パスワードの設定
Ciscoルータやスイッチは複数の方法で接続することができ、複数人で管理することを可能にしています。
それに伴い、パスワードも複数の種類が用意されています。
パスワードの設定は全てグローバルコンフィギュレーションモードから開始します。
特権モードへのパスワード(暗号化なし)
特権モードへアクセスするときに使用するパスワード(暗号化なし)はenable passwordコマンドで設定します。
Router(config)#enable password cisco
特権モードへのパスワード(暗号化あり)
enable secretコマンドもenable passwordコマンド同様、特権モードへアクセスするときに使用するパスワードを設定するコマンドです。
Router(config)#enable secret cisco
enable passwordコマンドはIOS10.3以前に使用されていましたが、running-configなどに平文で保存されていたので、パスワードの文字列をそのまま表示できてしまいます。
特権モード以降の各ルータモードでは、ルータの根幹部分の設定をすることになりますので、特権モードへのパスワードを平分で保存することはセキュリティ上好ましいことではありません。
そこで、特権モードへのパスワードを設定する際は、後に追加されたenable secretコマンドを使用するのが一般的です。
enable passwordとenable secretの両方でパスワードを設定した場合、enable secretで設定したパスワードが適用されます。
つまり、enable passwordコマンドで設定したパスワードは意味をなしません。
ただし、running-configなどにはenable passwordコマンドで設定したパスワードも保存されます。
もし、enable secretと同じパスワードであったら暗号化の意味がなくなってしまうので、注意が必要です。
コンソールパスワード
コンソールパスワードはCiscoルータとロールオーバーケーブル(コンソールケーブル)で接続するときに使用するパスワードです。
コンソールパスワードはline console 0コマンドで設定します。
Router(config)#line console 0 Router(config-line)#login Router(config-line)#password line
上記例ではコンソールパスワードを「line」と設定しています。
パスワードを設定する場合、loginコマンドは必ず実行する必要があります。
loginコマンドを実行しないと、認証用プロンプトが表示されず、パスワードを設定しても、入力なしでそのままログインできてしまいます。
telnetパスワード
telnetパスワードはCiscoルータとイーサーネットを介してtelnet接続するときに使用するパスワードです。
telnetパスワードはline vtyコマンドで設定します。
Router(config)#line vty 0 4 Router(config-line)#login Router(config-line)#password telnet
「vty」とは、telnetのための仮想ポートのことです。
仮想ポートは通常、0~4の5つが用意されています。
この意味は、telnetでルータへログインするための入り口が5つあるということです。
上記例では、その5つをまとめて指定し、パスワードを設定しています。
コンソールパスワード同様、loginコマンドも必ず実行します。
telnet接続するにはあらかじめIPアドレスを設定しておく必要があります。
また、telnet接続した状態からルータの設定を変更する場合、IPアドレスの変更などに注意を払う必要があります。
例えば、telnet接続中の状態でルータのIPアドレスを変更すると、変更内容によってはルータとの接続が切断されてしまう場合があるからです。
line vtyコマンドによりtelnetパスワードが設定されていない場合、そのルータにtelnet接続しようとしても、パスワードが設定されていないため接続を拒否したという内容のエラーが返され接続できません。
ただし、no loginコマンドを使用すると、パスワードを設定せずともルータへのtelnet接続が可能となります。
補助パスワード
補助パスワードはCiscoルータとモデムを使ってリモート接続するときに使用するパスワードです。Router(config)#line aux 0 Router(config-line)#login Router(config-line)#password aux
パスワードの暗号化
ここまで設定した5つのパスワードをshow running-configコマンドで確認してみます。
enable secret 5 $1$2DxE$QC6R9fl7jca1QSD2T2VQb/ enable password cisco ! line con 0 password line login line aux 0 password aux login line vty 0 4 password telnet login
enable secretコマンドで設定したパスワード以外は平文で表示されています。
基本的に特権モードへのパスワードが守られていれば問題ないと言えるのですが、ルータ管理方法が明確に定められている場合などでは、他のパスワードも暗号化して保存しておきたいという場合もあります。
そのような場合は、service password-encryptionコマンドを使用します。
service password-encryptionコマンドは、全てのパスワードを暗号化するためのコマンドです。
Router(config)#service password-encryption
これで全てのパスワードが暗号化されました。
enable secret 5 $1$2DxE$QC6R9fl7jca1QSD2T2VQb/ enable password 7 094F471A1A0A ! line con 0 password 7 141B1B0509 login line aux 0 password 7 11080C1D login line vty 0 4 password 7 111D1C0919171F login
当然ですが、パスワードを暗号化してしまうと、パスワード文字列を確認できなくなります。
そのため設定した全てのパスワードを忘れないようにしておく必要があります。
