ネットワーク構成図
- running-config を確認しなさい。
RT-A# show run
Building configuration...
Current configuration : 891 bytes
!
!
no service password-encryption ← パスワードの暗号化は無効
!
!
enable secret 4 8Yn3YXhZzp7CvwylTqs7xosa/yPYiGsjoYJpDDVNa7A ← 暗号化された特権パスワード
enable password cisco ← 暗号化されていない特権パスワード
!
!
line con 0
exec-timeout 0 0
password conspass ← コンソールパスワード
logging synchronous
login
line aux 0
password auxpass ← aux パスワード
login
line vty 0 4
password vtypass ← vty (Telnet) パスワード
login
transport input all
!
!
- デフォルトでは暗号化されないパスワードを暗号化しなさい。
RT-A# conf t
Enter configuration commands, one per line. End with CNTL/Z.
RT-A(config)# service password-encryption
RT-A(config)# ^Z
RT-A#
service password-encryptionコマンドは、デフォルトで暗号化されないパスワードを暗号化することができます。
現在設定されているパスワードも、今後設定するパスワードも暗号化されます。
- 設定したコンフィグを確認しなさい。
RT-A# show run
!
!
service password-encryption ← パスワードの暗号化が有効になっている
!
!
enable secret 4 8Yn3YXhZzp7CvwylTqs7xosa/yPYiGsjoYJpDDVNa7A ← 元々暗号化されているため変化なし
enable password 7 110A1016141D ← 暗号化されている
!
!
line con 0
exec-timeout 0 0
password 7 1306181C181C053938 ← 暗号化されている
logging synchronous
login
line aux 0
password 7 59DD08B2CBC821D0 ← 暗号化されている
login
line vty 0 4
password 7 0010160A145A1815 ← 暗号化されている
login
transport input all
!
!
デフォルトでは enable secret のみが暗号化され、それ以外のパスワードは暗号化されず show run を実行した時に設定したパスワードがそのまま表示されます。そのため、show run で設定情報の確認をしている時に、後ろから他の人にパスワードを盗み見られる可能性があります (これをショルダーハッキングと言う) 。
セキュリティを重視する場合は、
service password-encryption コマンドで enable secret 以外のパスワードも暗号化するようにしましょう。
- デフォルトでは暗号化されないパスワードの暗号化を無効にしなさい。
RT-A# conf t
Enter configuration commands, one per line. End with CNTL/Z.
RT-A(config)# no service password-encryption
RT-A(config)# ^Z
RT-A#
no service password-encryption コマンドで暗号化されないパスワードの暗号化を解除します。
このコマンド入力以降に設定したパスワードは暗号化されません。
ただし、既に暗号化されているパスワードは暗号化されたままです。
- 設定したコンフィグを確認しなさい。
RT-A# show run
!
!
no service password-encryption ← パスワードの暗号化が無効になっている
!
!
enable secret 4 8Yn3YXhZzp7CvwylTqs7xosa/yPYiGsjoYJpDDVNa7A ← これは関係なし
enable password 7 110A1016141D ← 暗号化されたまま
!
!
line con 0
exec-timeout 0 0
password 7 1306181C181C053938 ← 暗号化されたまま
logging synchronous
login
line aux 0
password 7 59DD08B2CBC821D0 ← 暗号化されたまま
login
line vty 0 4
password 7 0010160A145A1815 ← 暗号化されたまま
login
transport input all
!
!
- 次のパスワードを設定しなさい。
RT-A# conf t
Enter configuration commands, one per line. End with CNTL/Z.
RT-A(config)# enable password cisco ← 暗号化されない特権パスワードの設定
RT-A(config)# ^Z
RT-A#
- 設定したコンフィグを確認しなさい。
RT-A# show run
!
!
no service password-encryption ← パスワードの暗号化が無効になっている
!
!
enable secret 4 8Yn3YXhZzp7CvwylTqs7xosa/yPYiGsjoYJpDDVNa7A ← これは関係なし
enable password cisco ← 暗号化されていない
!
!
line con 0
exec-timeout 0 0
password 7 1306181C181C053938 ← 暗号化されたまま
logging synchronous
login
line aux 0
password 7 59DD08B2CBC821D0 ← 暗号化されたまま
login
line vty 0 4
password 7 0010160A145A1815 ← 暗号化されたまま
login
transport input all
!
!
no service password-encryption コマンドが入力された以降に enable password cisco を実行したため、このパスワードは暗号化されていません。