Ciscoのパスワード暗号化(password-encryption / enable secret)についてのメモ

 27, 2009 20:01
1812Jの場合のパスワード暗号化について



初期状態はno service password-encryptionで設定されており
イネーブルパスワードをそのまま設定しても暗号化されません。

■イネーブルパスワードを設定
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#enable password cisco

■設定の確認
Router#sh run
Building configuration...

Current configuration : 1215 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
enable password cisco
!


■設定の暗号化
Router#conf t
Router(config)#service password-encryption

■設定の確認
Router#sh run
<中略>
service password-encryption
<中略>
enable password 7 060506324F41


なお、この状態で再びno service password-encryptionを設定すると

Router#sh run
<中略>
no service password-encryption
<中略>
enable password 7 060506324F41

とパスワードは暗号化されたままとなっていますので(再起動しても同じ状態)、
暗号化されていない状態に戻すにはパスワードの上書きも必要となります。

またservice password-encryptionは暗号強度が弱く、解除する為のツールが
存在するという話も聞きますのでセキュリティを考慮するならより強力な
enable secret コマンドを利用します。

■enable secretでの設定
Router#conf t
Router(config)#enable secret test

Router#sh run
<中略>
enable secret 5 $1$7/ro$3UmJdSM0oaSM0L74HSnBQ.
enable password cisco

enable secretとenable passwordの両方が設定されていますが、
二つ同時に設定した場合に有効なのはenable secretのみとなります。

また最初からenable secret 5 $1$7/ro$3UmJdSM0oaSM0L74HSnBQ. と入力しても有効ですので、
機器の設定再投入時などで既存コンフィグをコピペしても問題ありません。

COMMENT 0


WHAT'S NEW?