Le 20 août 2014 15:52, Matthieu Michaud <matth...@nxdomain.fr> a écrit : > "le malfaisant peut éventuellement ré-initialiser la conf du switch en > utilisant la procédure > 'passwd-recovery'. Mais il ne peut pas accéder à la conf courante." > > En effet, le monitoring couplé à une vérification contre un template (par > exemple faire tourner HAWK sur le dernier backup RANCID) me semble une > contre mesure réactive valable. Mais qu'est-ce qui lui empêche d’accéder à > la startup-config, de la modifier et de la réinjecter pour se donner un > accès avant de se faire griller ? > >
Il faut utiliser no service password-recovery. De cette façon, le méchant peut effectivement bousiller le switch avec la console, mais pas accéder à la conf, donc pas aux credentials 802.1x utilisés par ce switch pour s'authentifier auprès du 3750. Disabling Password Recovery By default, any end user with physical access to the switch can recover from a lost password by interrupting the boot process while the switch is powering on and then by entering a new password. The password-recovery disable feature protects access to the switch password by disabling part of this functionality. When this feature is enabled, the end user can interrupt the boot process only by agreeing to set the system back to the default configuration. With password recovery disabled, you can still interrupt the boot process and change the password, but the configuration file (config.text) and the VLAN database file (vlan.dat) are deleted. -- rémi --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
