...
- Рекомендуется настроить хранение сообщений о событиях в файл syslog на устройстве и передачу этих событий на внешний syslog-сервер.
- Рекомендуется ограничивать размер syslog-файла на устройстве.
- Рекомендуется настраивать ротацию syslog-файлов на устройстве.
- Рекомендуется включать нумерацию сообщений syslog.
- Рекомендуется включать добавление меток timestamp msec к syslog-сообщениям на устройствах ESR-1500 и ESR-1511.
Предупреждения
- Данные, хранящиеся в файловой системе tmpsys:syslog, не сохраняются при перезагрузке устройства. Этот тип файловой системы рекомендуется использовать для хранения оперативных логов.
- Не рекомендуется использовать файловую систему flash:syslog для хранения логов, так как это может привести к преждевременному выходу из строя устройства.
...
Настраиваем хранение syslog-сообщений в файле:
| Блок кода |
|---|
esrscs(config)# syslog file tmpsys:syslog/default esrscs((config-syslog-file)# severity info esrscs((config-syslog-file)# exit |
Настраиваем ограничение размера и ротацию файлов:
| Блок кода |
|---|
esrscs(config)# syslog max-files 3 esrscs(config)# syslog file-size 512 |
...
Настраиваем передачу сообщений на внешний сервер:
| Блок кода |
|---|
esrscs(config)# syslog host mylog esrscs(config-syslog-host)# remote-address 92.168.1.2 esrscs(config-syslog-host)# transport udp esrscs(config-syslog-host)# port 514 esrscs(config-syslog-host)# severity info esrscs(config-syslog-host)# exit |
Включаем нумерацию сообщений syslog:
| Блок кода |
|---|
esrscs(config)# syslog sequence-numbers |
...
Включаем запрос на смену пароля по умолчанию для пользователя admin:
| Блок кода |
|---|
esrscs(config)# security passwords default-expired |
Устанавливаем время жизни пароля 30 дней и запрет на использование предыдущих 12 паролей:
| Блок кода |
|---|
esrscs(config)# security passwords lifetime 30 esrscs(config)# security passwords history 12 |
Устанавливаем ограничения на длину пароля:
| Блок кода |
|---|
esrscs(config)# security passwords min-length 16 esrscs(config)# security passwords max-length 24 |
Устанавливаем ограничения по минимальному количеству символов соответствующих типов:
| Блок кода |
|---|
esrscs(config)# security passwords upper-case 3 esrscs(config)# security passwords lower-case 5 esrscs(config)# security passwords special-case 2 esrscs(config)# security passwords numeric-count 4 esrscs(config)# security passwords symbol-types 4 |
...
Создаем локального пользователя local-operator с уровнем привилегий 8:
| Блок кода |
|---|
esrscs(config)# username local-operator esrscs(config-user)# password Pa$$w0rd1 esrscs(config-user)# privilege 8 esrscs(config-user)# exit |
Задаём локальный ENABLE-пароль:
| Блок кода |
|---|
esrscs(config)# enable password $6e5c4r3e2t! |
Далее необходимо отключить авторизацию у пользователя admin:
| Блок кода |
|---|
esrscs(config)# no admin login enable |
Настраиваем связь с двумя RADIUS-серверами, основным 192.168.1.11 и резервным 192.168.2.12:
| Блок кода |
|---|
esrscs(config)# radius-server host 192.168.1.11 esrscs(config-radius-server)# key ascii-text encrypted 8CB5107EA7005AFF esrscs(config-radius-server)# priority 100 esrscs(config-radius-server)# exit esrscs(config)# radius-server host 192.168.2.12 esrscs(config-radius-server)# key ascii-text encrypted 8CB5107EA7005AFF esrscs(config-radius-server)# priority 150 esrscs(config-radius-server)# exit |
...
Настраиваем политику ААА:
| Блок кода |
|---|
esrscs(config)# aaa authentication login CONSOLE radius local esrscs(config)# aaa authentication login SSH radius esrscs(config)# aaa authentication enable default radius enable esrscs(config)# aaa authentication mode break esrscs(config)# line console esrscs(config-line-console)# login authentication CONSOLE esrscs(config-line-console)# exit esrscs(config)# line ssh esrscs(config-line-ssh)# login authentication SSH esrscs(config-line-ssh)# exit |
Настраиваем логирование:
| Блок кода |
|---|
esrscs(config)# logging userinfo esrscs(config)# logging aaa esrscs(config)# syslog cli-commands |
...
Отключаем устаревшие и не криптостойкие алгоритмы:
| Блок кода |
|---|
esrscs(config)# ip ssh server esrscs(config)# ip ssh authentication algorithm md5 disable esrscs(config)# ip ssh authentication algorithm md5-96 disable esrscs(config)# ip ssh authentication algorithm ripemd160 disable esrscs(config)# ip ssh authentication algorithm sha1 disable esrscs(config)# ip ssh authentication algorithm sha1-96 disable esrscs(config)# ip ssh authentication algorithm sha2-256 disable esrscs(config)# ip ssh encryption algorithm 3des disable esrscs(config)# ip ssh encryption algorithm aes128 disable esrscs(config)# ip ssh encryption algorithm aes128ctr disable esrscs(config)# ip ssh encryption algorithm aes192 disable esrscs(config)# ip ssh encryption algorithm aes192ctr disable esrscs(config)# ip ssh encryption algorithm aes256 disable esrscs(config)# ip ssh encryption algorithm arcfour disable esrscs(config)# ip ssh encryption algorithm arcfour128 disable esrscs(config)# ip ssh encryption algorithm arcfour256 disable esrscs(config)# ip ssh encryption algorithm blowfish disable esrscs(config)# ip ssh encryption algorithm cast128 disable esrscs(config)# ip ssh key-exchange algorithm dh-group-exchange-sha1 disable esrscs(config)# ip ssh key-exchange algorithm dh-group1-sha1 disable esrscs(config)# ip ssh key-exchange algorithm dh-group14-sha1 disable esrscs(config)# ip ssh key-exchange algorithm ecdh-sha2-nistp256 disable esrscs(config)# ip ssh key-exchange algorithm ecdh-sha2-nistp384 disable esrscs(config)# ip ssh key-exchange algorithm ecdh-sha2-nistp521 disable esrscs(config)# ip ssh host-key algorithm dsa disable esrscs(config)# ip ssh host-key algorithm ecdsa256 disable esrscs(config)# ip ssh host-key algorithm ecdsa384 disable esrscs(config)# ip ssh host-key algorithm ecdsa521 disable esrscs(config)# ip ssh host-key algorithm ed25519 disable |
Генерируем новые ключи шифрования:
| Блок кода |
|---|
esr#scs# update ssh-host-key rsa 2048 |