دوره CCNA فصل ۰۹ - کنسول
کنسول
برای تنظیم (config) کردن دستگاههای سیسکو به دو روش میتوان به دستگاه متصل شد. از طریق کابل کنسول یا به روش ریموت: ssh یا telnet. اما بار اول تحت هر شرایطی میباید از طریق کنسول وصل شد و تنظیمات اولیه را انجام داد. در سیسکو فقط یک لاین کنسول داریم با نام console 0. به صورت پیشفرض کنسول رمز ورودی ندارد که از نظر امنیتی ایراد دارد. برای احراز هویت دو روش وجود دارد.
- با پسورد
- در این حالت فقط یک پسورد داریم و باید آنرا در اختیار تمام کسانی که میخواهند تنظیم انجام دهند قرار دهیم و طبیعتا سطح همهی دسترسیها هم یکسان است
- با یوزرنیم و پسورد
- در این روش میتوان کاربرهای مختلف تعریف کرد، که هر یک با پسورد خود و سطح دسترسیهایی که میتوان برای هر کاربر به صورت جداگانه تعیین کرد، میتوانند به سیستم وصل شوند و تنظیماتی که مجاز به انجام آن هستند را انجام دهند.
احراز هویت با پسورد
>en
#conf t
(c)#line console 0
(c-l)#password myPassword
(c-l)#login
احراز هویت با یوزرنیم و پسورد
>en
#conf t
(c)#username myUserName password myPassword
(c)#line console 0
(c-l)#login local
(c-l)#exit
در هر دو روش بالا پسوردها به صورت clear text ذخیره میشوند. کسی که خروجی دستور #show running-config را میبیند میتواند پسورد را هم ببیند. برای اینکه پسوردها به صورت encrypt شده ذخیره شوند از دستور (c)#service password-encryption استفاده کرد.
با این که این کار یک مرحله کار را سخت تر میکند و به راحتی پسورد قابل شناسایی نیست اما خیلی هم محکم نیست و به راحتی قابل شکستن است.
برای اینکه encryption محکمتری داشته باشیم باید در روش احراز هویت با یوزرنیم و پسورد به جای کلمهی password از secret استفاده کنیم. در این حالت (c)#service password-encryption تاثیری ندارد و لازم نیست.
>en
#conf t
(c)#username myUserName scret myPassword
(c)#line console 0
(c-l)#login local
(c-l)#exit
در این حالت پسورد به صورت salted hashed ذخیره میشود.
time out
به صورت پیش فرض در صورتی که ۱۰ دقیقه در محیط کنسول کاری انجام ندهید به طور اتوماتیک سشن شما بسته میشود. برای تغییر آن میتوان:
>en
#conf t
(c)#line console 0
(c-l)#exec-timeout 5 35
(c-l)#exec-timeout 0
(c-l)#no exec-timeout
خط ۴ زمان تایماوت را برابر ۵ دقیقه و ۳۵ ثانیه تنظیم میکند. خطوط ۵ و ۶ این تایماوت را حذف میکنند. یعنی تا وقتی خودتان خارج نشوید سشن شما بسته نمیشود.
logging synchronous
گاهی هنگام کانفیگ کردن دستگاههای سیسکو لاگهای سیستم بین کامندهای شما وارد میشود و نیاز است که R^ را بزنید تا کامند شما درست نشان داده شود. برای جلوگیری از این اتفاق میتوان این کامند را در محیط کنسول زد:
(c-l)#logging synchronous
پسورد گذاشتن روی enable
کاربران با زدن enable در user mode میتوانند دسترسی سطح ۱۵ بگیرند که ممکن است مطلوب نباشد. برای ورود به privilege mode میتوان پسورد تنظیم کرد:
(c)#enable password yourPassword
or it is better to use:
(c)#enable secret yourPassword
privilege
در سیسکو از ۰ تا ۱۵ سطح دسترسی داریم. ۰ کمترین و ۱۵ بیشترین سطح است. هنگام ساختن کاربر در صورتی که سطح دسترسی را مشخص نکنیم سطح ۱ در نظر گرفته میشود. کاربر با زدن دستور enable میتواند دسترسی سطح ۱۵ بگیرد. کاربری که با سطح بالاتر از ۱ ساخته میشود یعنی از ۲ تا ۱۵، به محض ورود با گذشتن از user mode وارد privilege mode میشود. در صورتی که کاربر سطح ۱۵ باشد دسترسی کامل دارد. اما اگر سطح ۲ تا ۱۴ باشد با اینکه در privilege mode است اما دستورات محدودی را میتواند اجرا کند. این دستورات برای هر سطح قابل تنظیم است که بعدا در بحث امنیت به آن پرداخته خواهد شد. در صورتی که کاربر این سطوح دستور enable را در این محیط بزند، میتواند دسترسی کامل بگیرد. (اگر همانطور که در بالا گفته شد برای enable پسورد تنظیم شده باشد این پسورد از کاربر دخواست خواهد شد.)
>en
#conf t
(c)#username myUserName1 privilege 4 scret myPassword1
(c)#username myUserName2 privilege 15 scret myPassword2
(c)#line console 0
(c-l)#login local
(c-l)#exit
خط ۳ کاربری به نام myUserName1 با دسترسی سطح ۴ خواهد ساخت. خط ۴ کاربری به نام myUserName2 با سطح دسترسی ۱۵ خواهد ساخت.
فرض کنید برای کاربر myUserName1 که سطح دسترسی ۴ دارد، و اجازهی اجرای دستور show running-config را ندارد، بخواهید مجوز دستور مذکور را صادر کنید. باید با کاربری که سطح دسترسی کافی دارد وارد شوید و در محیط کانفیگ به این ترتیب عمل کنید:
(c)#privilege exec level 4 show startup-config
با اجرای این دستور تمام کاربران سطح ۴ دسترسی اجرای show running-config را پیدا خواهند کرد.
