デフォルトで暗号化されないパスワードを暗号化する
※ 前の「シナリオ」の続きとして記載しています。
ネットワーク構成図
- running-config を確認しなさい。
- デフォルトでは暗号化されないパスワードを暗号化しなさい。
- 設定したコンフィグを確認しなさい。
- デフォルトでは暗号化されないパスワードの暗号化を無効にしなさい。
- 設定したコンフィグを確認しなさい。
- 次のパスワードを設定しなさい。
- 設定したコンフィグを確認しなさい。
RT-A# show run Building configuration... Current configuration : 891 bytes ! ! no service password-encryption ← パスワードの暗号化は無効 ! ! enable secret 4 8Yn3YXhZzp7CvwylTqs7xosa/yPYiGsjoYJpDDVNa7A ← 暗号化された特権パスワード enable password cisco ← 暗号化されていない特権パスワード ! ! line con 0 exec-timeout 0 0 password conspass ← コンソールパスワード logging synchronous login line aux 0 password auxpass ← aux パスワード login line vty 0 4 password vtypass ← vty (Telnet) パスワード login transport input all ! !
RT-A# conf t Enter configuration commands, one per line. End with CNTL/Z. RT-A(config)# service password-encryption RT-A(config)# ^Z RT-A#
service password-encryptionコマンドは、デフォルトで暗号化されないパスワードを暗号化することができます。
現在設定されているパスワードも、今後設定するパスワードも暗号化されます。
現在設定されているパスワードも、今後設定するパスワードも暗号化されます。
RT-A# show run ! ! service password-encryption ← パスワードの暗号化が有効になっている ! ! enable secret 4 8Yn3YXhZzp7CvwylTqs7xosa/yPYiGsjoYJpDDVNa7A ← 元々暗号化されているため変化なし enable password 7 110A1016141D ← 暗号化されている ! ! line con 0 exec-timeout 0 0 password 7 1306181C181C053938 ← 暗号化されている logging synchronous login line aux 0 password 7 59DD08B2CBC821D0 ← 暗号化されている login line vty 0 4 password 7 0010160A145A1815 ← 暗号化されている login transport input all ! !
デフォルトでは enable secret のみが暗号化され、それ以外のパスワードは暗号化されず show run を実行した時に設定したパスワードがそのまま表示されます。そのため、show run で設定情報の確認をしている時に、後ろから他の人にパスワードを盗み見られる可能性があります (これをショルダーハッキングと言う) 。
セキュリティを重視する場合は、
service password-encryption コマンドで enable secret 以外のパスワードも暗号化するようにしましょう。
セキュリティを重視する場合は、
service password-encryption コマンドで enable secret 以外のパスワードも暗号化するようにしましょう。
RT-A# conf t Enter configuration commands, one per line. End with CNTL/Z. RT-A(config)# no service password-encryption RT-A(config)# ^Z RT-A#
no service password-encryption コマンドで暗号化されないパスワードの暗号化を解除します。
このコマンド入力以降に設定したパスワードは暗号化されません。
ただし、既に暗号化されているパスワードは暗号化されたままです。
このコマンド入力以降に設定したパスワードは暗号化されません。
ただし、既に暗号化されているパスワードは暗号化されたままです。
RT-A# show run ! ! no service password-encryption ← パスワードの暗号化が無効になっている ! ! enable secret 4 8Yn3YXhZzp7CvwylTqs7xosa/yPYiGsjoYJpDDVNa7A ← これは関係なし enable password 7 110A1016141D ← 暗号化されたまま ! ! line con 0 exec-timeout 0 0 password 7 1306181C181C053938 ← 暗号化されたまま logging synchronous login line aux 0 password 7 59DD08B2CBC821D0 ← 暗号化されたまま login line vty 0 4 password 7 0010160A145A1815 ← 暗号化されたまま login transport input all ! !
| 暗号化されない特権パスワード | cisco |
|---|
RT-A# conf t
Enter configuration commands, one per line. End with CNTL/Z.
RT-A(config)# enable password cisco ← 暗号化されない特権パスワードの設定
RT-A(config)# ^Z
RT-A#
RT-A# show run ! ! no service password-encryption ← パスワードの暗号化が無効になっている ! ! enable secret 4 8Yn3YXhZzp7CvwylTqs7xosa/yPYiGsjoYJpDDVNa7A ← これは関係なし enable password cisco ← 暗号化されていない ! ! line con 0 exec-timeout 0 0 password 7 1306181C181C053938 ← 暗号化されたまま logging synchronous login line aux 0 password 7 59DD08B2CBC821D0 ← 暗号化されたまま login line vty 0 4 password 7 0010160A145A1815 ← 暗号化されたまま login transport input all ! !
no service password-encryption コマンドが入力された以降に enable password cisco を実行したため、このパスワードは暗号化されていません。