华为命令常用加固命令参考

-------------------------------------------------------------------------------1、帐号权限细分-------------------------------------------------------------------------------discur|includelocal-user#设置super密码，提权密码#superpasswordlevel3cipherAdmin123#若没有admin请创建并赋予权限视图模式-aaa创建admin帐号密码为Admin123加密:cipher##并限制同一账号连接数上限1次#S2300system-system-view[S2300]aaa[S2300-aaa]local-useradminpasswordcipherAdmin123access-limit1#帐号修改权限，低权限账户不能赋予新建用户高权限，不赋予level默认为2最高权限为15##一般默认权限，用该帐号登录再输入super密码即可提权local-useradminprivilegelevel15##设置该帐号权限只限于ssh访问设备，若不设置为全局放通权限#local-useradminservice-typessh#删除帐号进入aaa模式undolocal-useradmin##删除帐号远程权限进入aaa模式undolocal-useradminservice-type#-------------------------------------------------------------------------------2、修改设备缺省banner语-------------------------------------------------------------------------------#欢迎界面、提示符等不包含敏感信息通过console或远程登录即可查看提示信息#headerlogininformation#WARNING:Unauthorizedaccessanduseofthisnetworkwillbevigorouslyprosecuted.#Error:Toomanyparametersfoundat'^'position.headerlogininformation#WARNING!!!#(某些交换机限制字符)-------------------------------------------------------------------------------3、用IP协议进行远程维护的设备使用SSH等加密协议-------------------------------------------------------------------------------#查看能登录ssh帐号discur|includessh##帐号只能通过ssh登录进入aaa模式设置##在视图模式[S2300]设置SSH，获取localkey、设备开启ssh服务、添加帐号到ssh，认证方式为本地密码#rsalocal-key-paircreatestelnetserverenablesshuseradminservice-typestelnetsshuseradminauthentication-typepassword#进入vty04端口设置开启ssh远程设置，一般只允许通过SSH通过远程，但调试配置先把ssh换成all##设置成protocolinboundall，以免设置错误导致无法远程#user-interfacevty04protocolinboundsshquit-------------------------------------------------------------------------------4、日志安全-------------------------------------------------------------------------------#查看日志信息（查看服务是否开启）设置日志缓存大小1024kdiscur|includeinfo-center##开启NTP服务（与时间服务器同步）需要提供时间服务器的地址查看NTP信息discur|includentp##配置远程日志的日志服务器地址，设置发送日志的级别，最下命令设置notifications##记录用户登录日志info-centerlogbuffer并设置级别##警告级别7级##emergencies紧急情况系统无法使用（严重度=0）##alerts提醒需要立即采取行动（严重度=1）##critical临界临界条件（严重度＝2）##errors错误错误条件（严重度=3）##warnings警告警告条件（严重度=4）##notifications通知正常但重要的条件（严重度=5）##informational信息信息信息（严重度=6）##debugging调试调试消息（严重性=7）#ntp-serviceauthenticationenablentp-serviceunicast-server10.111.1.11info-centerenableinfo-centerloghost10.181.109.172info-centerlogbufferinfo-centerlogbufferchannelnotificationsinfo-centerlogbuffersize1024info-centersourcedefaultchannelconsolelogstateoffinfo-centersourcedefaultchannelloghostloglevelnotificationsinfo-centerloghostsourceLoopBack0-------------------------------------------------------------------------------5、设置定时账户自动登出-------------------------------------------------------------------------------#设置Telnet、ssh、console登录连接超时退出三分钟无操作自动退出#user-interfaceconsole0idle-timeout3quituser-interfacevty04idle-timeout3quit-------------------------------------------------------------------------------6、配置console口密码保护功能并关闭AUX口-------------------------------------------------------------------------------#设置console口加密口令关闭aux口#user-interfaceconsole0authentication-modepasswordsetauthenticationpasswordcipherAdmin123quituser-interfaceaux0undoshellquit-------------------------------------------------------------------------------7、SNMP的Community默认通行字口令强度-------------------------------------------------------------------------------#SNMP协议的community团体字，与北塔联动查看snmp信息discur|includesnmp##Community非默认，口令长度至少8位，数字、小写、大写字母和特殊符号4类中至少2类。NJ-xx@public1#snmp-agentcommunityreadNJ-xx@public1snmp-agentcommunitywrite******#关闭未使用SNMP协议及write权限（暂不关闭，需联动北塔网管软件）#undosnmp-agentcommunitywrite*****-------------------------------------------------------------------------------8、关闭未使用的接口（请勿随便关闭，该项需确认好）-------------------------------------------------------------------------------#需确认该网口是否不使用，不使用关闭查看端口命令discur看到端口状态shutdown为关闭#interfaceGigabitEthernet1/0/10shutdown#进入每一个端口禁用端口代理arp（低端交换机可能不存在该选项）#undoarp-proxyenable#进入每一个端口预防源地址伪造攻击（低端交换机可能不存在该选项）#urpfstrictallow-default-route-------------------------------------------------------------------------------8、关闭不必要的网络服务-------------------------------------------------------------------------------#关闭DHCP服务#undodhcpenable#关闭DNS服务#undodnsresolve#关闭FTP服务#undoftpserver

华为命令常用加固命令参考

免费阅读已结束，点击付费阅读剩下 ... 页

阅读已结束，您可以下载文档离线阅读

KKMall百纳空间(新)

何经华谈信息化(ppt30)

微电子学专业词汇 A

汽车电器与电子技术课程教学大纲

某综合治理景观建设河堤内滩面平台园林绿化工程施工组织设计

创新思维和创造技法

第十项目部管理制度修改版

众筹发起流程、收费标准以及经典案例(参考)33

创新思路提高实效ppt-面向素质教育的心理健康教育

孵化器项目可行性研究报告(合辑817)

相关文档

相关搜索