이번에 고객 사이트에서 요청이 있었는데요.
내용이 무엇이냐면, 유지보수 업체의 인원에게 admin 계정이 아닌, 별도의 계정을 주고 권한도 차등되도록 해 달라는 내용이었습니다.
얼마 전 은행 개인정보 유출 사태 이후 보안 강화의 목적으로 진행되는 내용인데요.
사실 엔지니어적인 측면에서 보면 큰 의미 없는 움직임이라 보여집니다.
어쨋든.. Cisco 장비에서 admin 계정 외 별도의 계정 생성 방법은 간단합니다.
conf t
username admin password cisco
enable password cisco
enable secret cisco
일반적으로 하나의 계정만 생성할 경우 이렇게 만들죠.
하지만 여러개의 계정을 생성할 경우에는 privilege Level 을 다르게 하여 권한을 부여할 수 있습니다.
authen-test(config)#user admin pri
authen-test(config)#user admin privilege ?
<0-15> User privilege level
authen-test(config)#user admin privilege 15 pass
authen-test(config)#user admin privilege 15 password ?
0 Specifies an UNENCRYPTED password will follow
7 Specifies a HIDDEN password will follow
LINE The UNENCRYPTED (cleartext) user password
authen-test(config)#user admin privilege 15 password cisco123
authen-test(config)#
이어서 점검용 "test" 라는 이름의 다른 level 계정을 추가합니다.
authen-test#conf t
Enter configuration commands, one per line. End with CNTL/Z.
authen-test(config)#
*Mar 1 03:20:27.271: %SYS-5-CONFIG_I: Configured from console by console
authen-test(config)#user test privi 10 pass test
authen-test(config)#
그리고 privilege level 10 에서 사용할 수 있는 명령어를 추가할 수 있죠.
기본적으로 privilege level 10 에서는 웬만한 명령어는 다 사용할 수가 있습니다.
Config 수정 및 Running-config 확인은 불가합니다.
이 두 가지 명령어에 대한 접근 권한은 다음과 같이 추가 가능합니다.
authen-test#conf t
Enter configuration commands, one per line. End with CNTL/Z.
authen-test(config)#privil exec level 10 sh start
authen-test(config)#privil exec level 10 conf t
authen-test(config)#privil exec level 10 sh flash:
authen-test(config)#
sh run 이 아닌, sh start 를 넣은 이유는 해보시면 알겠지만, 아래 보시는 것처럼 sh run 의 경우 명령어는 입력이 되지만,
해당 Privilege Level 10 권한의 계정에서는 아무런 내용을 확인할 수 없습니다.
User Access Verification
Username: test
Password:
authen-test#
authen-test#
authen-test#sh run
Building configuration...
Current configuration : 17 bytes
!
!
!
!
!
!
end
authen-test#
하지만 sh start의 경우 전체 Startup-config 의 내용을 확인할 수 있죠.
authen-test#sh start
Using 4047 out of 393216 bytes
!
version 12.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname authen-test
!
enable secret level 10 5 $1$QRcO$aiTUqDPVgQVYl49RE4Be51
enable secret 5 $1$ANFC$H9qdKC4erjL2uNUdf/cN.1
!
username admin privilege 15 password 0 cisco123
username test privilege 10 password 0 test
aaa new-model
!
!
aaa authorization exec default local
!
!
!
aaa session-id common
===== 중략 =====
그리고 enable password 입력 없이 바로 privilege mode 로 login 가능하도록 하기 위해서는 aaa 명령어를 통해 다음과 같이 하면 가능합니다.
aaa new-model
aaa authorization exec default local
Privilege Level 10 에서 Config 수정 외 웬만한 명령어는 다 확인이 가능합니다.
확인 결과 안 되는 명령이 sh run, dir , config t 명령이었는데요.
위에서 언급한 것처럼 해당 명령은 privilege exec level 10 명령을 통해 추가 가능합니다.
sh run 은 sh start 로,
dir 은 sh flash: 로 대체 가능합니다.
♥읽어주셔서 감사합니다♥
티스토리 댓글과 공감♥은 로그인이 필요 없습니다.
로그인하시면 구독 가능합니다.
'IT 이야기 > 네트워크(Network)' 카테고리의 다른 글
| Linux Shell Script 를 이용한 Cisco IOS Password 일괄 변경 (0) | 2019.06.07 |
|---|---|
| Cisco syslog Configuration (4) | 2016.12.14 |
| Cisco Router E1/T1 Configuration (0) | 2016.03.10 |
| huawei AP http login Configuration (0) | 2015.11.18 |
| Cisco Nexus Switch 에서 wr 명령으로 저장하기 (cli alias_NX-OS) (0) | 2014.12.15 |
| Cisco 장비 Config 백업 (Archive Backup) (0) | 2014.11.18 |
| L4 명령어 (0) | 2014.09.30 |
| cisco dhcp 를 이용한 mac address 고정IP 설정 (0) | 2012.07.18 |
