Włącz uwierzytelnianie klucza publicznego dla SSH na przełącznikach Cisco SG300
- 3164
- 609
- Roland Sokół
Wcześniej pisałem o tym, jak możesz włączyć dostęp do SSH do swojego przełącznika Cisco, włączając ustawienie w interfejsie GUI. To świetnie, jeśli chcesz uzyskać dostęp do przełącznika CLI przez zaszyfrowane połączenie, ale nadal opiera się tylko na nazwie użytkownika i hasła.
Jeśli używasz tego przełącznika w bardzo wrażliwej sieci, która musi być bardzo bezpieczna, możesz rozważyć włączenie uwierzytelniania klucza publicznego dla połączenia SSH. W rzeczywistości, aby uzyskać maksymalne bezpieczeństwo, możesz włączyć nazwę użytkownika/hasło i uwierzytelnianie klucza publicznego w celu uzyskania dostępu do przełącznika.
Spis treściW tym artykule pokażę, jak włączyć uwierzytelnianie klucza publicznego na przełączniku SG300 Cisco i jak generować pary kluczy publicznych i prywatnych za pomocą puttygen. Następnie pokażę, jak się zalogować za pomocą nowych kluczy. Ponadto pokażę, jak go skonfigurować, abyś mógł użyć tylko klucza do zalogowania się lub zmuszania użytkownika do wpisania nazwy użytkownika/hasła, a także korzystania z klucza prywatnego.
Notatka: Zanim zaczniesz w tym samouczku, upewnij się, że już włączyłeś usługę SSH na Switch.
Włącz uwierzytelnianie użytkownika SSH według klucza publicznego
Ogólnie rzecz biorąc, proces uwierzytelniania klucza publicznego do pracy dla SSH jest prosty. W moim przykładzie pokażę, jak włączyć funkcje za pomocą internetowego GUI. Próbowałem użyć interfejsu CLI, aby włączyć uwierzytelnianie klucza publicznego, ale nie zaakceptowałoby to formatu mojego prywatnego klucza RSA.
Kiedy będę działać, zaktualizuję ten post o polecenia CLI, które osiągną to, co zrobimy za pośrednictwem GUI. Najpierw kliknij Bezpieczeństwo, Następnie Serwer SSH i w końcu Uwierzytelnianie użytkownika SSH.
Kliknij na Generować przycisk, a następnie przesuń mysz wokół pustego obszaru, aż pasek postępu przejdzie.
Po wygenerowaniu klawiszy musisz wpisać hasło, która jest w zasadzie jak hasło, aby odblokować klucz.
Dobrym pomysłem jest użycie długiej hasła do ochrony klucza przed atakami siły brutalnej. Po dwukrotnym wpisaniu hasła należy kliknąć Zapisz klucz publiczny I Zapisz klucz prywatny guziki. Upewnij się, że pliki te są zapisywane w bezpiecznej lokalizacji, najlepiej w zaszyfrowanym kontenerze, który wymaga otwarcia hasła. Sprawdź mój post na temat za pomocą Veracrypt, aby utworzyć zaszyfrowany głośność.
Dodaj użytkownika i klucz
Teraz wróć do Uwierzytelnianie użytkownika SSH Ekran, który byliśmy wcześniej. Tutaj możesz wybrać dwie różne opcje. Po pierwsze, idź do Administracja - Konta użytkowników Aby zobaczyć, jakie konta masz obecnie do logowania.
Jak widać, mam jedno konto o nazwie Akishore, aby uzyskać dostęp do mojego przełącznika. Obecnie mogę użyć tego konta, aby uzyskać dostęp do internetowego GUI i CLI. Z powrotem na Uwierzytelnianie użytkownika SSH strona, użytkownik, którego musisz dodać do Tabela uwierzytelniania użytkownika SSH (według klucza publicznego) może być takie samo, jak to, co masz pod Administracja - Konta użytkowników lub inne.
Jeśli wybierzesz tę samą nazwę użytkownika, możesz sprawdzić Włączać przycisk pod Automatyczne logowanie A kiedy zalogujesz się do przełącznika, musisz po prostu wpisać nazwę użytkownika i hasło dla klucza prywatnego, a będziesz zalogowany.
Jeśli zdecydujesz się wybrać inną nazwę użytkownika tutaj, otrzymasz monit, w którym musisz wprowadzić nazwę użytkownika i hasło klucza prywatnego SSH, a następnie będziesz musiał wprowadzić normalną nazwę użytkownika i hasło (wymienione w ramach administratorów). Jeśli chcesz dodatkowego bezpieczeństwa, użyj innej nazwy użytkownika, w przeciwnym razie nazwij to tak samo jak obecna.
Kliknij przycisk Dodaj, a otrzymasz Dodaj użytkownika SSH okno wyskakują.
Upewnij się, że Typ klucza jest ustawiony na RSA, a następnie otwórz swój publiczny plik klucza SSH, który zapisałeś wcześniej za pomocą programu takiego jak Notepad. Skopiuj całą zawartość i wklej ją do Klucz publiczny okno. Kliknij Stosować a następnie kliknij Zamknąć Jeśli dostaniesz Powodzenie Wiadomość u góry.
Zaloguj się za pomocą klucza prywatnego
Teraz wszystko, co musimy zrobić, to zalogować się przy użyciu naszego klucza prywatnego i hasła. W tym momencie, kiedy próbujesz się zalogować, musisz dwukrotnie wprowadzić poświadczenia logowania: raz na klucz prywatny i raz dla normalnego konta użytkownika. Po włączeniu automatycznego logowania musisz po prostu wprowadzić nazwę użytkownika i hasło dla klucza prywatnego, a będziesz w.
Otwórz putty i wprowadź adres IP swojego przełącznika w Nazwa hosta pudełko jak zwykle. Jednak tym razem będziemy musieli również załadować klucz prywatny do Putty. Aby to zrobić, rozwinąć Połączenie, Następnie rozwinąć Ssh a następnie kliknij Auth.
Kliknij na Przeglądać przycisk pod Plik klucza prywatnego do uwierzytelnienia i wybierz wcześniej zapisany plik klucza prywatnego. Teraz kliknij otwarty przycisk do połączenia.
Pierwszy monit będzie Zaloguj się jako i to powinna być nazwa użytkownika dodana u użytkowników SSH. Jeśli użyłeś tej samej nazwy użytkownika co główne konto użytkownika, to nie ma znaczenia.
W moim przypadku użyłem Akishore dla obu kont użytkowników, ale użyłem różnych haseł dla klucza prywatnego i mojego głównego konta użytkownika. Jeśli chcesz, możesz też zrobić hasła takie same, ale tak naprawdę nie ma sensu, zwłaszcza jeśli włączysz automatyczny logowanie.
Teraz, jeśli nie chcesz podwoić się zalogowania, aby dostać się do przełącznika, sprawdź Włączać pudełko obok Automatyczne logowanie na Uwierzytelnianie użytkownika SSH strona.
Kiedy to jest włączone, musisz teraz po prostu wpisać poświadczenia dla użytkownika SSH i zostaniesz zalogowany.
To trochę skomplikowane, ale ma sens, gdy się z nim bawisz. Jak wspomniałem wcześniej, napiszę również polecenia CLI, gdy będę mógł uzyskać klucz prywatny w odpowiednim formacie. Postępując zgodnie z instrukcjami tutaj, dostęp do przełącznika przez SSH powinien być teraz o wiele bezpieczniejszy. Jeśli napotkasz problemy lub masz pytania, opublikuj w komentarzach. Cieszyć się!
- « Najłatwiejszy sposób na zdalne połączenie z Minutem Linux z dowolnego systemu operacyjnego
- Ogranicz dostęp do przełącznika Cisco na podstawie adresu IP »