我們在網路設備上使用 tacacs 進行 AAA,我對我們的設備如何加密設備端的密碼感興趣/好奇。
繼Arista EOS 手冊,第 139 頁,我正在運行:
switch(config)#tacacs-server key 0 cv90jr1
指南告訴我對應的加密字串是020512025B0C1D70.
switch(config)#show running-config | grep tacacs
tacacs-server key 7 1306014B5B06167B
看到與他們提到的不同的加密字串讓我很好奇。所以我又加入了同一個金鑰十次,並查看了加密版本:
tacacs-server key 7 0110105D0B01145E
tacacs-server key 7 070C37151E030B54
tacacs-server key 7 020512025B0C1D70
tacacs-server key 7 1306014B5B06167B
tacacs-server key 7 020512025B0C1D70
tacacs-server key 7 020512025B0C1D70
tacacs-server key 7 0110105D0B01145E
tacacs-server key 7 110A0F5C4718195D
tacacs-server key 7 0007055F54511957
tacacs-server key 7 03074D525605331D
我找不到任何有關此的資訊。我特別感興趣的是,我碰撞了手冊的鑰匙三次,並在那裡發生了另一次單獨的碰撞。無論他們做什麼,似乎都沒有特別大的輸入域。
那麼這是如何加密的呢?如果對手要取得裝置的設定資訊(例如 的輸出show running-config),計算真正的 tacacs+ 金鑰有多容易/困難?
Cisco IOS 的運作方式是否相同?我沒有實驗室 Cisco 設備來對此進行實驗,但我的印像是 Arista 認為不需要不同的功能在 Arista 和 Cisco 之間是相同的。
答案1
答案2
正如 Shane 所提到的,這些金鑰幾乎沒有加密,通常被認為只是為了防止遠端查看金鑰和密碼。事實上,如果你沒有服務密碼加密在 Cisco 中啟用,金鑰將是明文。
通常建議,如果您需要與組織外部的人員共用此配置,則需要從設定檔中刪除金鑰以及使用類型 7 的任何其他密碼。