ネットワーク デバイスのコンソール ポートは必ず保護しなければなりません。最低でも、ユーザに強力なパスワードの入力を要求する必要があります。 そうすれば、権限のない人がデバイスに物理的にケーブルを接続してデバイスにアクセスする可能性が減ります。
コンソール ラインに対してパスワードを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
Switch(config)# line console 0
Switch(config-line)# password cisco
Switch(config-line)# login
まずグローバル コンフィギュレーション モードで line console 0 コマンドを使用して、コンソールのライン コンフィギュレーション モードに入ります。 0 は最初のコンソール インターフェイスを表します(ただし、多くの場合、コンソール インターフェイスは 1 つだけです)。
次に password cisco コマンドで、コンソール ラインのパスワードを指定します。
login コマンドは、ログイン時に認証を要求するようにスイッチを設定します。 ログインが有効になり、パスワードが設定されると、コンソール ユーザは CLI にアクセスする前にパスワードの入力を求められるようになります。
VTY のパスワード
vty ラインにより、Telnet を通じてシスコ デバイスにアクセスできるようになります。 デフォルトでは、多くのシスコ スイッチが最高で 16 個(0 ~ 15 の番号で表される)の vty ラインをサポートします。 シスコ ルータでサポートされる vty ラインの数は、ルータのタイプと IOS のバージョンによって異なります。 ただし、vty ラインの最も一般的な設定数は 5 です。 これらのラインにはデフォルトで 0 ~ 4 の番号が付いていますが、追加のラインも設定できます。 使用可能なすべての vty ラインにパスワードを設定する必要があります。 すべての接続に同じパスワードを設定できます。 ただし、他の接続が使用中の場合にデバイスへの管理上の入力に対してフォールバックを提供するために、ラインごとに別々のパスワードを設定するのが一般に望ましいでしょう。
vty ラインのパスワードを設定するコマンドの例:
Switch(config)# line vty 0 15
Switch(config-line)# password cisco
Switch(config-line)# login
IOS には、デフォルトで VTY ラインに対する login コマンドが含まれています。 これにより、認証なしで Telnet を通じてデバイスにアクセスすることが防止されます。 誤って no login コマンドを設定した場合、認証が不要になるので、権限のない人が Telnet を使用してネットワーク経由でそのラインに接続する可能性があります。 これは重大なセキュリティ リスクとなります。
図は、コンソール ラインと Telnet ラインでのユーザ EXEC アクセスの保護を示しています。