IOS Login安全特性

www.net130.com     日期:2012-12-10    浏览次数:

算是秦柯CCNA Security的部分笔记

都是非常有用的features,生产环境中用得上。


最短密码限制

R1(config)#security passwords min-length ?

<0-16>  Minimum length of all user/enable passwords

12.4平台新特性,之前没有

 

密码加密

R1(config)#service password-encryption

password-encryption    Encrypt system passwords

这个很早就有了,通过Cisco私有算法,很容易破解,参考:

Cisco各种登陆方法汇总

 

禁用密码恢复

(config)#no service password-recovery

禁止在ROMMON模式下重置密码,应该是在ASA下,在路由器中没有这个特性

 

使用安全密码

R1(config)#username loneblog secret l0neb10g

R1(config)#do sh run  | se user
username loneblog secret 5 $1$LYyK$LbSVDrT84f2MFysBJD1Fu0

这是通过hash算法得出的密文,破解难度大

 

EXEC超时

R1(config)#lin con 0

R1(config-line)#exec-timeout 10 0

这个不用多说。第一位分钟,第二位秒钟

 

Privilege

R1(config)#privilege exec level 1 clear line

把一个命令从高等级放到低等级,默认高级可以拥有所有低级命令

 

Role-based CLI views

首先要开启AAA

R1#enable view root
% AAA must be configured.

R1(config)#aaa new-model

R1#enable view root
Password:
*Mar  1 00:02:20.843: %PARSER-6-VIEW_SWITCH: successfully set to view ‘root’.

R1(config)#parser view loneblog
*Mar  1 00:05:27.831: %PARSER-6-VIEW_CREATED: view ‘loneblog’ successfully created.

R1(config-view)#secret lone1
R1(config-view)#commands exec include ping

R1(config-view)#do sh run | se parse
parser view loneblog
secret 5 $1$56jC$CBhsqOmuChT5dIYQjZEdr.
commands exec include ping

R1(config-view)#end

R1#enable view loneblog
Password:

R1#?
Exec commands:
  enable  Turn on privileged commands
  exit    Exit from the EXEC
  ping    Send echo messages
  show    Show running system information

基于角色的CLI

 

Protecting Router Files

R1(config)#secure ?
  boot-config  Archive the startup configuration
  boot-image   Secure the running image

R1(config)#secure boot-config restore flash:/secure.cfg

我再Version 12.4(10)没有看到这条命令,但在 Version 12.4(15)T6中就有了。

保护flash中文件包括ios和config,这个命令只能从console使用,vty就甭想了。

 

Login Enhancements

login block-for 600 attempts 3 within 60

block600秒,如果在60秒内3次登录失败

login delay 2

每次登陆错误延迟2秒

login quiet-mode access-class block.ssh.new

安静模式对于ACL block.ssh.new

login on-failure trap every 3

每3次登录失败则trap跟踪

login on-success trap

每次登陆成功都trap跟踪

ip access-list standard block.ssh.new

分享道
相关新闻