Пароль на привилегированный режим EXEC (enable-mode) можно задать двумя способами: используя команду enable password <пароль> и enable secret <пароль>. При использовании любого из этих способов конечная цель будет достигнута - будет установлен пароль на режим enable. В чем принципиальная разница между использованием secret и password? Давайте разберемся вместе.
В последствии в связи с требованиями по безопасности, диктуемыми возрастающим количеством взломов и атак, была добавлена команда secret, позволяющая установить зашифрованный пароль, хранящийся в конфигурации в виде md5-хеша.
Однако, в текущих версиях IOS присутствуют оба вида команд. Рекомендуется использовать secret, т.к. это соответствует требованиям безопасности различных аудитов. В таком случае зачем же оставлена команда password? Как заявляет производитель - для обратной совместимости конфигураций различных версий IOS.
Что будет, если на устройстве будет одновременно и пароль password, и зашифрованный пароль secret? Зашифрованный пароль имеет приоритет над паролем password, поэтому он фактически отключает password, в результате чего вход работает только по secret. Данное утверждение легко проверяется на любом устройстве Cisco, а так же воспроизводится в симуляторе Packet Tracer. Ниже пример вывода консоли:
Router>
Router>enable
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#enable password 123
Router(config)#enable secret qwerty
Router(config)#exit
!
=========Выходим и заходим на устройство вновь
!
Router>ena
Password: //здесь ввод пароль 123. Не пускает, т.к. сконфигурирован secret
Password: //а это уже ввод qwerty
Router>enable
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#enable password 123
Router(config)#enable secret qwerty
Router(config)#exit
!
=========Выходим и заходим на устройство вновь
!
Router>ena
Password: //здесь ввод пароль 123. Не пускает, т.к. сконфигурирован secret
Password: //а это уже ввод qwerty
Router#sh run
!
------Часть конфига удалена---------
!
!
enable secret 5 $1$mERr$H/ic/D4UjHzrMLIm1rWfl/
enable password 123
!
------Часть конфига удалена---------
------Часть конфига удалена---------
!
!
enable secret 5 $1$mERr$H/ic/D4UjHzrMLIm1rWfl/
enable password 123
!
------Часть конфига удалена---------
Описанное выше так же справедливо для паролей, задаваемых в локальной базе данных пользователей. Но при этом нужно помнить, что для некоторых случаев пароль пользователя должен быть задан именно через password.
Комментариев нет:
Отправить комментарий