BIG-IP の root パスワードを忘れた時のリセット手順｜14.x 以降の対応

はじめに

F5 BIG-IP の管理運用において、root パスワードを失念した、あるいは何らかの原因で root ログインができない状況は、運用中に遭遇しやすいトラブルの一つです。Web 管理画面（GUI）も SSH も認証を通過できない場合、通常の管理経路からのリカバリは行えません。

本記事では、シングルユーザーモード（Single User Mode）でブートローダーから OS の起動に介入し、root パスワードをリセットする手順を解説します。BIG-IP のベースとなっている Linux OS の機能を利用したリカバリ手段であり、F5 公式 KB（K73551536）にも明記されている正規の対処方法です。

※ BIG-IP のメジャーバージョンによって手順が異なります。現状の運用主流である 14.x 以降では rd.break 方式、それ以前の 11.x〜13.x では single 方式が必要です。本記事ではバージョン別に手順を分けて解説します。

※ 本記事は BIG-IP 17.5.x をベースに、14.x 以降の手順と 11.x〜13.x の手順をそれぞれ整理しています。BIG-IP 16.1.x は 2025 年 7 月 31 日に EoTS（End of Technical Support）に到達しているため、サポート対象バージョンへのアップグレードを推奨します。

作業前の前提条件と注意点

本手順を実施する前に、次の 3 つの前提条件と影響を確認します。特にコンソール接続の確保とサービス停止の許容は、作業計画の前提条件になります。

コンソール接続環境

シングルユーザーモードでの介入は、OS が起動する前のブートローダー段階で行う必要があるため、SSH や Web GUI からは実施できません。次のいずれかの方法でコンソール画面を直接操作できる状態にしておく必要があります。

シリアル接続の場合、機種によりボーレート設定が異なります。多くの BIG-IP では 19200 bps が標準ですが、機種・世代によって 9600 bps の場合もあります。事前にハードウェア仕様の確認を推奨します。

サービス停止（通信断）の発生

シングルユーザーモードで起動している間は、BIG-IP のメインプロセスである TMM（Traffic Management Microkernel）が起動しないため、ロードバランサとしての機能が停止し通信処理ができません。

稼働中のシステムで実施する場合は、計画的なメンテナンスウィンドウの確保と関係者への周知を推奨します。所要時間の目安は、再起動からシングルユーザーモード突入まで数分、パスワード変更後の再起動を含めて全体で 5〜15 分程度ですが、ハードウェア構成や HA 構成の切り戻しを含めるとさらに時間が必要になります。

物理アクセスのセキュリティ管理

本手順は、コンソールにアクセスできる人間であれば誰でも root 権限を取得できることを意味します。これは Linux ベースの OS 共通の特性ですが、BIG-IP のセキュリティ設計上も重要な前提です。

セキュリティの観点から、以下を推奨します。

• BIG-IP 機器が設置されているサーバーラックの物理アクセス管理
• ハイパーバイザー（VE 環境）の管理画面アクセス権限の最小化
• BIOS / UEFI でのブートローダーパスワード設定（必要に応じて）
• コンソールサーバー経由のアクセスログ取得

バージョン別の手順差と確認方法

リセット手順に入る前に、自機がどのバージョン群に該当するかを把握する必要があります。BIG-IP は 14.0 で OS のベースが CentOS 6 系から CentOS 7 系へ大幅変更されたため、ブートローダーへの介入方法もこのタイミングで変わっています。

手順差の概要比較

参考: F5 K14662 – Restarting the BIG-IP system in single-user mode (GRUB2)
https://my.f5.com/manage/s/article/K14662

参考: F5 K4178 – Restarting the BIG-IP system in single-user mode (GRUB 0.97)
https://my.f5.com/manage/s/article/K4178

14.x 以降で single ではなく rd.break を使う理由

BIG-IP 14.x 以降では、OS のベースが CentOS 7 系（systemd ベース）に変更されたことで、従来の single 引数によるシングルユーザーモード突入では、起動シーケンスの途中で「Give root password for maintenance」プロンプトが表示され、肝心の root パスワードを聞かれてしまいます（リセットしたい本人がパスワードを知らない前提なので、ここで詰まります）。

参考: iautomatix – BIG-IP 14.0.x and later in single-user mode
“When starting in single-user mode, the BIG-IP system may attempt to perform a file system check (fsck) and request the root password. … If ‘Give root password for maintenance’ is prompted, then it is NOT in single-user mode.”
（シングルユーザーモードでの起動時、BIG-IP システムはファイルシステムチェックを実行し root パスワードを要求することがあります。「Give root password for maintenance」が表示された場合、それはシングルユーザーモードに入れていない状態です。）

代わりに使うのが rd.break で、これは systemd の起動シーケンスを switch_root の手前で停止させる引数です。この時点ではまだ実ファイルシステムが /sysroot 配下にマウントされた初期 RAM ディスク状態であり、/etc/passwd 等を直接編集するには /sysroot を read-write で remount してから chroot する必要があります。

自機のバージョン確認方法

既にログインできる状態でバージョンを確認する場合、次のコマンドが利用できます。

# tmsh から
tmsh show sys version

# bash から
cat /VERSION

ログインできない状態でバージョン不明な場合は、コンソール画面の GRUB メニュー表示で判断できます。GRUB 画面の表示形式（背景色やメニュー項目数）が GRUB 0.97 と GRUB2 で異なります。判別が困難な場合は、まず 14.x〜17.x 想定（rd.break）で試行し、switch_root:/# プロンプトに到達しなければ 11.x〜13.x 想定（single）でリトライする流れが安全です。

パスワードリセット手順【BIG-IP 14.x〜17.x 系】

ここでは、現状の運用主流バージョン（14.x〜17.x）での正規手順を解説します。前述のとおり、single ではなく rd.break を使う点が最大の違いです。

参考: F5 K73551536 – Recover the root password on BIG-IP platforms（14.0 以降の手順を含む）
https://my.f5.com/manage/s/article/K73551536

STEP

再起動と GRUB メニューでの介入

機器を再起動し、コンソール画面に GRUB2 メニューが表示されたら、矢印キー（↑ ↓）でカウントダウンを停止します。

STEP

編集モードへの移行

起動対象のカーネル行（通常は最上段）を選択し、e キーを押して編集モードに入ります。

STEP

起動オプションに rd.break を追記

カーネル行（linux または linux16 で始まる行）を探し、末尾にスペースを空けて rd.break を追記します。

（既存のカーネルオプション） rd.break

起動時に強制的なファイルシステムチェックで root パスワード入力を求められる場合は、rd.break の代わりに rd.break fsck.mode=skip を指定します。14.x 以降では fastboot は機能しないため、rd.break fastboot の組み合わせは使わないでください。

STEP

シングルユーザーモードで起動

Ctrl + x を押して、変更したオプションで起動します。

STEP

プロンプトの確認

起動シーケンスが停止し、以下のプロンプトが表示されることを確認します。

switch_root:/#

もし Give root password for maintenance のような表示になった場合は、rd.break 方式で正しく停止できていません。Ctrl + d で抜けて再起動し、手順 3 で rd.break が確実に追記されているかを確認してください。

STEP

マウントパスの確認

書き換え対象のボリュームを特定するため、現在のマウント状況を確認します。

mount | grep /dev/mapper/vg-db

実行例

/dev/mapper/vg--db--sda-set.2.root on /sysroot type ext3 (ro,...)
/dev/mapper/vg--db--sda-set.2._usr on /sysroot/usr type ext3 (ro,...)

この出力から「set.X」の番号（HD ボリュームセット）と「sda」または「vda」のデバイス名を確認します。

プラットフォームによってデバイス名は異なります。物理機器の多くは sda、Virtual Edition（VE）等では vdaとなる場合があります。以降のコマンドでは、確認した実際のデバイス名に置き換えてください。

STEP

/sysroot を読み書き可能で再マウント

mount -o remount,rw /sysroot
mount -o remount,rw /sysroot/usr

STEP

/sysroot/config と /sysroot/var を追加マウント

手順 6 で確認した set 番号と一致するボリュームをマウントします。

# 例: set.2 を使用している場合
mount /dev/mapper/vg-db-sda-set.2._config /sysroot/config
mount /dev/mapper/vg-db-sda-set.2._var /sysroot/var

set 番号が 2 ではない場合（例: HD1.3 ブートなら set.3）、上記コマンドの数字部分を置き換えます。デバイス名（sda / vda）も手順 6 で確認したものを使用してください。

STEP

chroot でルートファイルシステムへ移行

chroot /sysroot

プロンプトが sh-4.2# 等に変化します。

STEP

root パスワードの変更

passwd root

新しいパスワードを 2 回入力します。

Changing password for user root.
New BIG-IP password:
Retype new BIG-IP password:
passwd.bin: all authentication tokens updated successfully.

STEP

SELinux ラベル再生成の予約

この手順は省略不可です。SELinux のラベルが変更されたファイルと整合しなくなる場合があるため、次回起動時に自動でラベル再生成を行うフラグを作成します。

touch /.autorelabel

参考: F5 K73551536 – Recover the root password（手順抜粋）
“Force Security-Enhanced Linux (SELinux) to re-label the file system on the next boot by entering the following command: touch /.autorelabel”
（次回起動時に SELinux のファイルシステムラベル再生成を強制するため、touch /.autorelabel を実行します。）

※ /.autorelabel を作成しないまま再起動すると、SELinux 関連のエラーで一部サービスが起動しない場合があります。手順をスキップしないよう注意してください。

STEP

chroot とシェルから退出して再起動

# chroot から退出
exit

# switch_root シェルから退出
exit

exit を 2 回実行することで、システムは通常の起動シーケンスを再開します。再起動後の初回起動では /.autorelabel によるラベル再生成が走るため、通常より起動時間が長くなる点に注意してください（数分追加）

再起動完了後、新しい root パスワードでログインできるか確認します。

パスワードリセット手順【BIG-IP 11.x〜13.x 系】

ここでは、比較的古いバージョン（11.x〜13.x）での手順を解説します。14.x 以降を運用している場合は、前述の rd.break 方式を参照してください。

参考: F5 K73551536 – Recover the root password on BIG-IP platforms
https://my.f5.com/manage/s/article/K73551536

STEP

再起動と GRUB メニューでの介入

機器の電源を入れるか、reboot で再起動します。コンソール画面に GNU GRUB の起動メニューが表示され、Automatic boot in N seconds... のカウントダウンが始まります。

このタイミングで上下矢印キー（↑ ↓）を押すと、カウントダウンが停止し自動起動が阻止されます。

STEP

編集モードへの移行

矢印キーで起動対象の BIG-IP バージョンを選択（通常は最上段）し、選択された状態で e キーを押します。画面下部に Press 'e' to edit the commands... のガイドが表示されます。

STEP

起動オプションに single を追記

カーネル起動行を編集します。GRUB のバージョンによって編集対象の行が異なる点に注意してください。

GRUB バージョン	対象バージョン	編集対象の行
GRUB 0.97	BIG-IP 11.x〜12.0	kernel で始まる行
GRUB2	BIG-IP 12.1〜13.x	kernel または arguments を含む行

該当行の末尾にスペースを空けて single を追記します。

（既存の起動オプション） single

起動時に強制的なファイルシステムチェック（fsck）が走り root パスワード入力を求められる場合、single の代わりに single fastboot を指定することでチェックをスキップできます（11.x〜13.x のみ。14.x 以降では fastboot は機能しません）。

STEP

シングルユーザーモードで起動

入力後、次のキー操作で起動を開始します。

GRUB バージョン	起動操作
GRUB2	Ctrl + x
GRUB 0.97	Enter を押した後、b キー

黒い画面に起動ログが流れ始めれば成功です。

STEP

シェルプロンプトの確認

起動処理が完了し、コマンドプロンプトが表示されるのを待ちます。

sh-4.2#

バージョンによってプロンプトは sh-x.x# 形式で表示されます。# が表示されていれば、root 権限のシェルに到達しています。

STEP

ファイルシステムの読み書き可能化

ディスクが読み取り専用（read-only）でマウントされている場合があるため、書き込み可能に再マウントします。

mount -a

エラーが出力されなければ成功です。

STEP

root パスワードの変更

passwd root

新しいパスワードを 2 回入力します（画面には表示されません）。

Changing password for user root.
New password:
Retype new password:
passwd: all authentication tokens updated successfully.

updated successfully と表示されれば変更完了です。

STEP

再起動

reboot

再起動後、新しい root パスワードでログインできるか確認します。

プラットフォーム別の注意事項

シングルユーザーモードでのリセット手順は、プラットフォームや構成によって追加の考慮事項があります。実務で遭遇しやすいケースを整理します。

VIPRION マルチブレード環境

VIPRION シャーシで複数のブレードが搭載されている場合、プライマリブレードでパスワードを変更する必要があります。

参考: F5 K73551536 – Recover the root password（VIPRION 注記）
“If you perform this operation on a VIPRION system with more than one blade installed, you must ensure the password is changed on the primary blade.”
（VIPRION システムで複数のブレードがインストールされている場合、プライマリブレードでパスワードが変更されていることを確認する必要があります。）

セカンダリブレードでは、再起動後にプライマリブレードから SSH（鍵認証）でログインし、パスワード変更を伝播させる運用が標準です。

vCMP guest 環境

vCMP guest 上で動作する BIG-IP 系統では、シングルユーザーモード突入の挙動が一部異なるため、K14581 に従った手順が必要です。手順本体は概ね同じですが、guest コンソールへのアクセス方法（vCMP host から vconsole <guest名> 等）が前段に追加されます。

HA 構成（Active / Standby）

BIG-IP のローカル認証情報（root / admin パスワード）は Config Sync の対象外です。HA 構成で運用している場合、片系のパスワードをリセットしただけでは、もう片方の機器のパスワードは変更されません。

実務での推奨運用

• Active / Standby の両系で個別にパスワードをリセット
• パスワードはなるべく同一値に揃えておく（運用負荷軽減）
• アクセスログ・Config Sync ログ（/var/log/ltm、tmsh show cm sync-status）でリセット後の sync 状況を確認

※ HA でのパスワードリセット作業は、Standby 機から先に実施することでサービス影響を最小化できます。Standby 機がリセットされている間は、Active 機がトラフィックを処理し続けます。

rSeries / VELOS（F5OS）環境

rSeries（F5OS-A）および VELOS（F5OS-C）は、従来の TMOS とは別の F5OS というプラットフォーム上で動作しており、root / admin パスワードのリカバリ手順も独自の体系になっています。

参考: F5 K000134739 – Recover the root or admin user password on F5 rSeries
https://my.f5.com/manage/s/article/K000134739

参考: F5 K000134783 – Recover the root user password on F5 VELOS system
https://my.f5.com/manage/s/article/K000134783

主な相違点

• F5OS 層とテナント BIG-IP 層で root / admin パスワードが分離
• F5OS の bootloader（systemd ベース）で rd.break を append する方式は同様だが、編集対象の行が linuxefi で始まる行になる。
• パーティション（chassis partition）を持つ VELOS では、system controller 層と chassis partition 層でそれぞれリセットが必要な場合がある。

F5OS 系の機器を運用している場合は、F5 公式 KB（K000134739 / K000134783）の手順を参照しつつ、テナント BIG-IP 側のパスワードリセットには本記事の 14.x〜17.x 系手順が適用できます。

rSeries / VELOS の F5OS 層と TMOS テナント層では、ログ取得・診断データ取得の体系も異なります。詳細は関連記事「BIG-IP の QKView 取得と iHealth 解析の手順」の F5OS セクションを参照してください。

Virtual Edition（VE）環境

VE 環境では、ハイパーバイザー側のスナップショット機能を活用することで、リセット作業前の状態にロールバックできるバックアップ手段が確保できます。本番環境での実施前に、検証環境での手順確認や、スナップショット取得を推奨します。

また、VE では物理機器と異なりデバイス名が vda となる場合が多いため、14.x〜17.x の手順 6 のマウント確認時にデバイス名を実機の出力で確認することを推奨します。

ログインできる場合のパスワード変更手順

root パスワードがまだ有効で、通常通りログイン可能な状況であれば、シングルユーザーモードを使う必要はありません。定期的なパスワード変更や運用中のローテーションは、次の標準的な手順で実施できます。

admin パスワード変更（GUI）

Web 管理画面から admin ユーザーや任意のユーザーのパスワードを変更します。

1. Web ブラウザで BIG-IP に admin 権限でログイン
2. 左メニューから System > Users > User List をクリック
3. 変更したいユーザー名（例: admin）をクリック
4. Password 欄に新しいパスワードを入力し、Confirm Password にも同じものを入力
5. [Update] をクリックして保存

参考: F5 K13121 – Changing system maintenance account passwords
https://my.f5.com/manage/s/article/K13121

admin パスワード変更（tmsh）

CLI から tmsh で admin パスワードを変更します。

tmsh modify auth user admin password

コマンド実行後、新しいパスワードの入力プロンプトが表示されます。

root パスワード変更（bash）

root ユーザーのパスワードは、bash プロンプトから一般的な Linux と同じ passwd コマンドで変更できます。

# admin で SSH 接続後、bash に切り替え（必要な場合）
# tmsh プロンプトの場合は exit で bash へ降りる

passwd root

アプライアンスモード（Appliance Mode）が有効な BIG-IP では、root による直接 SSH ログインが無効化されています。この構成では、admin でログインしてから root に切り替える運用、または GUI からの変更が必要です。
※ HA 構成の BIG-IP では、パスワードは Config Sync の対象外です。Active / Standby の両機で個別に変更する必要があります。

まとめ

本記事では、F5 BIG-IP の root パスワードを忘れた場合のリセット手順を、バージョン別・プラットフォーム別に整理して解説しました。

• リセット手順は14.x 以降の rd.break 方式と11.x〜13.x の single 方式で大きく異なる
• 14.x 以降は switch_root:/# プロンプトに到達後、/sysroot を remount + chroot で操作する
• SELinux ラベル再生成（touch /.autorelabel）を忘れると一部サービスが起動しない可能性がある
• VIPRION マルチブレードではプライマリブレードでの変更が前提、HA 構成では両系で個別にリセットが必要
• rSeries / VELOS（F5OS）では F5 公式 KB（K000134739 / K000134783）の独自手順を参照
• 本手順はコンソール接続できれば誰でも root を取得できるため、物理アクセスとハイパーバイザー管理画面のセキュリティ管理が前提条件になる
• ログイン可能な状態での通常変更は GUI（System > Users）または tmsh modify auth user コマンドで実施

以上、最後までお読みいただきありがとうございました。