如何配置設備登錄ssh登錄
❶ SSH協議、openSSH遠程口令及密鑰登錄配置
SSH(Secure Shell)協議為遠程登錄或其它網路服務(如:sftp、scp)提供安全保障的一種協議。它設計之初的主要目的是替代telnet遠程登錄協議,由於telnet協議以明文的方式在互聯網上傳遞數據和伺服器賬戶口令,別有用心的人很容易就可以截獲得到這些數據和口令。以下是SSH詳細的登錄過程:
a、版本號協商階段
伺服器端啟動ssh服務,並打開22號埠(也可以配置為其它埠),等待客戶端鏈接。客戶端向伺服器端發起TCP連接。連接建立後,伺服器端和客戶端開始商議欲使用的協議版本號。如果協商成功,進入密鑰和演算法協商階段,否則,斷開TCP連接。
b、密鑰和演算法協商階段
伺服器端和客戶端分別向對方發送演算法協商報文,其中包括了自己支持的非對稱加密演算法列表、加密演算法列表、消息驗證碼演算法列表、壓縮演算法列表等。伺服器端和客戶端根據雙方支持的演算法得出最終使用的演算法(如非對稱加密演算法是採用RSA,還是DSA)。協商完成後羨鏈,伺服器端將自己的公鑰發送給客戶端,客戶端根據公鑰指紋決定是否信任此主機。選擇信任此主機後,客戶端使用伺服器端的公鑰將自己生成的會話密鑰加密,發送給伺服器端。以後的會話內容和口令都通過此會話密鑰加密發送。通常,每過一個小時,伺服器端和客戶端會重新商定會話密鑰,以防止會話密鑰被暴力破解。
c、認證階段
基於口令的認證:
客戶端採用在演算法協商階段產生的會話密鑰加密帳號、認證方法、口令,並將其傳送給伺服器端。伺服器端收到後將其解密後,基於本地賬戶密碼對其判斷是否正首脊確。如果正確,成功建立登錄連接,否則,向客戶端返回認證失敗報文,其中包含了可再次認證的方法列表。當登錄請求次數達到可允許的嘗試上限次數後,伺服器端斷開本次TCP連接,並限制此帳號連接請求。
基於密鑰的認證:
客戶端使用ssh-keygen工具在本地家目錄的.ssh/目錄下生成一對密鑰(如:公鑰id_rsa.pub、私鑰id_rsa)。並將公鑰追加保存到將要登錄的伺服器上的那個帳號家目錄的.ssh/authorized_keys文件中。客戶端使用演算法協商階段生成的會話密鑰加密帳號、認證方法、公鑰,並將其傳送給伺服器端。伺服器端收到後將解密後的公鑰與本地該帳號家目錄下的authorized_keys中的公鑰進兄芹孫行對比。如果內容不相同,認證失敗,否則伺服器端生成一段隨機字元串,並先後用客戶端公鑰和會話密鑰對其加密,發送給客戶端。客戶端收到後將解密後的隨記字元串用會話密鑰加密發送給伺服器端。如果發回的字元串與伺服器端起先生成的一樣,則認證通過,否則,認證失敗。
openssh便是SSH的一個開源實現。本文後續部分將簡要介紹如何用openssh基於口令和密鑰的遠程登錄。
示例:
# ssh [email protected]
如果是第一次登錄遠端主機,系統會出現以下提示:
因為協議本身無法確認遠端伺服器的真實性,用戶自行根據提供的經SHA256演算法提取的公鑰指紋判斷其真實性。如果確認為真,則輸入帳號密碼以登錄伺服器端。
a、首先在客戶端生成一對密鑰
示例:
b、將客戶端公鑰保存到伺服器端
示例:
另外,可以不使用ssh--id命令,改用以下命令,可以更好的理解公鑰的保存過程:
c、登錄驗證
如果仍然無法無口令登錄,請檢查sshd配置文件/etc/ssh/sshd_config,並將以下幾行前面的注釋符號取消。
❷ SSH登陸方式,基本配置
SSH只是一種協議,存在多種實現,既有商業實現,也有開源實現。本文主要介紹OpenSSH免費開源實現在Ubuntu中的應用,如果要在Windows中使用SSH,需要使用另一個軟體PuTTY。
SSH之所以能夠保證安全,原因在於它採用了非對稱加密技術(RSA)加密了所有傳輸的數據。
傳統的網路服務程序,如FTP、Pop和Telnet其本質上都是不安全的;因為它們在網路上用明文傳送數據、用戶帳號和用戶口令,很容易受到中間人(man-in-the-middle)攻擊方式的攻擊。就是存在另一個人或者一台機器冒充真正的伺服器接收用戶傳給伺服器的數據,然後再冒充用戶把數據傳給真正的伺服器。
但並不是說SSH就是絕對安全的,因為它本身提供兩種級別的驗證方法:
口令登錄非常簡單,只需要一條命令
還要說明的是,SSH服務的默認埠是22,也就是說,如果你不設置埠的話登錄請求會自動送到遠程主機的22埠。我們可以使用 -p 選項來修改埠號,比如:
首先使用ssh-keygen命令生成密鑰對
然後根據提示一步步的按enter鍵即可,執行結束以後會在 /home/當前用戶 目錄下生成一個 .ssh 文件夾,其中包含私鑰文件 id_rsa 和公鑰文件 id_rsa.pub 。
(其中有一個提示是要求設置私鑰口令passphrase,不設置則為空,如果為了免密登陸可以不設置。)
使用 ssh--id 命令將公鑰復制到遠程主機
ssh--id會將公鑰寫到遠程主機的 /root/ .ssh/authorized_key 文件中
使用ssh--id命令登陸哪個用戶就會存放在哪個用戶的home目錄下。
也可以手動復制到authorized_key文件當中。
第一次登錄時,會提示用戶
意思是無法驗證用戶的公鑰,是否正確,詢問用戶是否要繼續。
ECDSA key給出了遠程主機公鑰的SHA256編碼過的值,一般在遠程主機的網站會告示公鑰的值,
用戶可以將這個公鑰和網站上的公鑰進行比對,正確則表明是遠程主機。
輸入yes之後,系統會將公鑰加入到已知的主機列表,如下所示,已知列表中的主機,下次不會再詢問。
SSH的配置文件通常在 /etc/ssh/sshd_config
配置文件中有非常詳盡的注釋,一般在工作中主要用到的幾個配置
❸ 思科路由器SSH配置案例
思科路由器SSH配置案例
SSH為建立在應用層基礎上的安全協議。SSH是目前較可靠,專為遠程登錄會話和其他網路服務提供安全性的協議。利用SSH 協議可以有效防止遠程管理過程中的信息泄露問題。下面是思科路由器SSH配置案例,希望對你有幫助!
1. 配置hostname和ipdomain-name
Router#configure terminal
Router(config)#hostname R2 //配置ssh的時候路由器的名字不能為router
R2(config)#ip domain-name cisco.com //配置SSH必需
R2(config)#username best password best1
或 username best privilege 15 password 7 best1
註:添加一個用戶:best,口令:best1
R2(config)#line vty 0 4
R2(config-line)#transport input ssh //只允許用SSH登錄(注意:禁止telnet和從
交換引擎session!)
2. 配置SSH服務:
R2(config)#crypto key generate rsa
The name for the keys will be: R2.cisco.com
註:SSH的關鍵字名就是hostname + . +ipdomain-name
Choose the size of the key molus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key molus greater than 512 may take
a few minuts
How many bits in the molus [512]: 註:選擇加密位數,cisco推薦使用1024
Generating RSA keys ...
[OK]
用命令show ip ssh也能看到:
SSH Enabled - version 1.5
Authentication timeout: 120 secs; Authentication retries:
現在SSH服務已經啟動,如果需要停止SSH服務,用以下命令:
R2(config)#crypto key zeroize rsa
3.設置SSH參數
配置好了SSH之後,通過show run命令我們看到SSH默認的參數:超時限定為120秒,認證重試次數為3次,可以通過下面命令進行修改:
R2(config)#ip ssh {[time-out seconds]} │ [authentication-retries interger]}
如果要把超時限定改為180秒,則應該用:
R2(config)# ip ssh time-out 180
如果要把重試次數改成5次,則應該用:
R2(config)# ip ssh authentication-retries
這樣,SSH已經在路由器上配置成功了,就能夠通過SSH進行安全登錄了。
注意:最後如果從別的設備用ssh登錄這台路由器會出現以下內容:
R1#ssh -l best 192.168.0.2
Password:
R2>en
% Error in authentication.
為什會出現以上內容?
因為在R2上沒有配置enablepassword/secret xxxx
R2配置上enable secret 5 $1$fJxo$suWiTzmfdj/vkvXfRHBcw/
那麼在R1上:
R1#ssh -l best 192.168.0.2
Password:
R2>en
Password:
R2#confi g
拓展:
思科路由器如何設置
首先將路由器進行初始化復位,恢復出廠設置(非常重要),然後將電腦網卡與路由器LAN口用網線連接,打開路由器電源;電腦網卡設置192.168.1.2;
在電腦上雙擊IE瀏覽器,在地址欄中輸入路由器默認設置頁面IP地址:192.168.1.1回車;
輸入默認用戶名:admin,默認密碼:admin;點擊確定。
1、設置撥號賬號:
點擊左邊欄設置向導,點擊下一步;
點選ADSL虛擬撥號(PPPOE)點擊下一步;
輸入寬頻賬號、密碼,點擊下一步;
2、設置無線wifi密碼:
左邊還有個選項無線設置裡面,有個ssid,這是WiFi的無線賬號,設置好後有密碼設置,密碼盡量復雜些,最好字母數字元號組合;
3、設置登錄密碼
將默認的admin、admin登錄密碼改掉,防止有人破解蹭網後修改路由器。
點擊保存後重啟,完成。
思科路由器優勢
一個系統方法的價值。
系統方法開始於單一永續平台,如思科(Cisco)集成多業務路由器。系統方法相結合的內部及其相互之間的智能服務,包裝,編織語音,安全,路由和應用服務結合起來,使程序更加自動化和智能化。
結果普遍安全的網路和應用,對數據,語音更高的服務質量和視頻流量,提高時間效率,更好地利用網路資源。
隨著集成多業務路由器,思科(Cisco)提供了一個全面的`,未來需求的解決方案,最大限度地減少網路中斷,並確保進入最關鍵業務應用。思科(Cisco)對性能結合新的基礎設施服務的重點是使公司創造網路更聰明,更有彈性,可靠。
對於各種規模的需要快速,安全訪問,今天的任務是,作為今後發展的基礎和關鍵應用,思科(Cisco)路由器組織:
提供業界第一個投資組合提供安全,線速提供並發數據,語音傳送設計和視頻服務
嵌入安全和語音服務到一個單一的路由系統;
採用集成的系統方法的嵌入式服務,應用部署速度,降低運營成本和復雜性;
提供無與倫比的服務性能和投資保護;
不同專業的小產品,思科(Cisco)集成多業務路由器中嵌入作為一個單一的彈性系統,便於部署簡化的管理,安全和語音服務,並降低運營成本。思科(Cisco)路由器提供安全的通信解決方案,你今天需要,同時為明天的智能信息網路的基礎。
此外,思科(Cisco)集成多業務路由器:
提供快捷,安全地訪問關鍵任務業務應用和未來發展無可比擬的投資保護,使企業能夠輕松部署和管理的融合,通訊解決方案得到最終用戶的生產力端對端的安全;
特徵業界領先的服務密度,帶寬,可用性和最高配置的靈活性和最苛刻的網路環境中的可擴展性性能選項;
提供的語音容量和廣泛的服務,使客戶可以輕松地實現終端到終端的,最佳的IP通信解決方案,同時提供一個未來的增長和投資保護的基礎;
是唯一的路由器,允許企業構建一個智能的,自防禦網路的基礎,具有最佳的服務,一流的安全和路由最低的總擁有成本的技術和最高的投資回報。
;