Odporúčaná, 2019

Redakcia Choice

Povolenie overenia verejného kľúča pre SSH na prepínačoch Cisco SG300

Predtým som napísal o tom, ako môžete povoliť prístup SSH k prepínaču Cisco tak, že povolíte nastavenie v rozhraní GUI. To je skvelé, ak chcete pristupovať k prepínaču CLI cez šifrované pripojenie, ale stále sa spolieha len na používateľské meno a heslo.

Ak používate tento prepínač vo veľmi citlivej sieti, ktorá musí byť veľmi bezpečná, potom by ste mali zvážiť povolenie overovania verejných kľúčov pre vaše pripojenie SSH. V záujme maximálneho zabezpečenia môžete povoliť používateľské meno / heslo a overovanie verejným kľúčom na prístup k vášmu prepínaču.

V tomto článku vám ukážem, ako povoliť autentifikáciu verejných kľúčov na switch Cisco SG300 a ako generovať páry verejných a súkromných kľúčov pomocou puTTYGen. Potom vám ukážem, ako sa prihlásiť pomocou nových kľúčov. Okrem toho vám ukážem, ako ho nakonfigurovať, aby ste mohli používať iba kľúč na prihlásenie alebo vynútiť používateľovi, aby zadal používateľské meno / heslo spolu s privátnym kľúčom.

Poznámka : Skôr než začnete s touto príručkou, uistite sa, že ste už na službe SSH povolili službu SSH, ktorú som spomenul vo svojom predchádzajúcom článku.

Povolenie overenia totožnosti používateľa SSH verejným kľúčom

Celkovo je proces získavania autentifikácie verejným kľúčom pre prácu pre SSH jednoduchý. V mojom príklade vám ukážem, ako povoliť funkcie pomocou grafického používateľského rozhrania na webe. Pokúsil som sa použiť rozhranie CLI na umožnenie autentifikácie verejným kľúčom, ale neprijalo by formát pre môj súkromný kľúč RSA.

Akonáhle budem pracovať, budem aktualizovať tento príspevok s príkazmi CLI, ktoré dosiahnu to, čo budeme robiť prostredníctvom GUI pre teraz. Najprv kliknite na položku Zabezpečenie, na server SSH a nakoniec na autentifikáciu používateľa SSH .

V pravom okne pokračujte a začiarknite políčko Povoliť vedľa autentifikácie používateľa SSH verejným kľúčom . Kliknutím na tlačidlo Použiť uložte zmeny. Nezdržujte začiarknutie tlačidla Zapnúť vedľa položky Automatické prihlásenie .

Teraz musíme pridať meno používateľa SSH. Než sa dostaneme do pridávania používateľa, musíme najprv vytvoriť verejný a súkromný kľúč. V tomto príklade budeme používať puTTYGen, čo je program, ktorý je dodávaný s puTTY.

Generovanie súkromných a verejných kľúčov

Ak chcete generovať kľúče, najskôr otvorte súbor puTTYGen. Zobrazí sa prázdna obrazovka a pravdepodobne by ste nemuseli meniť žiadne nastavenia z predvolených hodnôt uvedených nižšie.

Kliknite na tlačidlo Generovať a potom presuňte myš okolo prázdnej plochy, až kým sa nezastaví celý panel.

Po vygenerovaní kľúčov musíte zadať prístupovú frázu, ktorá je v podstate rovnaká ako heslo na odomknutie kľúča.

Je dobré použiť dlhú prístupovú frázu na ochranu kľúča pred útokmi hrubou silou. Po zadaní dvojfázovej frázy by ste mali kliknúť na tlačidlá Uložiť verejný kľúč a Uložiť súkromné ​​tlačidlo . Uistite sa, či sú tieto súbory uložené na bezpečnom mieste, najlepšie v šifrovanom kontajneri nejakého druhu, ktorý vyžaduje otvorenie hesla. Pozrite sa na môj príspevok o použití VeraCrypt vytvoriť šifrovaný zväzok.

Pridať používateľ a kľúč

Teraz späť na obrazovku Overenie používateľa SSH sme boli predtým. Tu je miesto, kde si môžete vybrať z dvoch rôznych možností. Najskôr prejdite na položku Administrácia - používateľské kontá a zistite, aké účty máte v súčasnosti na prihlásenie.

Ako vidíte, mám jeden účet nazvaný akishore na prístup k môjmu prepínaču. V súčasnosti môžem tento účet používať na prístup k webovým grafickým rozhraním a službe CLI. Späť na stránke Overenie používateľa SSH, používateľ, ktorý potrebujete pridať do tabuľky overenia totožnosti SSH (verejným kľúčom), môže byť rovnaký ako používateľ, ktorý máte v časti Administrácia - používateľské kontá alebo iné.

Ak si vyberiete rovnaké meno používateľa, môžete začiarknuť v poli Automatické prihlásenie tlačidlo Zapnúť a keď prejdete do prepínača, stačí jednoducho zadať používateľské meno a heslo pre privátny kľúč a budete prihlásení,

Ak sa rozhodnete vybrať iné používateľské meno tu, dostanete výzvu, v ktorej musíte zadať meno a heslo súkromného kľúča SSH a potom budete musieť zadať svoje bežné používateľské meno a heslo (uvedené pod správou - používateľské účty), Ak chcete zvýšiť bezpečnosť, použite iné používateľské meno, inak stačí mu pomenovať rovnaké meno ako vaše súčasné.

Kliknite na tlačidlo Pridať a zobrazí sa okno Pridať používateľ SSH .

Uistite sa, že typ kľúča je nastavený na hodnotu RSA a potom pokračujte a otvorte verejný súbor kľúčov SSH, ktorý ste predtým uložili pomocou programu, napríklad programu Poznámkový blok. Skopírujte celý obsah a vložte ho do okna verejného kľúča . Kliknite na tlačidlo Použiť a potom kliknite na tlačidlo Zatvoriť, ak dostanete správu o úspechu v hornej časti.

Prihlásenie pomocou súkromného kľúča

Teraz už musíme prihlásiť pomocou nášho súkromného kľúča a hesla. V tomto momente sa pri pokuse o prihlásenie budete musieť dvakrát zadávať prihlasovacie poverenia: raz pre súkromný kľúč a raz pre bežný používateľský účet. Keď povolíme automatické prihlásenie, stačí, ak zadáte používateľské meno a heslo pre privátny kľúč a budete v ňom.

Otvorte súbor puTTY a zadajte adresu IP prepínača do poľa Názov hostiteľa ako obvykle. Tentokrát však budeme musieť načítať aj súkromný kľúč do súboru puTTY. Ak chcete to urobiť, rozbaľte položku Pripojenie a potom rozbaľte SSH a potom kliknite na položku Auth .

Kliknite na tlačidlo Prehľadávať v Súkromnom kľúči na overovanie a vyberte súbor súkromného kľúča, ktorý ste uložili z adresy puTTY skôr. Teraz kliknite na tlačidlo Otvoriť a pripojte sa.

Prvá výzva bude prihlásená ako a mala by byť používateľské meno, ktoré ste pridali pod užívateľmi SSH. Ak ste použili rovnaké používateľské meno ako hlavné používateľské konto, nezáleží na tom.

V mojom prípade som použil akishore pre oba používateľské účty, ale použil som rôzne heslá pre súkromný kľúč a pre môj hlavný používateľský účet. Ak chcete, heslá môžete urobiť rovnako, ale nemáte dôvod skutočne robiť to, najmä ak povolíte automatické prihlásenie.

Teraz, ak nechcete, aby ste museli zdvojiť prihlásenie, aby ste sa dostali do prepínača, začiarknite políčko Enable ( Automatické prihlásenie ) vedľa položky Automatické prihlásenie na stránke Overenie používateľa SSH .

Ak je táto možnosť zapnutá, stačí teraz zadať poverenia pre používateľa SSH a budete prihlásení.

Je to trochu komplikované, ale má zmysel, keď si s ním zahráte. Ako som už spomenul, budem tiež písať príkazy CLI, akonáhle získam súkromný kľúč v správnom formáte. Podľa pokynov tu by prístup k vášmu prepínaču cez SSH mal byť oveľa bezpečnejší. Ak narazíte na problémy alebo máte otázky, uverejnite ich v komentároch. Užite si to!

Top