本文详细介绍了网络设备中不同类型的密码管理,包括特权模式密码、加密方式及口令安全策略。讲解了enable password、enable secret、控制台登录密码、辅助线路和虚拟终端线路的配置。此外,还探讨了用户级别控制、服务密码加密以及AAA(Authentication、Authorization、Accounting)认证授权的重要性和配置方法,确保网络设备的安全管理。
一.进入 特权模式 密码
设置访问网络设备特权模式口令
cisco>enable
cisco#config terminal
cisco(config)#enable password 密码
enable password存在的问题是它将口令以可阅读文本的形式储存在 running-config和startup-config中
特别说明:
Router(config)#enable password ?
7 Specifies a HIDDEN password will follow
LINE The UNENCRYPTED (cleartext) 'enable' password
level Set exec level password
7
是思科自有的加密协议type7,比较简单,容易破解,这里的用法是 enable password 7 ……
后面是加入密文才有效。这个密文通常要在以前备份的配置里拷贝才行,用于配置恢复时使用。
比如你设置enable password cisco
然后使用service password-encryption命令开启加密
在show running-config里面能够看到enable password 7 104D000A0618
104D000A0618这个值你就可以直接写在enable password 7后面,实际就是cisco密文加密的结果
LINE
直接输入密码,不加密,明文显示
level (后面讲)
设置用户级别密码 指定密码作用于哪个级别(实际操作中会将密码加密保存)
共15个等级 最低为1 最高为15(相当于root权限)
进入对应的级别输入 相应的密码
如:Router>enable 5 (此时应输入5级密码)
在网络设备中,默认情况下,除了使能加密口令外,其它所有口令都以明文格式储存在startup-config 和 running-config中。使用 service password-encryption 命令后,所有系统口令都将以加密形式存储。
加密系统所有口令
cisco(config)# service password-encryption
加密的方式是cisco私有加密方式
取消系统口令加密
cisco(config)# no service password-encryption
取消加密不会将已加密的口令恢复为可阅读文本,但是新设置的密码将会以明文存在
二.使能密码
思科引入新的口令控制特权模式访问,即加密口令,使能密码
设置访问网络设备特权模式加密口令
cisco>enable
cisco#config terminal
cisco(config)#enable secret 密码
采用了MD5加密,如果配置了加密口令,则不在使用未加密口令,两种口令不能并列使用
特别说明:
Router(config)#enable secret ?
0 Specifies an UNENCRYPTED password will follow
5 Specifies an ENCRYPTED secret will follow
LINE The UNENCRYPTED (cleartext) 'enable' secret
level Set exec level password
其实对于Secret 选项来说,密码肯定是会被加密的。
假设我要设置的密码为cisco
0 是指:我现在即将输入的密码是原始密码,是:cisco
5 是指:就是输入cisco 的MD5值:$1$XNRo$8FSa/XSF9DbmF6VbK6L6K
level : 设置用户级别密码 指定密码作用于哪个级别
最低0.47元/天 解锁文章
653
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
