Комментарии 19
Сейчас ведь и «write mem» можно в 15 сделать, не так ли?
Спасибо, хорошая памятка.
Имхо циски конфигурить нужно не по шпаргалке, а с пониманием…
от себя добавлю:
#Блокировка, задержка входа
(config)#login delay 5
(config)#login block-for 60 attempts 3 within 30
#SSH на нестандартном порту
(config)#ip nat inside source static tcp INT_IP 22 interface FastEthernet4 RAND_PORT
#Блокировка, задержка входа
(config)#login delay 5
(config)#login block-for 60 attempts 3 within 30
#SSH на нестандартном порту
(config)#ip nat inside source static tcp INT_IP 22 interface FastEthernet4 RAND_PORT
Возьму на вооружение.
а как сделать авторизацию по ключам? (ssh-agent)
Честно говоря не знаю. Может кто из местных гуру подскажет.
Я бы ещё добавил несколько хинтов:
изредка бывает, что ключ… слетает! Проверить наличие своего ключа можно командой
sh cry key mypubkey rsa
Иногда стоит привязка имени ключа к его «телу». При перевыработке ключа имя может остаться (например, defaultkey.domain.ru), а собственно небо поменякется.
Ключи можно вырабатывать не только дефолтовые, но и задавать им метки, чтобы впоследствии вырабатывать по ним сертификаты, например.
Чтобы убить ключи надо дать команду
cry key zeroize rsa [название ключа]
и потом тоже сохраниться
wr
изредка бывает, что ключ… слетает! Проверить наличие своего ключа можно командой
sh cry key mypubkey rsa
Иногда стоит привязка имени ключа к его «телу». При перевыработке ключа имя может остаться (например, defaultkey.domain.ru), а собственно небо поменякется.
Ключи можно вырабатывать не только дефолтовые, но и задавать им метки, чтобы впоследствии вырабатывать по ним сертификаты, например.
Чтобы убить ключи надо дать команду
cry key zeroize rsa [название ключа]
и потом тоже сохраниться
wr
Ещё осторожно надо работать с aaa new-model
При включении этой технологии включаются дефолтовые правила аутентификации
aaa authentication login default local
Если при этом не создан юзер вы попадаете в ловушку: невозможно зайти на железку по ssh (да и по консоли тоже)
Имеет смысл правило описать явно и применить на line vty
Еще момент: создавать юзера сразу 15 уровня привилегий значит несколько понижать безопасность. Получается не 2 пароля (ssh и enable) а один
При включении этой технологии включаются дефолтовые правила аутентификации
aaa authentication login default local
Если при этом не создан юзер вы попадаете в ловушку: невозможно зайти на железку по ssh (да и по консоли тоже)
Имеет смысл правило описать явно и применить на line vty
Еще момент: создавать юзера сразу 15 уровня привилегий значит несколько понижать безопасность. Получается не 2 пароля (ssh и enable) а один
Кстати эту команду полчаса искал, когда конфиг надо было от ключа вычистить.
А почему вы предпочитаете создавать пользователя с password, а не с secret?
Опять же, если дается команда
username user privilege 15 password 7 Pa$$w0rd
то подразумевается, что Pa$$w0rd — это уже шифрованный пароль.
Опять же, если дается команда
username user privilege 15 password 7 Pa$$w0rd
то подразумевается, что Pa$$w0rd — это уже шифрованный пароль.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Настройка SSH в Cisco