Poprzednio pisałem o w jaki sposób możesz włączyć dostęp SSH do przełącznika Cisco, włączając ustawienie w interfejsie GUI. Jest to świetne rozwiązanie, jeśli chcesz uzyskać dostęp do przełącznika CLI za pośrednictwem zaszyfrowanego połączenia, ale wciąż zależy tylko od nazwy użytkownika i hasła.
Jeśli używasz tego przełącznika w bardzo wrażliwej sieci, która musi być bardzo bezpieczne, możesz rozważyć włączenie uwierzytelniania klucza publicznego dla połączenia SSH. W rzeczywistości, dla maksymalnego bezpieczeństwa, możesz włączyć nazwę użytkownika / hasło i uwierzytelnienie klucza publicznego, aby uzyskać dostęp do przełącznika.
W tym artykule pokażę, jak włączyć uwierzytelnianie klucza publicznego na przełączniku SG300 Cisco i jak wygenerować pary klucza publicznego i prywatnego przy użyciu puTTYGen. Pokażę ci, jak zalogować się przy użyciu nowych kluczy. Ponadto pokażę, jak to skonfigurować, aby można było użyć tylko klawisza do zalogowania się lub zmusić użytkownika do wpisania nazwy użytkownika / hasła wraz z użyciem klucza prywatnego.
Uwaga: zanim zaczniesz korzystać z tego samouczka, upewnij się, że masz już włączoną usługę SSH na przełączniku, o której wspomniałem w poprzednim artykule powyżej.
Włącz uwierzytelnianie użytkownika SSH według klucza publicznego
Ogólnie rzecz biorąc, proces uzyskiwania uwierzytelniania klucza publicznego do pracy z SSH jest prosty. W moim przykładzie pokażę, jak włączyć funkcje za pomocą internetowego interfejsu GUI. Próbowałem użyć interfejsu CLI, aby włączyć uwierzytelnianie kluczem publicznym, ale nie zaakceptowałbym formatu dla mojego prywatnego klucza RSA.
Kiedy już to zrobię, zaktualizuję ten post za pomocą poleceń CLI, które osiągniemy teraz to, co zrobimy za pomocą GUI. Najpierw kliknij Bezpieczeństwo, następnie Serwer SSH, a na końcu Uwierzytelnianie użytkowników SSH.
W prawym okienku przejdź do pola Włącz obok uwierzytelniania użytkownika SSH według klucza publicznego. Kliknij przycisk Zastosuj, aby zapisać zmiany. Nie zaznaczaj przycisku Włączobok Automatyczne logowanie, ale wyjaśnię to dokładniej.
Teraz musimy dodać SSH Nazwa Użytkownika. Zanim zaczniemy dodawać użytkownika, najpierw musimy wygenerować klucz publiczny i prywatny. W tym przykładzie użyjemy programu puTTYGen, który jest programem typu puTTY.
Generuj klucze prywatne i publiczne
Aby wygenerować klucze, najpierw otwórz i puTTYGen . Zobaczysz pusty ekran i naprawdę nie powinieneś zmieniać żadnego z ustawień domyślnych pokazanych poniżej.
Kliknij przycisk Generuj, a następnie przesuwaj myszką po pustym obszarze, aż pasek postępu przejdzie do końca.
Po wygenerowaniu kluczy, musisz wpisać hasło, które jest zasadniczo jak hasło, aby odblokować klucz.
To jest dobrym pomysłem jest użycie długiego hasła do ochrony klucza przed brutalnymi atakami. Po dwukrotnym wpisaniu hasła należy kliknąć przyciski Zapisz klucz publicznyi Zapisz klucz prywatny. Upewnij się, że te pliki są zapisane w bezpiecznej lokalizacji, najlepiej w zaszyfrowanym pojemniku, który wymaga hasła do otwarcia. Sprawdź mój post na temat VeraCrypt, aby utworzyć zaszyfrowany wolumen.
Dodaj użytkownika & amp; Key
Teraz wracamy do ekranu SSH User Authentication, w którym byliśmy wcześniej. Oto, gdzie możesz wybrać jedną z dwóch różnych opcji. Najpierw przejdź do Administracja- Konta użytkowników, aby zobaczyć, jakie konta masz obecnie do logowania.
Jak widzisz, mam jedno konto o nazwie akishore w celu uzyskania dostępu do mojego przełącznika. Obecnie mogę używać tego konta, aby uzyskać dostęp do internetowego interfejsu GUI i interfejsu CLI. Po powrocie na stronę SSH User Authentication, użytkownik, który chcesz dodać do tabeli uwierzytelniania użytkowników SSH (według klucza publicznego)może być taki sam, jak to, co masz Administracja - Konta użytkownikówlub inne.
Jeśli wybierzesz tę samą nazwę użytkownika, możesz zaznaczyć przycisk Włączw obszarze Automatyczne logowaniei kiedy logujesz się do przełącznika, musisz po prostu wpisać nazwę użytkownika i hasło do klucza prywatnego, a będziesz zalogowany.
Jeśli zdecydujesz się wybrać inną nazwę użytkownika tutaj pojawi się monit, w którym należy wprowadzić nazwę użytkownika i hasło do prywatnego klucza SSH, a następnie wprowadzić zwykłą nazwę użytkownika i hasło (wymienione w sekcji Admin - Konta użytkowników). Jeśli chcesz uzyskać dodatkowe zabezpieczenia, użyj innej nazwy użytkownika, w przeciwnym razie po prostu nadaj jej taką samą nazwę jak obecna.
Kliknij przycisk Dodaj, a otrzymasz Dodaj użytkownika SSHwyskakujące okno.
Upewnij się, że Typ kluczajest ustawiony na RSA, a następnie otwórz i otwórz swój publiczny Plik klucza SSH zapisany wcześniej przy użyciu programu takiego jak Notatnik. Skopiuj całą zawartość i wklej ją w oknie Klucz publiczny. Kliknij Zastosuj, a następnie kliknij Zamknij, jeśli pojawi się komunikat Sukcesu góry.
Logowanie przy użyciu klucza prywatnegoh2>
Teraz wszystko, co musimy zrobić, to zalogować się przy użyciu naszego prywatnego klucza i hasła. W tym momencie, przy próbie zalogowania się, musisz dwukrotnie wprowadzić dane logowania: raz dla klucza prywatnego i raz dla zwykłego konta użytkownika. Gdy włączymy automatyczne logowanie, wystarczy wprowadzić nazwę użytkownika i hasło do klucza prywatnego, a pojawi się.
Otwórz puTTY i wpisz adres IP swojego przełącznika w >Nazwa hosta, jak zwykle. Jednak tym razem będziemy musieli załadować klucz prywatny również do puTTY. Aby to zrobić, rozwiń węzeł Połączenie, a następnie rozwiń SSH, a następnie kliknij Auth.
Kliknij przycisk Przeglądajw obszarze Plik klucza prywatnego do uwierzytelnieniai wybierz plik klucza prywatnego, który został wcześniej zapisany z pliku puTTY. Teraz kliknij przycisk Otwórz, aby się połączyć.
Pierwszy monit będzie zalogować jakoi powinna to być nazwa użytkownika dodana przez użytkowników SSH. Jeśli użyłeś tej samej nazwy użytkownika co główne konto użytkownika, nie będzie to miało znaczenia.
W moim przypadku użyłem akishore dla obu kont użytkowników, ale użyłem różnych haseł dla klucza prywatnego i mojego głównego konta użytkownika. Jeśli chcesz, możesz ustawić hasła tak samo, ale nie ma sensu tak naprawdę robić, szczególnie jeśli włączysz automatyczne logowanie.
Teraz, jeśli nie chcesz mieć podwójnego logowania, aby uzyskać do przełącznika, zaznacz pole Włączobok Automatyczne logowaniena stronie SSH User Authentication.
Gdy ta opcja jest włączona, będziesz musiał po prostu wpisać dane uwierzytelniające dla użytkownika SSH i będziesz zalogowany.
To trochę skomplikowane, ale ma sens po zabawie z nim. Tak jak wspomniałem wcześniej, wypiszę również komendy CLI, gdy tylko uda mi się uzyskać klucz prywatny w odpowiednim formacie. Postępując zgodnie z instrukcjami, dostęp do przełącznika przez SSH powinien być teraz dużo bezpieczniejszy. Jeśli napotkasz problemy lub masz pytania, opublikuj w komentarzach. Ciesz się!