【BIG-IP】root パスワードを忘れた場合のリセット手順 | シングルユーザーモード

はじめに

F5 BIG-IP の管理運用において、最も冷や汗をかく瞬間の一つが 「root パスワードを忘れてしまった」「なぜかログインできない」 という状況ではないでしょうか。 Web 管理画面（GUI）も SSH も弾かれてしまうと、手も足も出なくなってしまいます。

本記事では、そんな緊急事態に備えて、BIG-IP を シングルユーザーモード（Single User Mode）で起動し、強制的に root パスワードを再設定（リカバリ）する手順を解説します。 この手法は、BIG-IP のベースとなっている Linux OS の機能を活用したもので、v11.x 系統から v17.x 系統 まで幅広く適用可能な標準的な手順です。

作業前の前提条件と注意点

本手順を実施する前に、以下の 3 つの条件とリスクを必ず確認してください。 特に 「サービスが停止する」 点と 「SSH では実施できない」 点は非常に重要です。

【必須】コンソール接続環境

この作業は、OS が起動する前の段階（ブートローダー）で介入する必要があるため、ネットワーク経由の接続（SSH や Web GUI）からは実施できません。 必ず以下のいずれかの方法で、機器のコンソール画面を直接操作できる状態にしてください。

物理アプライアンスの場合

• シリアルコンソールケーブル（CONSOLE ポートへの接続）
• または VGA モニターと USB キーボードの直接接続

Virtual Edition（VE/仮想版）の場合

• VMware vSphere Client や Hyper-V マネージャーなどのハイパーバイザー上のコンソール画面

【影響】サービス停止（通信断）の発生

シングルユーザーモードで起動している間、BIG-IP のメインプロセスである TMM（Traffic Management Microkernel）は起動しません。 つまり、ロードバランサとしての機能は完全に停止し、通信を処理できなくなります。 稼働中のシステムで実施する場合は、必ず計画的なメンテナンスウィンドウ（停止時間）を確保し、関係者への周知を行ってください。

【セキュリティ】物理アクセスの管理

本手順は、「コンソールにアクセスできる人間であれば、誰でも root 権限を奪取できる」ということを意味します。 セキュリティの観点から、BIG-IP 機器が設置されているサーバーラックや、ハイパーバイザーの管理画面へのアクセス権限は厳重に管理し、不正なユーザーが物理的に操作できないよう対策を講じてください。

パスワードリセット手順

STEP

シングルユーザーモードでの起動

まずは機器を再起動し、OS が立ち上がる直前の GRUB メニュー（ブートローダー画面） で割り込み操作を行います。ここが一番の難所ですので、焦らず操作してください。

STEP

再起動とカウントダウンの停止

機器の電源を入れるか、再起動（reboot）を行います。 黒い画面に白文字で GNU GRUB という画面が表示され、「Automatic boot in 3 seconds…」 のようなカウントダウンが始まります。

ここですぐに 【上下矢印キー（↑↓）】 を押してください。 キーを押すことでカウントダウンが止まり、自動起動を阻止できます。

STEP

編集モードへの移行

矢印キーを使って、普段起動している（または起動したい）BIG-IP のバージョンを選択します（通常は一番上にあります）。 選択された状態で、キーボードの 【 e 】 キーを押します。

※ 画面下部に Press 'e' to edit the commands... といったガイドが表示されているはずです。

STEP

「single」の追記

画面が切り替わり、起動オプションの記述が表示されます。 矢印キーを使ってカーソルを移動させます。

v12.1.x 以降（GRUB2）の場合

arguments という行を探し、その行の末尾（行の最後）にスペースを空けて single と入力します。

v11.x 〜 v12.0 の場合

kernel で始まる行を探し、その行の末尾にスペースを空けて single と入力します。

STEP

起動（ブート）

入力できたら、以下のキーを押してシングルユーザーモードで起動させます。

• GRUB2 の場合: 【 Ctrl 】 + 【 x 】
• 以前のバージョンの場合: 【 Enter 】 を押した後に 【 b 】

黒い画面にログが流れ始めれば成功です。

STEP

パスワードリセットコマンドの実行

起動処理が止まり、コマンドプロンプトが表示されたら、いよいよパスワードの変更を行います。

以下のようなプロンプトが表示され、入力待ち状態になっていることを確認します。

STEP

プロンプトの確認

以下のようなプロンプトが表示され、入力待ち状態になっていることを確認します。

sh-4.2#

※ バージョンによって sh-x.x# や switch_root# など表示が異なる場合がありますが、# が出ていれば OK です。

STEP

ファイルシステムのマウント

この状態では、ディスクが「読み取り専用（Read-Only）」になっている場合があるため、書き込みができるようにマウントし直します。 以下のコマンドを実行します。

mount -a

※ 特にエラーメッセージが出なければ成功です。

STEP

パスワードの変更

root パスワードを変更するコマンドを実行します。

passwd root

以下のように新しいパスワードを求められます。2回入力してください。

Changing password for user root.
New password:   <--- 新しいパスワードを入力（画面には表示されません）
Retype new password:  <--- 確認のためもう一度入力
passwd: all authentication tokens updated successfully.

updated successfully と表示されれば変更完了です。

STEP

再起動

最後に、以下のコマンドでシステムを再起動し、通常のモードに戻します。

reboot

再起動が完了したら、先ほど設定した新しい root パスワードでログインできるか確認してください。

【補足】ログインできる場合のパスワード変更手順

もし現在、パスワードを忘れておらず、正常にログインできる状態であれば、わざわざ再起動やシングルユーザーモードを使う必要はありません。 定期的なパスワード変更などは、以下の標準的な手順で行ってください。

GUI（Configuration Utility）での変更

Web 管理画面から変更する方法です。主に admin ユーザーの変更で使われます。

1. Web ブラウザで BIG-IP にログインします。
2. 左メニューから [System] > [Users] > [User List] をクリックします。
3. 変更したいユーザー名（例: admin）をクリックします。
4. [Password] 欄に新しいパスワードを入力し、[Confirm Password] にも同じものを入力します。
5. [Update] をクリックして保存します。

CLI（tmsh / bash）での変更

コマンドラインから変更する方法です。SSH で接続して実施します。

admin ユーザー（tmsh）の場合

tmsh modify auth user admin password

※ コマンド実行後、新しいパスワードの入力が求められます。

root ユーザー（bash）の場合

passwd root

※ 一般的な Linux と同様に passwd コマンドで変更できます。

まとめ

本記事では、F5 BIG-IP の root パスワードを忘れてしまった場合の最終手段として、シングルユーザーモード を使ったリセット手順を解説しました。

• 前提: コンソールアクセス（物理ケーブルや仮想コンソール）が必須。SSH は不可
• 手順: 起動時の GRUB メニューで single を追記して起動し、passwd コマンドを実行
• 注意: サービス停止（通信断）が発生するため、作業時間には注意が必要

以上、最後までお読みいただきありがとうございました。