IOS比我們相像中的要“堅強”

思科IOS自帶了很多功能，用以加強自身的安全性，但很多時候我們都忽略了，沒有正确使用。IOS比我們想象中的堅強，合理使用這些安全特性，可以增強網絡的安全。

1、限制裝置的密碼長度，一般在預設情況下，我們都沒有設定。具體設定如下：

WYLZ-R1(config)#security passwords min-length 7 

在這裡裝置密碼的最小長度是7，然後配置一個5位長度的密碼時，如下所示：

WYLZ-R1(config)#enable secret cisco

% Invalid Password length - must contain 7 to 25 characters. Password configuration failed

此時提示，無效的密碼長度，密碼長度在7到25個字元之間。

2、密碼加密政策，預設情況下telnet密碼和enable password都是明文顯示的，通過show run就完全可以看到，使用密碼政策可以将密碼加密以密文的形式顯示。具體設定如下：

WYLZ-R1(config)#do sh run | b line

line con 0

 exec-timeout 0 0

 logging synchronous

line aux 0

line vty 0 4

 password cisco123      //以明文顯示了telnet密碼

 login

 length 0

 transport input none

啟用密碼加密政策

WYLZ-R1(config)#service password-encryption 

 password 7 02050D4808095E731F       //密碼已經以密文的形式顯示了。

當然了，這種形式加密的密碼是可以破解的，是以建議telnet密碼和特權密碼不要相同。

3、為不同的使用者配置設定不同的權限，很多時候我們隻設定一個telnet密碼和一個特權密碼，那麼任何人登入都具有完全控制權限。

WYLZ-R1(config)#privilege exec level 2 show interface e0/0

WYLZ-R1(config)#privilege exec level 2 show ip int bri

WYLZ-R1(config)#privilege exec level 2 show cdp nei

WYLZ-R1(config)#privilege exec level 2 ping

WYLZ-R1(config)#privilege exec level 2 traceroute

上面是設定使用者登入後可以執行的指令

WYLZ-R1(config)#username user01 privilege 2 password cisco123

将使用者與權限級别進行關聯。

測試後如下所示：

WYLZ-R2#telnet 172.16.12.1

Trying 172.16.12.1 ... Open

User Access Verification

Username: user01

Password: 

WYLZ-R1#sh run        //不可以執行show run指令，沒有權限。

            ^

% Invalid input detected at '^' marker.

WYLZ-R1#conf t         //不可以執行conf t指令，同樣沒有權限。

           ^

WYLZ-R1#sh ip int bri

Interface                  IP-Address      OK? Method Status                Protocol

Ethernet0/0                172.16.12.1     YES manual up                    up      

Ethernet0/1                unassigned      YES NVRAM  administratively down down    

Ethernet0/2                unassigned      YES NVRAM  administratively down down    

Ethernet0/3                unassigned      YES NVRAM  administratively down down    

Ethernet1/0                unassigned      YES NVRAM  administratively down down    

Ethernet1/1                unassigned      YES NVRAM  administratively down down    

Ethernet1/2                unassigned      YES NVRAM  administratively down down    

Ethernet1/3                unassigned      YES NVRAM  administratively down down    

Serial2/0                  unassigned      YES NVRAM  administratively down down    

Serial2/1                  unassigned      YES NVRAM  administratively down down    

Serial2/2                  unassigned      YES NVRAM  administratively down down    

精确細緻地為不同使用者賦予不同的權限，可以有效地保護網絡的安全。

本文轉自 彎月樓主 51CTO部落格，原文連結：http://blog.51cto.com/05wylz/1786515，如需轉載請自行聯系原作者