Tôi đã tự hỏi nếu hoàn toàn có thể định cấu hình chính sách mật khẩu để thực thi độ phức tạp của mật khẩu cho các tài khoản được xác định cục bộ. Tôi biết TACACS + và RADIUS có thể, nhưng tôi cần biết liệu có thể thực thi chính sách đó đối với các tài khoản được xác định cục bộ hay không.
Các thiết bị tôi có trong phạm vi đang chạy IOS và NX-OS
Câu trả lời:
Về độ phức tạp của mật khẩu cho các tài khoản cục bộ, bạn có các tùy chọn này ...
no password strength-checkingtrong cấu hình toàn cầu.security password min-length. Phải thừa nhận rằng, độ dài là một kiểm tra khá yếu, nhưng ít nhất IOS có thể phát hiện / từ chối các cuộc tấn công vũ phu (xem bên dưới).Có một vài điều cần nhớ ...
Nhiều phiên bản cũ hơn của Cisco IOS sử dụng hàm băm "Loại 7" yếu để bảo vệ mật khẩu khỏi lướt vai; Có một tỷ công cụ như thế này trên internet để đảo ngược những băm đó. Băm loại 7 không nên được coi là an toàn và do đó, lưu trữ cấu hình trong một thư mục có thực thi quyền tốt (ví dụ: thư mục tftp linux của bạn có thể không phải là một vị trí tốt, vì hầu hết mọi người thay đổi quyền truy cập tệp tftp thành 777).
service password-encryption.secrettừ khóa khi có thể trong tên người dùng: vd username joe secret 5 $1$pJz5$28CTViXggZmhjikYdDyls0. Đây ít nhất là một md5hàm băm tốt của mật khẩu văn bản gốc. Các phiên bản iOS mới hơn cố gắng sử dụng thuật toán mạnh hơn , nhưng không thành công trước khi thực hiện đúng.secrettừ khóa hay không. Trong linux, nó đơn giản như grep ^username /path/to/your/configs/* | grep -v secret(ghi chú cho chính tôi để làm điều này ngày hôm nay tại $ dayjob của tôi)login block-for 60 attempts 3 within 300login quiet-mode access-class [acl-name]; theo mặc định, iOS áp dụng một acl được gọi làsl_def_acl