ローカルで定義されたアカウントにパスワードの複雑さを適用するパスワードポリシーを構成することはまったく可能かどうか疑問に思っていました。TACACS +とRADIUSで可能であることは知っていますが、ローカルで定義されたアカウントにそのようなポリシーを適用できるかどうかを知る必要があります。
私が対象とするデバイスは、IOSとNX-OSを実行しています
ローカルで定義されたアカウントにパスワードの複雑さを適用するパスワードポリシーを構成することはまったく可能かどうか疑問に思っていました。TACACS +とRADIUSで可能であることは知っていますが、ローカルで定義されたアカウントにそのようなポリシーを適用できるかどうかを知る必要があります。
私が対象とするデバイスは、IOSとNX-OSを実行しています
回答:
ローカルアカウントのパスワードの複雑さに関しては、次のオプションがあります...
no password strength-checkingは、グローバル構成で使用します。security password min-length。確かに、長さ自体はかなり弱いチェックですが、IOSは少なくともブルートフォース攻撃を検出/拒否できます(以下を参照)。覚えておくべきことがいくつかあります...
Cisco IOSの古いバージョンの多くは、弱い「タイプ7」ハッシュを使用して、パスワードをショルダーサーフィンから保護しています。このようなハッシュを元に戻すためのツールがインターネット上に10億あります。タイプ7のハッシュは安全であると考えるべきではないため、適切な権限が適用されているディレクトリに構成をアーカイブします(つまり、ほとんどの人がtftpファイルの権限を777に変更するため、Linux tftpディレクトリは適切な場所ではありません)。
service password-encryptionます。secretユーザー名で可能な場合は常にキーワードを使用する必要がありますusername joe secret 5 $1$pJz5$28CTViXggZmhjikYdDyls0。これは、少なくともmd5平文パスワードのまともなハッシュです。新しいIOSバージョンはより強力なアルゴリズムを使用しようとしますが、正しくなる前に失敗しました。secretキーワードを使用するようにローカルアカウントをアップグレードできるかどうかを確認することは、悪い考えではありません。Linuxでは、それはgrep ^username /path/to/your/configs/* | grep -v secret(今日$ dayjobでこれを行うように自分にメモをとる)と同じくらい簡単です。login block-for 60 attempts 3 within 300login quiet-mode access-class [acl-name]。デフォルトでは、IOSはaclと呼ばれるsl_def_acl