思科IOS自带了很多功能,用以加强自身的安全性,但很多时候我们都忽略了,没有正确使用。IOS比我们想象中的坚强,合理使用这些安全特性,可以增强网络的安全。
1、限制设备的密码长度,一般在默认情况下,我们都没有设置。具体设置如下:
WYLZ-R1(config)# security passwords min-length 7
在这里设备密码的最小长度是7,然后配置一个5位长度的密码时,如下所示:
WYLZ-R1(config)#enable secret cisco
% Invalid Password length - must contain 7 to 25 characters. Password configuration failed
此时提示,无效的密码长度,密码长度在7到25个字符之间。
2、密码加密策略,默认情况下telnet密码和enable password都是明文显示的,通过show run就完全可以看到,使用密码策略可以将密码加密以密文的形式显示。具体设置如下:
WYLZ-R1(config)#do sh run | b line
line con 0
exec-timeout 0 0
logging synchronous
line aux 0
line vty 0 4
password cisco123 //以明文显示了telnet密码
login
length 0
transport input none
启用密码加密策略
WYLZ-R1(config)# service password-encryption
WYLZ-R1(config)#do sh run | b line
line con 0
exec-timeout 0 0
logging synchronous
line aux 0
line vty 0 4
password 7 02050D4808095E731F //密码已经以密文的形式显示了。
login
length 0
transport input none
当然了,这种形式加密的密码是可以破解的,所以建议telnet密码和特权密码不要相同。
3、为不同的用户分配不同的权限,很多时候我们只设置一个telnet密码和一个特权密码,那么任何人登录都具有完全控制权限。
WYLZ-R1(config)#privilege exec level 2 show interface e0/0
WYLZ-R1(config)#privilege exec level 2 show ip int bri
WYLZ-R1(config)#privilege exec level 2 show cdp nei
WYLZ-R1(config)#privilege exec level 2 ping
WYLZ-R1(config)#privilege exec level 2 traceroute
上面是设置用户登录后可以执行的命令
WYLZ-R1(config)#username user01 privilege 2 password cisco123
将用户与权限级别进行关联。
测试后如下所示:
WYLZ-R2#telnet 172.16.12.1
Trying 172.16.12.1 ... Open
User Access Verification
Username: user01
Password:
WYLZ-R1#sh run //不可以执行show run命令,没有权限。
^
% Invalid input detected at '^' marker.
WYLZ-R1#conf t //不可以执行conf t命令,同样没有权限。
^
% Invalid input detected at '^' marker.
WYLZ-R1#sh ip int bri
Interface IP-Address OK? Method Status Protocol
Ethernet0/0 172.16.12.1 YES manual up up
Ethernet0/1 unassigned YES NVRAM administratively down down
Ethernet0/2 unassigned YES NVRAM administratively down down
Ethernet0/3 unassigned YES NVRAM administratively down down
Ethernet1/0 unassigned YES NVRAM administratively down down
Ethernet1/1 unassigned YES NVRAM administratively down down
Ethernet1/2 unassigned YES NVRAM administratively down down
Ethernet1/3 unassigned YES NVRAM administratively down down
Serial2/0 unassigned YES NVRAM administratively down down
Serial2/1 unassigned YES NVRAM administratively down down
Serial2/2 unassigned YES NVRAM administratively down down
精确细致地为不同用户赋予不同的权限,可以有效地保护网络的安全。
1、限制设备的密码长度,一般在默认情况下,我们都没有设置。具体设置如下:
WYLZ-R1(config)# security passwords min-length 7
在这里设备密码的最小长度是7,然后配置一个5位长度的密码时,如下所示:
WYLZ-R1(config)#enable secret cisco
% Invalid Password length - must contain 7 to 25 characters. Password configuration failed
此时提示,无效的密码长度,密码长度在7到25个字符之间。
2、密码加密策略,默认情况下telnet密码和enable password都是明文显示的,通过show run就完全可以看到,使用密码策略可以将密码加密以密文的形式显示。具体设置如下:
WYLZ-R1(config)#do sh run | b line
line con 0
exec-timeout 0 0
logging synchronous
line aux 0
line vty 0 4
password cisco123 //以明文显示了telnet密码
login
length 0
transport input none
启用密码加密策略
WYLZ-R1(config)# service password-encryption
WYLZ-R1(config)#do sh run | b line
line con 0
exec-timeout 0 0
logging synchronous
line aux 0
line vty 0 4
password 7 02050D4808095E731F //密码已经以密文的形式显示了。
login
length 0
transport input none
当然了,这种形式加密的密码是可以破解的,所以建议telnet密码和特权密码不要相同。
3、为不同的用户分配不同的权限,很多时候我们只设置一个telnet密码和一个特权密码,那么任何人登录都具有完全控制权限。
WYLZ-R1(config)#privilege exec level 2 show interface e0/0
WYLZ-R1(config)#privilege exec level 2 show ip int bri
WYLZ-R1(config)#privilege exec level 2 show cdp nei
WYLZ-R1(config)#privilege exec level 2 ping
WYLZ-R1(config)#privilege exec level 2 traceroute
上面是设置用户登录后可以执行的命令
WYLZ-R1(config)#username user01 privilege 2 password cisco123
将用户与权限级别进行关联。
测试后如下所示:
WYLZ-R2#telnet 172.16.12.1
Trying 172.16.12.1 ... Open
User Access Verification
Username: user01
Password:
WYLZ-R1#sh run //不可以执行show run命令,没有权限。
^
% Invalid input detected at '^' marker.
WYLZ-R1#conf t //不可以执行conf t命令,同样没有权限。
^
% Invalid input detected at '^' marker.
WYLZ-R1#sh ip int bri
Interface IP-Address OK? Method Status Protocol
Ethernet0/0 172.16.12.1 YES manual up up
Ethernet0/1 unassigned YES NVRAM administratively down down
Ethernet0/2 unassigned YES NVRAM administratively down down
Ethernet0/3 unassigned YES NVRAM administratively down down
Ethernet1/0 unassigned YES NVRAM administratively down down
Ethernet1/1 unassigned YES NVRAM administratively down down
Ethernet1/2 unassigned YES NVRAM administratively down down
Ethernet1/3 unassigned YES NVRAM administratively down down
Serial2/0 unassigned YES NVRAM administratively down down
Serial2/1 unassigned YES NVRAM administratively down down
Serial2/2 unassigned YES NVRAM administratively down down
精确细致地为不同用户赋予不同的权限,可以有效地保护网络的安全。
本文转自 弯月楼主 51CTO博客,原文链接:http://blog.51cto.com/05wylz/1786515,如需转载请自行联系原作者
