본문 바로가기

IT 이야기/네트워크(Network)

Cisco 계정 권한 관련 (Privilege Level)

728x90
반응형

이번에 고객 사이트에서 요청이 있었는데요.

내용이 무엇이냐면, 유지보수 업체의 인원에게 admin 계정이 아닌, 별도의 계정을 주고 권한도 차등되도록 해 달라는 내용이었습니다.

얼마 전 은행 개인정보 유출 사태 이후 보안 강화의 목적으로 진행되는 내용인데요.

사실 엔지니어적인 측면에서 보면 큰 의미 없는 움직임이라 보여집니다.

어쨋든.. Cisco 장비에서 admin 계정 외 별도의 계정 생성 방법은 간단합니다.

 

conf t

username admin password cisco

enable password cisco

enable secret cisco

 

일반적으로 하나의 계정만 생성할 경우 이렇게 만들죠.

하지만 여러개의 계정을 생성할 경우에는 privilege Level 을 다르게 하여 권한을 부여할 수 있습니다.

 

authen-test(config)#user admin pri

authen-test(config)#user admin privilege ?

  <0-15>  User privilege level



authen-test(config)#user admin privilege 15 pass

authen-test(config)#user admin privilege 15 password ?

  0     Specifies an UNENCRYPTED password will follow

  7     Specifies a HIDDEN password will follow

  LINE  The UNENCRYPTED (cleartext) user password



authen-test(config)#user admin privilege 15 password cisco123

authen-test(config)#

 

 

 

이어서 점검용 "test" 라는 이름의 다른 level  계정을 추가합니다.

 

authen-test#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

authen-test(config)#

*Mar  1 03:20:27.271: %SYS-5-CONFIG_I: Configured from console by console       

authen-test(config)#user test privi 10 pass test

authen-test(config)#

 

그리고 privilege level 10 에서 사용할 수 있는 명령어를 추가할 수 있죠.

기본적으로 privilege level 10 에서는 웬만한 명령어는 다 사용할 수가 있습니다.

Config 수정 및 Running-config 확인은 불가합니다.

이 두 가지 명령어에 대한 접근 권한은 다음과 같이 추가 가능합니다.

 

authen-test#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

authen-test(config)#privil exec level 10 sh start

authen-test(config)#privil exec level 10 conf t  

authen-test(config)#privil exec level 10 sh flash:

authen-test(config)#

 

sh run 이 아닌, sh start 를 넣은 이유는 해보시면 알겠지만, 아래 보시는 것처럼 sh run 의 경우 명령어는 입력이 되지만, 

해당 Privilege Level 10 권한의 계정에서는 아무런 내용을 확인할 수 없습니다.

 

User Access Verification

Username: test
Password: 

authen-test#
authen-test#
authen-test#sh run
Building configuration...

Current configuration : 17 bytes
!
!
!
!
!
!
end

authen-test#

 

 

 

하지만 sh start의 경우 전체 Startup-config 의 내용을 확인할 수 있죠.

 

authen-test#sh start
Using 4047 out of 393216 bytes
!
version 12.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname authen-test
!
enable secret level 10 5 $1$QRcO$aiTUqDPVgQVYl49RE4Be51
enable secret 5 $1$ANFC$H9qdKC4erjL2uNUdf/cN.1
!
username admin privilege 15 password 0 cisco123
username test privilege 10 password 0 test
aaa new-model
!
!
aaa authorization exec default local 
!
!
!
aaa session-id common

===== 중략 =====

 

 

 

그리고 enable password 입력 없이 바로 privilege mode 로 login 가능하도록 하기 위해서는 aaa 명령어를 통해 다음과 같이 하면 가능합니다.

 

aaa new-model

aaa authorization exec default local 

 

Privilege Level 10 에서 Config 수정 외 웬만한 명령어는 다 확인이 가능합니다.

확인 결과 안 되는 명령이 sh run, dir , config t 명령이었는데요.

위에서 언급한 것처럼 해당 명령은 privilege exec level 10 명령을 통해 추가 가능합니다.

sh run 은 sh start 로,

dir 은 sh flash: 로 대체 가능합니다.

 

 

 

 

 

 

읽어주셔서 감사합니다
티스토리 댓글과 공감은 로그인이 필요 없습니다.
로그인하시면 구독 가능합니다.

 

 

728x90
반응형