Cisco Certified » Níveis de privilégio no IOS Cisco

03 05 2008

Níveis de privilégio no IOS Cisco

Postado por: Marco Filippetti em Curiosidades, Artigos -

Imprima este post

Muitos não sabem, mas é possível trabalhar com até 16 níveis de privilégio diferentes no Cisco IOS. A vantagem disso é que você pode controlar o acesso a um elemento de rede por um usuário (ou grupo de usuários), definindo exatamente quais comandos este está autorizado à utilizar.

Pelo menos dois níveis são bem conhecidos. São eles:

Modo usuário: privilege level 1
Modo privilegiado: privilege level 15

Quando um usuário acessa um router (ou um switch), ele automaticamente é colocado no primeiro nível (level 1). Ao se digitar “enable”, acessa-se o nível 15 (level 15).

Alguns comandos úteis:

Show privilege: Apresenta o atual nível de privilégio em que você se encontra. Exemplo:

router# show privilege
Current privilege level is 3

Enable: Este comando normalmente E utilizado para acessar o modo privilegiado (level 15), mas ele também pode ser usado para acessar qualquer outro nível. Exemplo:

router# show privilege
Current privilege level is 3
router# enable 1
router> show privilege
Current privilege level is 1
router>

Username: Este comando adiciona usuários,mas também pode informar qual o nível de acesso que este usuário terá após efetuar o login. Exemplo:

router(config)# username ccna password ccna privilege 3

Enable secret: Em modo default, este comando configura uma senha para ser utilizada com o nível 15 de acesso. Entretanto, este comando pode também ser usado para a criação de senhas para outros níveis. Exemplo:

router(config)# enable secret level 5 senha5

Privilege: Este comando é usado para se definir quais comandos estarão disponíveis apenas a alguns níveis. Exemplo:

router(config)# privilege exec level 3 show startup-config

Existem vários modos nos quais o comando privilege pode ser aplicado. “EXEC” é apenas 1 deles:

router(config)# privilege ?
[…]
configure Global configuration mode
[…]
exec Exec mode
[…]

O mesmo comando pode ser usado para alterar o nível de privilégio default de uma determinada linha (como a console, por exemplo). Exemplo:

router(config)# line con 0
router(config-line)# privilege level 3

Para finalizar este artigo, suponhamos que você deseje autorizar o uso estendido dos comandos “ping“e “traceroute“, assim como a configuração de endereços IP em interfaces e a ativação (no shut) e desativação (shut) de interfaces para um determinado usuário. Como se configuraria isso utilizando privilégios no IOS?

Eis a solução:

router(config)# enable secret level 3 ccna
router(config)# privilege exec level 3 ping
router(config)# privilege exec level 3 traceroute
router(config)# privilege exec level 3 configure terminal
router(config)# privilege configure level 3 interface
router(config)# privilege configure level 3 ip
router(config)# privilege configure level 3 address
router(config)# privilege configure level 3 no
router(config)# privilege configure level 3 shutdown

Quando o usuário digitar:

router> enable 3

Ele deverá digitar a senha “ccna” e terá acesso apenas aos comandos definidos (assim como outros, pré-definidos).

Se quiser desautorizar algum comando pré-autorizado à um determinado nível, basta definí-lo em outro nível, mais alto. Por exemplo, se quisermos proibir o uso do comando “show” no nível 3, basta fazer o seguinte:

router(config)# privilege exec level 15 sh

Automaticamente, usuários do nível 3 não tem mais acesso ao comando em questão.

Espero que tenham gostado deste post!

Abs!

Marco Filippetti

fonte: http://www.cisco.com/en/US/docs/ios/12_2/security/configuration/guide/scfpass.html

Leia também:

Este post foi postado Saturday, 3 de May de 2008 às 7:04 pm e está em Curiosidades, Artigos. Você pode verificar qualquer resposta a este post através do feed RSS 2.0. Você pode ir até o final e deixar uma resposta. Pings não são permitidos.

6 Respostas para “Níveis de privilégio no IOS Cisco”

Ferrugem diz:
4 de May de 2008 às 12:10 pm
Muito legal o post Marco!

Não sabia que era possível determinar comandos específicos para um nível de privilégio! Vivendo e aprendendo!!!

Abração pra ti e pra todos aqui!!!
Dimitri diz:
4 de May de 2008 às 10:45 pm
Cara, xou de bola! Sempre me perguntei como fazer isso!!! Obrigado!
thiago.brecci diz:
5 de May de 2008 às 11:00 am
Muito bom mesmo !!

Porém fiquei com uma dúvida no último parágrafo do post. Eu não posso apenas “negar” a linha de permissão do nível 3, por exemplo, caso eu não queire que ele continue com o privilegio de “’sh” ????
kvoitic diz:
5 de May de 2008 às 11:56 am
Ótimo post, Marco !!!

Interessante isso, eu não sabia que era possível realizar esses níveis de privilégio no proprio IOS.

Obrigado.

Érik Voitic
sullivan diz:
6 de May de 2008 às 1:14 pm
Essa é nova pra mim, valeu Marco pela informação!!!1
Toguko diz:
6 de June de 2008 às 1:12 am
Vasculhando o blog atras de boas informações como essa, agora eu entendi porque nos roteadores da juniper eu sou obrigado a digitar enable 15, provavelmente a juniper não colocou como padrão o enable como privilege 15.

Abraços, Rafael Venancio (Toguko)

Deixe um Comentário

Você deve estar logado para postar um comentário. Login »

Procure no Blog
Registre-se / Login
- Registre-se
- Login

Contato

Usuarios online: Edgarmc7, 3 Visitantes

Detalhes

O que está pegando?
(Para questões mais elaboradas,
por favor, use o Fórum)

Última Mensagem 2 horas, 29 minutos

Fernando Nogueira : Opa... esqueci atualizar meu perfil para trocar o nome. Agora esá correto. Boa noite a todos!!!
Mguft : Boa noite pessoal! Essa é minha primeira participação aqui no blog. Comecei a estudar para o CCNA a poucos dias com o livro do Marco. Espero obter bons resultados. Tenham uma ótima noite e até amanhã no desafio hehehe (só irei matar minha curiosidade em ver como é hahaha). Abs.
Marco Filippetti : Pessoal, fiquem atentos!!! AMANHÃ, à partir das 10 da matina, estará liberado o post com o III MEGA DESAFIO do Blog! Participe e ganhe prêmios!
bruno mota : onde posso encontrar exemplos gráficos de rede com protocolos de roteamento, nat, etc com exemplos?
bruno mota : boa tarde galera
Fabio Nunes : quero dizer, lista de alguns fabricantes, por favor...
Fabio Nunes : Boas!! Alguém teria uma 'lista' de alguns softswitches?
jair.rocha : Ok, tem um tutorial do packet 5.0 no blog em ingles ok
Marcelo Piccini : obrigado cara.
Marcelo Piccini : estou procurando um tutorial no blog.
Marcelo Piccini : ta demais... vou tentar mais um pouco.
jair.rocha : Creio que somente no switch
Marcelo Piccini : tem que conf o trunk no router tb, ou somente no switch?
jair.rocha : entendo
Marcelo Piccini : vou ter que fazer isso na empresa, então estou testando no PT5 promeiro.
Marcelo Piccini : vou adicionar um novo router na rede, então configurei as portas do router e nas portas do switch que receberam o router, estou tentando fazer a Vlan para a minha rede atual. entendeu?
jair.rocha : somente esta nova vlan é isso ?
Marcelo Piccini : não.
jair.rocha : O switch inteiro perdeu conexão com o router?
jair.rocha : e qual o estado da interface?
jair.rocha : Cara que estranho
Marcelo Piccini : adicionei uma nova Vlan, mas não consegui fazer o switch se comunicar com o router
Marcelo Piccini : estou usuando o switch 2950T e o router 2811.
jair.rocha : creio que sim
Marcelo Piccini : O simulador Packet Tracer 5, tem suporte para VLAN entre switch e router?
jair.rocha : se eu puder te ajudar
Marcelo Piccini : Boa tarde, poderiam tirar uma duvida?
Anderson Dominitin : eu tb... abraço
jair.rocha : Fw cara bom fim de semana agora só acesso a nt segunda
Anderson Dominitin : Grande Jair..vou sair ae fiote.. valeu e abraço
jair.rocha : Verdade
Anderson Dominitin : Tá show mano..boa sorte pra nós...
jair.rocha : Entendo mas eu não me sinto preparado pra fazer em ingles
Anderson Dominitin : nossa véio.. Fev é tempo demais... ano que vem quero trabalhar na área e estudar pra outra certificação...
jair.rocha : penso que deve sair em fevereiro
jair.rocha : Sera que demora cara?
Anderson Dominitin : vai demorar sair em português véio...
jair.rocha : mas o ccna vou esperar sair em portugues pra fazer o exame
jair.rocha : rs, nas f´perias quero fazer o ccna e um in tensivo de ingles,.
Anderson Dominitin : quero fazer e passar logo véio... minhas férias vai ser apenas pra relaxar... uhuu e proocurar emprego para Routing e Switching
Anderson Dominitin : Eu fiz um curso preparatório aos fds... comprei o CCNA 4.0... mais um grande quantidade de artigos e exercícios deste site.. hahaha
jair.rocha : e tenho masi tempo pra preparação final
jair.rocha : depois vo ler o do Marcos. ai ja´estou de férias da facul
jair.rocha : eu terminei o livro ICND1 , começei agora o 2 , termino eele em ums 15 dias
jair.rocha : WTrabalhar e estudar , é complicado mesmo,
jair.rocha : isso é verdade
Anderson Dominitin : Estou estudando dentro do que meu tempo permite... claro que gostaria de estudar com mais calma... mas trampá e estudar é complicado.. acho que vou mandar bem na prova... senão conseguir pontuação pelo menos vou poder saber onde pequei.
jair.rocha : Se´já esta preparado então demoro
jair.rocha : Certinho
Anderson Dominitin : só escolher o melhor horário e mandar bala brother... na sexta que vem não trabalho a tarde.. acho que vai rolar este dia mesmo..
Anderson Dominitin : Jair... ainda não marquei... liguei a pouco na Inforium... pra saber qual horário que funciona.. e a partir das 14 horas posso marcar.. to pensando em marcar pra próxima sexta. uma 15 horas
jair.rocha : marcou a prova pra quando?
jair.rocha : Ai boa!
Anderson Dominitin : Quero virar o ano como CCNA....
Anderson Dominitin : A minha é que vou fazer a 640-802... logo logo...
Rodrigo Freitas : E as novidades pessoal?
jair.rocha : Boa Tarde Rodrigo
jair.rocha : Boa Tarde Rodrigo
Anderson Dominitin : Fala Rodrigo.
Rodrigo Freitas : Boa tarde pessoal
jair.rocha : Flw,vai lá e arrebenta
Anderson Dominitin : Valeu LCFN e Jair...
L.C.F.N : Boa sorte!
jair.rocha : É isso ai
Anderson Dominitin : então... francês não lembro nada... fiz aula no científico fiote.. ahahah Espanhol não sei .. apesar de ser tranquilo.... acho que vai em inglês mesmo... bola pra frente..
jair.rocha : Em portu , , não só ingles espanholl, franceds
jair.rocha : Em portu , , não só ingles espanholl, franceds
Anderson Dominitin : ops..português.
Anderson Dominitin : O 640-802 em inglês.. não tem protuguês... tem?
jair.rocha : Consegui , ? vc selecionou qual idioma?
jair.rocha : Consegui , ? vc selecionou qual idioma?
Anderson Dominitin : valeuuuuuuuuuu galera
Anderson Dominitin : Pra completar.. o browser não abria todas as opções para mim... agora abriu aqui.. e achei o 640-802
Anderson Dominitin : Pessoal.. obrigado... logo mando como foi a prova....
Anderson Dominitin : mas podia ser mais navegável... a primeira tentativa de marcar a prova não mostrou o 640-802
Anderson Dominitin : Achei aqui Jair... vai entender.... não que o site do vue seja confuso...
jair.rocha : Para o CCNA?
jair.rocha : Meu browser esta com problemas , digitoa mensagem uma vez e ela aparece duplicada ou repetida varias veses rsrsrs
jair.rocha : Meu browser esta com problemas , digitoa mensagem uma vez e ela aparece duplicada ou repetida varias veses rsrsrs
jair.rocha : Meu browser esta com problemas , digitoa mensagem uma vez e ela aparece duplicada ou repetida varias veses rsrsrs
jair.rocha : Meu Browser esta com problemas envio um a unica mensageme aparece ela duplicada , ou a mesma varia veses rsrs
jair.rocha : Meu Browser esta com problemas envio um a unica mensageme aparece ela duplicada , ou a mesma varia veses rsrs
Anderson Dominitin : pra cima
Anderson Dominitin : Jair...devo ter cometido algum erro ao cadastrar... pq nas minhas opções de schedule não tem o 640-802... apenas 530-001
jair.rocha : Seria a 640-802
jair.rocha : Seria a 640-802
jair.rocha : Seria a 640-802
jair.rocha : seria a 640-802
jair.rocha : seria a 640-802
Anderson Dominitin : Então não rola mesmo... melhor comprar pelo vue mesmo... pelo cartão....
jair.rocha : centros cobram tipo ums 20% a mais dizem que é devido a impostos
jair.rocha : centros cobram tipo ums 20% a mais dizem que é devido a impostos
jair.rocha : Centros d treinamento com bra tipo 205 m dizem que é devido a impostos
Anderson Dominitin : legal.... entendi perfeitamente o esquema todo... agora to aqui no schedule exam.... como vou fazer o CCNA seria o Routing e Switching certo?? $350?
L.C.F.N : Então, a única forma de marcar o exame na VUE é mediante pagamento com cartão de crédito internacional independente do local que você vai escolher. Caso não disponha deste recurso, ai sim você entra em contato com algum centro que aplica exames de certificação para verificar se eles possibilitam outras formas. Mas pela VUE só com cartão de crédito internacional mesmo.
Anderson Dominitin : e também consultar o local onde faço a prova, que pode ter uma forma de pagamento... mas mesmo assim tenho que marcar a prova pelo vue!
Anderson Dominitin : Saquei... então eu posso marcar o exame pelo vue mesmo.. já que fiz o cadastro...
L.C.F.N : Caso contrário tem que ver no local mesmo, o Senac por exemplo dispõem de outras formas de pagamento, daí no caso são eles que marcam com a VUE.
L.C.F.N : Só lembrando que para marcar o exame pela VUE só é possível com cartão de crédito internacional.
L.C.F.N : O local e horário você marca pela própria VUE, no caso não há necessidade de entrar em contato com o local onde vai fazer e nem acessar o site.
Anderson Dominitin : Legal... consegui terminar o cadastro... não sei o que aconteceu.. mas agora to cadastrado no VUE..
Anderson Dominitin : bom... ae eu recebo este voucher certo... e posteriormente?
Anderson Dominitin : LCFN eu tinha entendido que cadastrava no site, comprava um voucher e recebia o código saca? Ae vc entrava no site do local da prova e cadastrava o horário e colocava o voucher...
L.C.F.N : Mas o voucher é um código onde o mesmo é usado para desconto no valor do exame quando for marcá-lo, ou seja, não se compra o voucher. O que se compra é a prova e se a pessoa tiver o voucher ganha-se o desconto.
Anderson Dominitin : certo... no meu caso.. tenho que comprar...
L.C.F.N : Quanto ao voucher você recebe por e-mail, supondo que você tenha feito o Networking Academy e passou na prova para ganhá-lo. Daí é só usar o código que você recebeu em uma das etapas de marcação da prova na VUE.
Anderson Dominitin : Tenho não... mas era erros de php... mas eu to entrando em contato pra ver isto...
L.C.F.N : Se de repente você tiver o print com os erros daí você posta no Fórum e tal.
Anderson Dominitin : eu conseguindo o cadastro.... como faço a compra do voucher.?
Anderson Dominitin : mas beleza...
L.C.F.N : ixi... ai já não sei, só vendo pra analisar.
Anderson Dominitin : não consegui refazer e nem recebi comprovamente de cadastro.
Anderson Dominitin : LCFN isto que tá intriga.. ontem a noite criei uma conta no VUE e a página deu um monte de erros.
Anderson Dominitin : Vou fazer na Inforium aqui em BH....
L.C.F.N : Primeiramente você deverá criar uma conta na VUE em «link»
Marcos Protazio : um centro autorizado
Marcos Protazio : ?
Marcos Protazio : vc ja escolheu o local que vc que faze a prova Anderson
Anderson Dominitin : Bom dia pessoal..... to precisando tirar algumas dúvidas sobre como marcar o exame do CCNA... se alguém puder ajudar.... fico agradecido
jair.rocha : Só e boa
Marcos Protazio : tranquilo cara, e tu?
jair.rocha : E ai Marcos Beleza!
Marcos Protazio : Dia Jair
jair.rocha : Bom dia a todos !
jorge.ff : parabens emildo
Guilherme Montoane : Opa Parabens ai.. se eu não me engano é o 1º CCENT do blog.
L.C.F.N : Extamente, é o 640-822.
Emildo : Valeuu!!!!
Emildo : Qual é o proximo exame que tenho q fazer para me tornar um ccna? é o 640-822?
Herbert : Parabéns Emildo e bem vindo!
Emildo : oooo
Emildo : Passei no Exame CCENT graças ao Livro do Marco! Valeu Marcão! Rumo ao CCNA!
Emildo : Entrei no Blog hj!
Emildo : ae, entrei no Blogo hoje, abração galera!
jair.rocha : Ta to saindo até amanhã a todos os presentes
jair.rocha : Sim experiencia é fundamental
jair.rocha : Concordo Hebert , o CCNp , já esta consolidado e prova sua competência, depois dele em mãos ai sim vc pode partir pra outra
Renato Silva : Herbert,acho que nenhuma,porém ajuda muito a experiência.
Herbert : Quanto tempo de experiência vocês acham bom ter antes do CCNP ?
Renato Silva : e vc Marcos se estivesse apenas com CCNA, qual séria sua próxima certificação?
Renato Silva : A realidade é que as(empresas) conhecem o CCNP, e para quem quer está de olho em outros rumos profissionais, o idéal é o CCNP mesmo.
jair.rocha : é mesmo acho que a galera prefere o CCNP, como meta ai depois pensa em outra cert, visto que~com esta cert masi uma ou duas provas consegue-se cert especialist em outros segmentos ,
Marco Filippetti : Interessante...! Mas ninguém vai tentar o CCIP, por exemplo?
jair.rocha : É marco acho que a galera esta com receio em se ariscar nestas novas certs e ficar nas que já estão consolidadas, eu no meu caso penso em CCDA
leonardo_tns : cara é isso ai, estuda os topicos que vc sentiu maior dificuldade!
jadsonsouza : fiz hoje o exame ccna e quase consegui passar, score de 801. na proxima eu consigo.
wbeline : Olá pessoal... Alguém conhece os treinamentos da Trainning em Cisco? São 3 cursos...
Marco Filippetti : Pessoal, estou achando interessante o caminho que a enquete está tomando!!! Ninguém vai se aventurar no CCNA Voice?!?!
osvaldo.luiz :
breno.b : valeu pessoal
breno.b : ok, obrigado.
osvaldo.luiz : É isso ai Fera, obrigado pela contribuicao.
Fera : sh ip protocols tbm serve.
osvaldo.luiz : show running-config dai voce vera tudo que esta rodando de configuracoes em seu roteador terá informacoes sobre rotas anunciadas e o protocolo que voce esta usando.
osvaldo.luiz : Ola Breno, tudo bem? voce pode usar o comando.
breno.b : Se alguem poder ajudar agradeço.
breno.b : Ola, bom dia! Como identifico qual protocolo de roteamento esta configurado tipo rip ou igrp ??
Marcos Protazio : ta por ai Maercio?
maercio makoto : Douglas, dá uma procurada nos HDs virtuais, que se não me engano, tem labs e alguns simulados, mas tem que procurar
maercio makoto : Muito bom Marcos, mas vc já sabe quais certificações vc vai tirar depois de terminar a faculdade?
maercio makoto : agora, se for o livro oficial, tem 4 deles, então qual vc está lendo? pq esses livros são caros, muito bons e completos.
maercio makoto : pq se for o do diógenes, esse livro é bom, mas recomendo tbm o livro do marco, sobre CCNA 4.1.
maercio makoto : cristiano, o livro que vc está lendo, é o do diógenes ou os originais em inglês?
Douglas Bacciotti : Alguem poderia me passar simulados das provas de módulos do curso ccna??
cristiano mollo : Tô lendo o livro oficial,mas tem umas 800 páginas....vou ler este aí do blog 4.1 que tem menos.....é a mesma coisa?Este do blog não é oficial
jair.rocha : Boa tarde a todos
Marcos Protazio : to conseguindo derruma um gigante por vez
Marcos Protazio : Maercio mas as coisas ja estão bem certas pra mim cara, formo agora em Engenharia no meio do ano q vem ago0ra
maercio makoto : e além do mais, existe uma grande diferença entre ler e entender.
maercio makoto : Ei Marcos, pior que ficar de braços cruzados, é fazer alguma coisa sem ter certeza de que aquilo é o certo!
Marcos Protazio : quando ce kd eu to la com o livro aberto com a cara enfiada nele estudando. hehehe
Marcos Protazio : quando ce kd eu to la com o livro aberto com a cara enfiada nele estudando. hehehe
Marcos Protazio : cada segundo do dia é precioso, faz tempo viu q nao sei o q é senta na frente da TV e assisti um programa
Marcos Protazio : é Ferrugem complicado mesmo né cara, mas nu consigo fica de braço cruzado nao, quero faze as coisas acontecerem logo
Ferrugem : Mas deve ser complicado consciliar tudo isso..
Ferrugem : Como o Farias bem disse, tem de estar com o corpo e a mente descansados para poder aprender o que estuda..
Ferrugem : Marcos Protázio... Não tente fazer TUDO ao mesmo tempo... Geralmente não funciona..
Marcos Protazio : moendo no pó de guarana . hehehe
Rodrigo Farias : é verdade
Marcos Protazio : é cara, facu , cursos, certificação, trampo, a coisa é froids viu
Rodrigo Farias : Esteja com a mente e o corpo descansado, caso contrario, nao da pra estudar turno nenhum, nem de dia, nem de magrugada
Rodrigo Freitas : Dormir o dia todo!!!!
Marcos Protazio : galera alguem d vcs ai tem alguma dica pra pode estuda d boa na madrugada, ta dificil pra mim viu.
Ferrugem : Valeu! Boa sorte pra você no III MD!!!
Minu : boa sorte na prova!!
Minu : vixi
Ferrugem : Pois é... Não sei se vou poder participar ... Sábado tenho duas provas da faculdade (é sempre aos finais de semana) e depois vou voltar para Jundiaí..
Minu : e sabadão é estar ligado no IIIMD hein
Minu : agora tô aqui, querendo que tenha uma segunda edição do evento haha
Minu : :ds
Minu : tá sim
Ferrugem : Poutz... Mas já ta tudo blz novamente neh!?
Minu : Passei mal Ferrugem! =(
wbeline : Ferrugem, sou de Campo Mourão, pertinho de Maringá...
Ferrugem : O que houve que não fostes ao Networkaridade?!
Ferrugem : Grande Minu!!!
Minu : Opa Ferrugem beleza?
Ferrugem : Lá você vai encontrar material para LPIC 1 e 2!
Ferrugem : Helison dê uma olhada no HD 2!
Helison : Pessoal, sabem se tem algum material de LPIC no HD do blog para estudo?