2009-11-08

Question of the day

вопрос:
какими способами можно запретить привилегированому пользователю перезагружать роутер? :)

ответы:

1) сделав alias команды reload:
conf t
alias exec relo sh ver
alias exec reloa sh ver
alias exec reload sh ver
^Z
wr mem
2) Role-Based CLI, поместив пользователя в вид в котором команда reload запрещена:
conf t
aaa new
ena pass cisco123
^Z
enable view
cisco123
conf t
parser view reload
secret cisco123-super-secret
commands exec include-exclusive all reload
parser view normal
secret cisco123
username test nopassword priv 15 view normal
aaa authentication login default local
aaa authorization exec default local
aaa authorization console
^Z
wr mem
logout
3) Embedded Event Manager - при вводе команды reload писать в сислог сообщение, а команду - игнорировать :)
conf t
event manager applet noReload
event cli pattern "relo.*" sync no skip yes
action 10 syslog msg "Reload not permitted"

буду рад услышать ваши остроумные способы :)

Немає коментарів: