Cisco: Ограничение прав для пользователя
Возникла необходимость завести на роутере Cisco пользователя с минимально необходимыми для наших задач правами.
Для начало нужно убедиться, что включено вот это:
aaa new-model
aaa authorization exec default local
Заводим нужного пользователя с минимальным уровнем привилегий (0):
username test privilege 0 password Pass1234
По-умолчанию уровень привилегий равен 1, так что зайдя под обычным пользователем вы будете на уровень выше.
Даём указанному уровню доступ к нужным командам:
privilege exec level 0 traceroute
privilege exec level 0 ping
privilege exec level 0 show ip
privilege exec level 0 show
Указанные разрешения рекурсивные, т.е. чтобы работало «show ip», надо разрешить и «show».
Посмотреть доступные команды можно войдя под этим пользователем и введя знак вопроса. При этом внимательный админ заметит, что разрешена команда «enable», нам это не нужно, а потому разрешаем её только для уровня 1 и выше:
privilege exec level 1 enable
Убрать ранее введённые привилегии можно вот так:
privilege exec reset traceroute
П.С. На всякий случай подстрахуйтесь и настройте доступ через консоль сразу в привилегированный режим:
line con 0
privilege level 15
Пароль будет запрощен, но уровень привилегий будет сразу максимальным. Это может помочь если ошибётесь с настройками привилегий.
Для начало нужно убедиться, что включено вот это:
aaa new-model
aaa authorization exec default local
Заводим нужного пользователя с минимальным уровнем привилегий (0):
username test privilege 0 password Pass1234
По-умолчанию уровень привилегий равен 1, так что зайдя под обычным пользователем вы будете на уровень выше.
Даём указанному уровню доступ к нужным командам:
privilege exec level 0 traceroute
privilege exec level 0 ping
privilege exec level 0 show ip
privilege exec level 0 show
Указанные разрешения рекурсивные, т.е. чтобы работало «show ip», надо разрешить и «show».
Посмотреть доступные команды можно войдя под этим пользователем и введя знак вопроса. При этом внимательный админ заметит, что разрешена команда «enable», нам это не нужно, а потому разрешаем её только для уровня 1 и выше:
privilege exec level 1 enable
Убрать ранее введённые привилегии можно вот так:
privilege exec reset traceroute
П.С. На всякий случай подстрахуйтесь и настройте доступ через консоль сразу в привилегированный режим:
line con 0
privilege level 15
Пароль будет запрощен, но уровень привилегий будет сразу максимальным. Это может помочь если ошибётесь с настройками привилегий.
0 комментариев