Cisco製品でコンフィグのパスワードを暗号化させる設定は、「service password-encryption」になります。


これを設定しないと、コンフィグのパスワードが平文で表示されてしまいます。ちなみにメーカーによって当然ながらコマンドが違いますが、例えば、YAMAHAの場合は、「login password encrypted」になり、これを設定することでパスワードが暗号化されるようになります。


このコマンドは「パスワード」や「enable パスワード」で設定したパスワードを暗号化する時に使います。


では、これを設定しないセキュリティリスクは、コンフィグにパスワードが表示されるため、第三者に見られるリスクになりますし、コンフィグ自体をファイルサーバーに保存していた場合、コンフィグを見れる人全員にパスワードを知られることになります。

その為、確実に設定しておいたほうがいい設定になります。


また、ログインのパスワードの暗号化は、「service password-encryption」よりも、「enable secret password」のほうが暗号化レベルが高いので、お勧めです。


ちなみに、どちらも設定が可能で、enable passwordとenable secretの両方が設定された場合、enable secretのパスワードが有効となるそうです。


設定は、グローバルコンフィグレーションモードで設定します。


[パスワードを設定し、暗号化する]

[enable secretを設定する]

以下は、セキュリティ コマンド リファレンス、Cisco IOS リリース 15.2(2)E（Catalyst 2960-XR スイッチ）の情報になりますが、パスワードの設定などは参考になります。   パスワードおよび権限レベルによるスイッチ アクセスの制御


「service password-encryption」を設定しておけば、telnet、シリアル接続時のパスワードも暗号化されます。