GUI 및 CLI상에서 유저로 표시되지 않음.

        Maintainer 계정의 특징은 다음과 같음.

          -FortiGate의 물리적인 전원제거 후에만 접속 가능 (execute reboot 등으로는 접속 불가)

          -제한된 명령어만 사용가능 (Show 등의 명령어 사용 불가)

          -접속 비밀번호는 bcpb+각 장비의 Serial Number임. 대소문자 구분. (ex. bcpbFG80E4Q12345678)

          -모델별로 상이하지만, 재부팅 후, 약 60초 안에 로그인 완료하여야만 접속 가능

          -VM버전 등에서는 미지원. 스냅샷이냐 re-provisioning 사용할 것

    -2. 복구 방법

        1) 메모장 등의 택스트 편집기에 ID 및 비밀번호를 입력하여, 복사/붙여넣기 할 준비를 한다.

           (영문 타이핑이 느리거나, 오타로 인한 접속실패 가능성을 최소화)

        2) FortiGate에 물리적으로 콘솔 연결

        3) FortiGate 장비를 물리적으로 전원 제거 및, 10초 후 부팅 실시

        4) 이후 로그인 창이 뜨면, 메모장에 복사해둔 ID/PW를 입력

        5) 접속 후, 아래의 명령어를 참고하여, 비밀번호를 초기화 한다.

           (만일 VDOM이 설정된 장비일 경우, global로 이동하여 초기화를 진행)

        6) maintainer 접속 종료 후, 바뀐 패스워드로 정상 로그인 되는지 확인.

    추가적인 내용 및 주의사항은 Limit 항목 참조.

Link : kb.fortinet.com/kb/documentLink.do?externalID=FD34757

Limit :

    -이러한 maintainer 계정이 보안상 이슈가 된다면, 옵션을 통해 이를 disable도 가능.

    하지만 해당 기능 disable시, 관리자가 비밀번호 분실시 더이상 복구할 수 있는 방법이 없음.

    아래의 명령어 참조.

    -ID분실의 경우...

    관리자가 PW뿐만이 아니라, ID 또한 기억이 안날 경우에도 복구 방법이 없음.

    # config system admin 위치에서 [Show] 명령어를 통한, ID 확인 불가능. (보안상의 이유로 인해)

    반드시 ID는 기억하고 있어야, 비밀번호 복구 가능.

    (FortiGate의 default 계정의 ID는  'admin'임)

원문출처 : https://svrforum.com/os/349578