Cisco IOS セキュリティ コンフィギュレーション ガ イド:ユーザ サービスのセキュリティ保護
No Service Password-Recovery
No Service Password-Recovery
発行日;2012/02/01 | 英語版ドキュメント(2011/04/25 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

No Service Password-Recovery

機能情報の確認

この章の構成

No Service Password-Recovery の前提条件

No Service Password-Recovery について

シスコのパスワード回復手順

コンフィギュレーション レジスタおよびシステム ブート設定

No Service Password-Recovery をイネーブルにする方法

ROMMON バージョンのアップグレード

アップグレードされた ROMMON バージョンの確認

No Service Password-Recovery のイネーブル化

前提条件

No Service Password-Recovery 機能からのデバイスの回復

No Service Password-Recovery の設定例

Password-Recovery のディセーブル化:例

その他の参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

No Service Password-Recovery の機能情報

No Service Password-Recovery

No Service Password-Recovery 機能は、セキュリティ機能拡張で、コンソールへのアクセスを持つ誰もがルータ設定にアクセスしたり、パスワードをクリアしたりするのを防ぎます。また、誰もがコンフィギュレーション レジスタの値を変更したり、NVRAM にアクセスしたりするのを防ぎます。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「No Service Password-Recovery の機能情報」を参照してください。

プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。

No Service Password-Recovery の前提条件

この機能を使用する前に ROM モニタ(ROMMON)バージョン 12.2(11)YV1 をダウンロードしてインストールする必要があります。

No Service Password-Recovery について

No Service Password-Recovery 機能を設定するには、次の概念を理解しておく必要があります。

「シスコのパスワード回復手順」

「コンフィギュレーション レジスタおよびシステム ブート設定」

シスコのパスワード回復手順

Cisco IOS ソフトウェアでは、システム起動時に Break キーを使用して ROMMON モードへのアクセスを取得する方法によるパスワード回復手順が提供されています。ルータ ソフトウェアが ROMMON モードから読み込まれている場合、設定は新しいパスワードで更新されます。

パスワード回復手順により、コンソールへのアクセスを持つ誰もがルータおよびルータのネットワークにアクセスする機能を与えられることになります。No Service Password-Recovery 機能は、システム起動時およびリロード時の Break キー シーケンスの完了と ROMMON モードの開始を防ぎます。

コンフィギュレーション レジスタおよびシステム ブート設定

コンフィギュレーション レジスタの最小 4 ビット(ビット 3、2、1、および 0)がブート フィールドを構成します。ブート フィールドは、ルータを手動で ROM から起動するか、フラッシュまたはネットワークから自動で起動するかを指定します。たとえば、コンフィギュレーション レジスタのブート フィールドの値が 0x2 から 0xF までの任意の値に設定されている場合、ルータはブート フィールドの値を使用して、ネットワーク サーバから自動起動のためのデフォルトのブート ファイル名を構成します。

ビット 6 を設定すると、スタートアップ コンフィギュレーションが無視され、ビット 8 は、中断をイネーブルにします。No Security Password Recovery 機能を使用するには、機能をイネーブルにする前に、自動起動のためのコンフィギュレーション レジスタを設定する必要があります。他のコンフィギュレーション レジスタ設定では、機能をイネーブルにできなくなります。


) デフォルトでは、リロード後に確認用のプロンプトやメッセージは表示されません。


No Service Password-Recovery をイネーブルにする方法

ここでは、次の各手順について説明します。

「ROMMON バージョンのアップグレード」(必須)

「アップグレードされた ROMMON バージョンの確認」(任意)

「No Service Password-Recovery のイネーブル化」(必須)

「No Service Password-Recovery 機能からのデバイスの回復」(必須)

ROMMON バージョンのアップグレード

ルータまたはアクセス サーバがロードに有効なシステム イメージを見つけることができないと、システムは ROMMON モードを開始します。ROMMON モードは、起動時にブート シーケンスを中断してアクセスすることもできます。

ROMMON モードを開始するもう 1 つの方法は、起動したときにルータが自動的に ROMMON モードを開始するようにコンフィギュレーション レジスタを設定することです。コンフィギュレーション レジスタの値の設定方法の詳細については、『 Cisco IOS Configuration Fundamentals Configuration Guide 』および『 Cisco IOS Network Management Configuration Guide 』を参照してください。

ROMMON のバージョンをアップグレードするには、次の作業を実行します。

手順の概要

1. reload

2. set tftp-file ip-address ip-subnet-mask default-gateway tftp-server

3. sync

4. tftpdnld -u

5. boot

手順の詳細

コマンドまたはアクション
目的

ステップ 1

reload

 

Router> reload

Cisco IOS イメージをリロードします。このコマンドを発行し、必要に応じてシステム プロンプトに回答すると、システムはシステム ソフトウェア イメージのリロードを開始します。

システムのリロード中、「Compiled <日付> by」メッセージが表示された直後に Break キーを押すか、Break キーの組み合わせを押します。Break キーを押すと、ブート シーケンスが中断し、ルータは ROMMON モードを開始します。

(注) デフォルトの Break キーの組み合わせは Ctrl+ ですが、システム上で別の設定が行われている可能性があります。

ステップ 2

set tftp-file ip-address ip-subnet-mask default-gateway tftp-server

 

ROMMON> set tftpabc 10.10.0.0 255.0.0.0 10.1.1.0 10.29.32.0

作成したすべての変数を表示します。引数は次のとおりです。

tftp-file :TFTP サーバ上の新しい ROMMON イメージの場所。ファイル名の長さは、最大 45 文字です。

ip-address :TFTP サーバに接続するためのルータ上の IP アドレス。

ip-subnet-mask :ルータの IP サブネット マスク。

default-gateway :TFTP サーバのゲートウェイの IP アドレス。

tftp-server :イメージがダウンロードされる TFTP サーバの IP アドレス。

(注) このコマンドは、Cisco 800 シリーズ ルータではサポートされていません。

ステップ 3

sync

 

ROMMON> sync

イメージへの変更を保存します。

ステップ 4

tftpdnld -u

 

ROMMON> tftpdnld -u

TFTP サーバから新しい ROMMON イメージをダウンロードします。

プロンプトが表示されたら、リセットします。

ステップ 5

boot

 

ROMMON> boot

フラッシュ メモリの Cisco IOS イメージでルータを起動します。

アップグレードされた ROMMON バージョンの確認

ROMMON のバージョンがアップグレードされているかを確認するには、show version コマンドを使用します。

Router# show version
 
Cisco IOS Software, C828 Software (C828-K9OS&6-M), Version 12.3 (20040702:094716)
[userid 168]
 
Copyright (c) 1986-2004 by Cisco Systems, Inc.
 
ROM: System Bootstrap, Version 12.2(11)YV1, Release Software (fc1)
 
Router uptime is 22 minutes
System returned to ROM by reload
.
.
.

No Service Password-Recovery のイネーブル化

No Service Password-Recovery 機能をイネーブルにするには、次の作業を実行します。


) 注意事項として、有効な Cisco IOS イメージは、この機能をイネーブルにする前にフラッシュ メモリに常駐している必要があります。


no service password-recovery コマンドを開始する場合、シスコでは、スイッチまたはルータから離れた場所にシステム設定ファイルのコピーを保存することを推奨しています。VLAN Trunking Protocol(VTP; VLAN トランキング プロトコル)透過モードで動作するスイッチを使用している場合、シスコではスイッチから離れた場所に、vlan.dat ファイルのコピーを保存することも推奨しています。

前提条件

ダウングレード後にリセットすることはできないため、この機能をサポートしていないイメージにダウングレードする前に、必ず、この機能をディセーブルにしてください。

このコマンドが設定されているときに、ROMMON を中断する方法をなくすため、コンフィギュレーション レジスタ ブート ビットをイネーブルにする必要があります。Cisco IOS ソフトウェアは、ユーザによるコンフィギュレーション レジスタのブート フィールドの設定を防止する必要があります。

スタートアップ コンフィギュレーションを無視するビット 6、および中断をイネーブルにするビット 8 を設定する必要があります。

ルータの起動中は、Break キーをディセーブルにし、この機能をイネーブルにしている場合は、Cisco IOS ソフトウェアでディセーブルにする必要があります。

手順の概要

1. enable

2. show version

3. configure terminal

4. config-register value

5. no service password-recovery

6. exit

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

show version

 

Router# show version

コンフィギュレーション レジスタの設定を含めて、システム ソフトウェアに関する情報を表示します。

no service password-recovery コマンドを開始する前に、コンフィギュレーション レジスタを自動起動に設定する必要があります。

ステップ 3

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 4

config-register value

 

Router(config)# config-register 0x2012

(任意)コンフィギュレーション レジスタ設定を変更します。

ルータが自動起動に設定されるように、必要に応じてコンフィギュレーション レジスタ設定を変更します。

ステップ 5

no service password-recovery

 

Router(config)# no service password-recovery

システム コンソールで、Password-Recover 機能をディセーブルにします。

ステップ 6

exit

 

Router(config)# exit

グローバル コンフィギュレーション モードを終了し、EXEC モードに戻ります。

No Service Password-Recovery 機能からのデバイスの回復

No Service Password-Recovery 機能をイネーブルにした後で、デバイスを回復するには、起動時に「Compiled <日付> by」メッセージが表示された直後に Break キーを押します。Break キー処理を確認するようプロンプトが表示されます。処理を確認すると、スタートアップ コンフィギュレーションが消去され、Password-Recovery 手順がイネーブルになり、ルータは工場出荷時のデフォルト設定で起動します。

Break キー処理を確認しないと、ルータは通常どおり起動し、No Service Password-Recovery 機能がイネーブルになります。

ここでは、次のプロセスの例について説明します。

「確認済みの中断」

「未確認の中断」

確認済みの中断

PASSWORD RECOVERY FUNCTIONALITY IS DISABLED
program load complete, entry point: 0x80013000, size: 0x8396a8
Self decompressing the image : ######################################################################
###################################################################### [OK]
 
 
telnet> send break
telnet> send break
telnet> send break
 
Restricted Rights Legend
 
Use, duplication, or disclosure by the Government is subject to restrictions as set forth in subparagraph (c) of the Commercial Computer Software - Restricted Rights clause at FAR sec. 52.227-19 and subparagraph (c) (1) (ii) of the Rights in Technical Data and Computer Software clause at DFARS sec. 252.227-7013.
 
Cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706
 
Cisco Internetwork Operating System Software
IOS (tm) C2600 Software (C2600-IPBASE-M), Version 12.3(26), RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2008 by cisco Systems, Inc.
Compiled Mon 17-Mar-08 15:24 by dchih
 
PASSWORD RECOVERY IS DISABLED.
Do you want to reset the router to factory default configuration and proceed [y/n] ?
 
Reset router configuration to factory default.
 
This product contains cryptographic features and is subject to United States and local country laws governing import, export, transfer and use. Delivery of Cisco cryptographic products does not imply third-party authority to import, export, distribute or use encryption.
 
Importers, exporters, distributors and users are responsible for compliance with U.S. and local country laws. By using this product you agree to comply with applicable laws and regulations. If you are unable to comply with U.S. and local laws, return this product immediately.
 
A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
 
If you require further assistance please contact us by sending email to export@cisco.com.
 
Cisco C831 (MPC857DSL) processor (revision 0x00) with 46695K/2457K bytes of memory.
Processor board ID 0000 (1314672220), with hardware revision 0000 CPU rev number 7
3 Ethernet interfaces
4 FastEthernet interfaces
128K bytes of NVRAM.
24576K bytes of processor board System flash (Read/Write)
2048K bytes of processor board Web flash (Read/Write)
 
--- System Configuration Dialog ---
 
Would you like to enter the initial configuration dialog? [yes/no]: no
!Start up configuration is erased.
 
SETUP: new interface FastEthernet1 placed in “up” state
SETUP: new interface FastEthernet2 placed in “up” state
SETUP: new interface FastEthernet3 placed in “up” state
SETUP: new interface FastEthernet4 placed in “up” state
 
Press RETURN to get started!
 
Router>
Router> enable
Router# show startup configuration
 
startup-config is not present
 
Router# show running-config | incl service
 
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
 
!The “no service password-recovery” is disabled.
 

未確認の中断

PASSWORD RECOVERY FUNCTIONALITY IS DISABLED
 
telnet> send break
program load complete, entry point: 0x80013000, size: 0x8396a8
Self decompressing the image : ##################################################################################### [OK]
 
telnet> send break
telnet> send break
 
Restricted Rights Legend
 
Use, duplication, or disclosure by the Government is subject to restrictions as set forth in subparagraph (c) of the Commercial Computer Software - Restricted Rights clause at FAR sec. 52.227-19 and subparagraph (c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.
 
Cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706
 
Cisco Internetwork Operating System Software
IOS (tm) C2600 Software (C2600-IPBASE-M), Version 12.3(26), RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2008 by cisco Systems, Inc.
Compiled Mon 17-Mar-08 15:24 by dchih
 
PASSWORD RECOVERY IS DISABLED.
Do you want to reset the router to factory default configuration and proceed [y/n] ?
 
PASSWORD RECOVERY IS DISABLED.
Do you want to reset the router to factory default configuration and proceed [y/n] ?
!The user enters “N” here.
 
This product contains cryptographic features and is subject to United States and local country laws governing import, export, transfer and use. Delivery of Cisco cryptographic products does not imply third-party authority to import, export, distribute or use encryption.
 
Importers, exporters, distributors and users are responsible for compliance with U.S. and local country laws. By using this product you agree to comply with applicable laws and regulations. If you are unable to comply with U.S. and local laws, return this product immediately.
 
A summary of U.S. laws governing Cisco cryptographic products may be found at: http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
 
If you require further assistance please contact us by sending email to export@cisco.com.
Cisco C831 (MPC857DSL) processor (revision 0x00) with 46695K/2457K bytes of memory.
Processor board ID 0000 (1314672220), with hardware revision 0000
CPU rev number 7
3 Ethernet interfaces
4 FastEthernet interfaces
128K bytes of NVRAM.
24576K bytes of processor board System flash (Read/Write)
2048K bytes of processor board Web flash (Read/Write)
 
Press RETURN to get started!
!The Cisco IOS software boots as if it is not interrupted.
 
Router> enable
Router#
Router# show startup config
 
Using 984 out of 131072 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
no service password-recovery
!
hostname Router
!
boot-start-marker
boot-end-marker
!
memory-size iomem 5
!
no aaa new-model
ip subnet-zero
!
ip ips po max-events 100
no ftp-server write-enable
!
interface Ethernet0
no ip address
shutdown
!
interface Ethernet1
no ip address
shutdown
duplex auto
!
interface Ethernet2
no ip address
shutdown
!
interface FastEthernet1
no ip address
duplex auto
speed auto
!
interface FastEthernet2
no ip address
duplex auto
speed auto
!
interface FastEthernet3
no ip address
duplex auto
speed auto
!
interface FastEthernet4
no ip address
duplex auto
speed auto
!
ip classless
!
ip http server
no ip http secure-server
!
control-plane
!
line con 0
no modem enable
transport preferred all
transport output all
line aux 0
line vty 0 4
!
scheduler max-task-time 5000
end
 
Router# show running-config | incl service
 
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
no service password-recovery
end

No Service Password-Recovery の設定例

ここでは、次の設定例について説明します。

「Password-Recovery のディセーブル化:例」

Password-Recovery のディセーブル化:例

次に、自動起動に設定されているコンフィギュレーション レジスタ設定を取得し、Password-Recovery 機能を無効にしてから、設定がシステムのリロード後も維持されることを確認する方法の例を示します。

Router# show version
 
Cisco Internetwork Operating System Software
IOS (tm) 5300 Software (C7200-P-M), Version 12.3(8)YA, RELEASE SOFTWARE (fc1)
TAC Support: http://www.cisco.com/tac
Copyright (c) 1986-2004 by Cisco Systems, Inc.
Compiled Wed 05-Mar-04 10:16 by xxx
Image text-base: 0x60008954, data-base: 0x61964000
 
ROM: System Bootstrap, Version 12.3(8)YA, RELEASE SOFTWARE (fc1)
.
.
.
125440K bytes of ATA PCMCIA card at slot 0 (Sector size 512 bytes).
8192K bytes of Flash internal SIMM (Sector size 256K).
Configuration register is 0x2102
 
Router# configure terminal
 
Router(config)# no service password-recovery
 
WARNING:
Executing this command will disable the password recovery mechanism.
Do not execute this command without another plan for password recovery.
 
Are you sure you want to continue? [yes/no]: yes
.
.
.
Router(config)# exit
Router#
Router# reload
 
Proceed with reload? [confirm] yes
 
00:01:54: %SYS-5-RELOAD: Reload requested
System Bootstrap, Version 12.3...
Copyright (c) 1994-2004 by cisco Systems, Inc.
C7400 platform with 262144 Kbytes of main memory
 
PASSWORD RECOVERY FUNCTIONALITY IS DISABLED
.
.
.

その他の参考資料

次の項では、No Service Password-Recovery 機能の関連資料を示します。

関連資料

内容
参照先

パスワードの設定、変更および忘失パスワードの回復

Configuring Security with Passwords, Privilege Levels, and Login Usernames for CLI Sessions on Networking Devices 」フィーチャ モジュール

システム イメージのロードと再起動

Using the Cisco IOS Integrated File System 」フィーチャ モジュール

セキュリティ コマンド:コマンド構文の詳細、コマンド モード、コマンド履歴、デフォルト、使用上の注意事項、および例

『Cisco IOS Security Command Reference』

Cisco IOS コマンド

Cisco IOS Master Commands List, All Releases

規格

規格
タイトル

なし

--

MIB

MIB
MIB リンク

なし

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

この機能によってサポートされる新しい RFC や変更された RFC はありません。

--

シスコのテクニカル サポート

説明
リンク

Cisco Support Web サイトには、豊富なオンライン リソースが提供されており、それらに含まれる資料やツールを利用して、トラブルシューティングやシスコ製品およびテクノロジーに関する技術上の問題の解決に役立てることができます。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト(http://www.cisco.com/techsupport)の、利用頻度の高いドキュメントを日本語で提供しています。Japan テクニカル サポート Web サイトには、次の URL からアクセスしてください。http://www.cisco.com/jp/go/tac

http://www.cisco.com/cisco/web/support/index.html

No Service Password-Recovery の機能情報

表 1 に、この機能のリリース履歴を示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、機能セット、またはプラットフォームをサポートする Cisco IOS ソフトウェア イメージおよび Catalyst OS ソフトウェア イメージを確認できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。


表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。


 

表 1 No Service Password-Recovery の機能情報

機能名
リリース
機能情報

No Service Password-Recovery

12.3(8)YA
12.3(14)T

No Service Password-Recovery 機能は、セキュリティ機能拡張で、コンソールへのアクセスを持つ誰もがルータ設定にアクセスしたり、パスワードをクリアしたりするのを防ぎます。また、誰もがコンフィギュレーション レジスタの値を変更したり、NVRAM にアクセスしたりするのを防ぎます。

この機能は、Cisco IOS リリース 12.3(8)YA で導入されました。

この機能は、Cisco IOS リリース 12.3(14)T に統合されました。

コマンド service password-recovery が導入されました。

このマニュアルで使用している IP アドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、ネットワーク トポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。

© 2004-2010 Cisco Systems, Inc.
All rights reserved.