如何配置设备登录ssh登录
❶ SSH协议、openSSH远程口令及密钥登录配置
SSH(Secure Shell)协议为远程登录或其它网络服务(如:sftp、scp)提供安全保障的一种协议。它设计之初的主要目的是替代telnet远程登录协议,由于telnet协议以明文的方式在互联网上传递数据和服务器账户口令,别有用心的人很容易就可以截获得到这些数据和口令。以下是SSH详细的登录过程:
a、版本号协商阶段
服务器端启动ssh服务,并打开22号端口(也可以配置为其它端口),等待客户端链接。客户端向服务器端发起TCP连接。连接建立后,服务器端和客户端开始商议欲使用的协议版本号。如果协商成功,进入密钥和算法协商阶段,否则,断开TCP连接。
b、密钥和算法协商阶段
服务器端和客户端分别向对方发送算法协商报文,其中包括了自己支持的非对称加密算法列表、加密算法列表、消息验证码算法列表、压缩算法列表等。服务器端和客户端根据双方支持的算法得出最终使用的算法(如非对称加密算法是采用RSA,还是DSA)。协商完成后羡链,服务器端将自己的公钥发送给客户端,客户端根据公钥指纹决定是否信任此主机。选择信任此主机后,客户端使用服务器端的公钥将自己生成的会话密钥加密,发送给服务器端。以后的会话内容和口令都通过此会话密钥加密发送。通常,每过一个小时,服务器端和客户端会重新商定会话密钥,以防止会话密钥被暴力破解。
c、认证阶段
基于口令的认证:
客户端采用在算法协商阶段产生的会话密钥加密帐号、认证方法、口令,并将其传送给服务器端。服务器端收到后将其解密后,基于本地账户密码对其判断是否正首脊确。如果正确,成功建立登录连接,否则,向客户端返回认证失败报文,其中包含了可再次认证的方法列表。当登录请求次数达到可允许的尝试上限次数后,服务器端断开本次TCP连接,并限制此帐号连接请求。
基于密钥的认证:
客户端使用ssh-keygen工具在本地家目录的.ssh/目录下生成一对密钥(如:公钥id_rsa.pub、私钥id_rsa)。并将公钥追加保存到将要登录的服务器上的那个帐号家目录的.ssh/authorized_keys文件中。客户端使用算法协商阶段生成的会话密钥加密帐号、认证方法、公钥,并将其传送给服务器端。服务器端收到后将解密后的公钥与本地该帐号家目录下的authorized_keys中的公钥进兄芹孙行对比。如果内容不相同,认证失败,否则服务器端生成一段随机字符串,并先后用客户端公钥和会话密钥对其加密,发送给客户端。客户端收到后将解密后的随记字符串用会话密钥加密发送给服务器端。如果发回的字符串与服务器端起先生成的一样,则认证通过,否则,认证失败。
openssh便是SSH的一个开源实现。本文后续部分将简要介绍如何用openssh基于口令和密钥的远程登录。
示例:
# ssh [email protected]
如果是第一次登录远端主机,系统会出现以下提示:
因为协议本身无法确认远端服务器的真实性,用户自行根据提供的经SHA256算法提取的公钥指纹判断其真实性。如果确认为真,则输入帐号密码以登录服务器端。
a、首先在客户端生成一对密钥
示例:
b、将客户端公钥保存到服务器端
示例:
另外,可以不使用ssh--id命令,改用以下命令,可以更好的理解公钥的保存过程:
c、登录验证
如果仍然无法无口令登录,请检查sshd配置文件/etc/ssh/sshd_config,并将以下几行前面的注释符号取消。
❷ SSH登陆方式,基本配置
SSH只是一种协议,存在多种实现,既有商业实现,也有开源实现。本文主要介绍OpenSSH免费开源实现在Ubuntu中的应用,如果要在Windows中使用SSH,需要使用另一个软件PuTTY。
SSH之所以能够保证安全,原因在于它采用了非对称加密技术(RSA)加密了所有传输的数据。
传统的网络服务程序,如FTP、Pop和Telnet其本质上都是不安全的;因为它们在网络上用明文传送数据、用户帐号和用户口令,很容易受到中间人(man-in-the-middle)攻击方式的攻击。就是存在另一个人或者一台机器冒充真正的服务器接收用户传给服务器的数据,然后再冒充用户把数据传给真正的服务器。
但并不是说SSH就是绝对安全的,因为它本身提供两种级别的验证方法:
口令登录非常简单,只需要一条命令
还要说明的是,SSH服务的默认端口是22,也就是说,如果你不设置端口的话登录请求会自动送到远程主机的22端口。我们可以使用 -p 选项来修改端口号,比如:
首先使用ssh-keygen命令生成密钥对
然后根据提示一步步的按enter键即可,执行结束以后会在 /home/当前用户 目录下生成一个 .ssh 文件夹,其中包含私钥文件 id_rsa 和公钥文件 id_rsa.pub 。
(其中有一个提示是要求设置私钥口令passphrase,不设置则为空,如果为了免密登陆可以不设置。)
使用 ssh--id 命令将公钥复制到远程主机
ssh--id会将公钥写到远程主机的 /root/ .ssh/authorized_key 文件中
使用ssh--id命令登陆哪个用户就会存放在哪个用户的home目录下。
也可以手动复制到authorized_key文件当中。
第一次登录时,会提示用户
意思是无法验证用户的公钥,是否正确,询问用户是否要继续。
ECDSA key给出了远程主机公钥的SHA256编码过的值,一般在远程主机的网站会告示公钥的值,
用户可以将这个公钥和网站上的公钥进行比对,正确则表明是远程主机。
输入yes之后,系统会将公钥加入到已知的主机列表,如下所示,已知列表中的主机,下次不会再询问。
SSH的配置文件通常在 /etc/ssh/sshd_config
配置文件中有非常详尽的注释,一般在工作中主要用到的几个配置
❸ 思科路由器SSH配置案例
思科路由器SSH配置案例
SSH为建立在应用层基础上的安全协议。SSH是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用SSH 协议可以有效防止远程管理过程中的信息泄露问题。下面是思科路由器SSH配置案例,希望对你有帮助!
1. 配置hostname和ipdomain-name
Router#configure terminal
Router(config)#hostname R2 //配置ssh的时候路由器的名字不能为router
R2(config)#ip domain-name cisco.com //配置SSH必需
R2(config)#username best password best1
或 username best privilege 15 password 7 best1
注:添加一个用户:best,口令:best1
R2(config)#line vty 0 4
R2(config-line)#transport input ssh //只允许用SSH登录(注意:禁止telnet和从
交换引擎session!)
2. 配置SSH服务:
R2(config)#crypto key generate rsa
The name for the keys will be: R2.cisco.com
注:SSH的关键字名就是hostname + . +ipdomain-name
Choose the size of the key molus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key molus greater than 512 may take
a few minuts
How many bits in the molus [512]: 注:选择加密位数,cisco推荐使用1024
Generating RSA keys ...
[OK]
用命令show ip ssh也能看到:
SSH Enabled - version 1.5
Authentication timeout: 120 secs; Authentication retries:
现在SSH服务已经启动,如果需要停止SSH服务,用以下命令:
R2(config)#crypto key zeroize rsa
3.设置SSH参数
配置好了SSH之后,通过show run命令我们看到SSH默认的参数:超时限定为120秒,认证重试次数为3次,可以通过下面命令进行修改:
R2(config)#ip ssh {[time-out seconds]} │ [authentication-retries interger]}
如果要把超时限定改为180秒,则应该用:
R2(config)# ip ssh time-out 180
如果要把重试次数改成5次,则应该用:
R2(config)# ip ssh authentication-retries
这样,SSH已经在路由器上配置成功了,就能够通过SSH进行安全登录了。
注意:最后如果从别的设备用ssh登录这台路由器会出现以下内容:
R1#ssh -l best 192.168.0.2
Password:
R2>en
% Error in authentication.
为什会出现以上内容?
因为在R2上没有配置enablepassword/secret xxxx
R2配置上enable secret 5 $1$fJxo$suWiTzmfdj/vkvXfRHBcw/
那么在R1上:
R1#ssh -l best 192.168.0.2
Password:
R2>en
Password:
R2#confi g
拓展:
思科路由器如何设置
首先将路由器进行初始化复位,恢复出厂设置(非常重要),然后将电脑网卡与路由器LAN口用网线连接,打开路由器电源;电脑网卡设置192.168.1.2;
在电脑上双击IE浏览器,在地址栏中输入路由器默认设置页面IP地址:192.168.1.1回车;
输入默认用户名:admin,默认密码:admin;点击确定。
1、设置拨号账号:
点击左边栏设置向导,点击下一步;
点选ADSL虚拟拨号(PPPOE)点击下一步;
输入宽带账号、密码,点击下一步;
2、设置无线wifi密码:
左边还有个选项无线设置里面,有个ssid,这是WiFi的无线账号,设置好后有密码设置,密码尽量复杂些,最好字母数字符号组合;
3、设置登录密码
将默认的admin、admin登录密码改掉,防止有人破解蹭网后修改路由器。
点击保存后重启,完成。
思科路由器优势
一个系统方法的价值。
系统方法开始于单一永续平台,如思科(Cisco)集成多业务路由器。系统方法相结合的内部及其相互之间的智能服务,包装,编织语音,安全,路由和应用服务结合起来,使程序更加自动化和智能化。
结果普遍安全的网络和应用,对数据,语音更高的服务质量和视频流量,提高时间效率,更好地利用网络资源。
随着集成多业务路由器,思科(Cisco)提供了一个全面的`,未来需求的解决方案,最大限度地减少网络中断,并确保进入最关键业务应用。思科(Cisco)对性能结合新的基础设施服务的重点是使公司创造网络更聪明,更有弹性,可靠。
对于各种规模的需要快速,安全访问,今天的任务是,作为今后发展的基础和关键应用,思科(Cisco)路由器组织:
提供业界第一个投资组合提供安全,线速提供并发数据,语音传送设计和视频服务
嵌入安全和语音服务到一个单一的路由系统;
采用集成的系统方法的嵌入式服务,应用部署速度,降低运营成本和复杂性;
提供无与伦比的服务性能和投资保护;
不同专业的小产品,思科(Cisco)集成多业务路由器中嵌入作为一个单一的弹性系统,便于部署简化的管理,安全和语音服务,并降低运营成本。思科(Cisco)路由器提供安全的通信解决方案,你今天需要,同时为明天的智能信息网络的基础。
此外,思科(Cisco)集成多业务路由器:
提供快捷,安全地访问关键任务业务应用和未来发展无可比拟的投资保护,使企业能够轻松部署和管理的融合,通讯解决方案得到最终用户的生产力端对端的安全;
特征业界领先的服务密度,带宽,可用性和最高配置的灵活性和最苛刻的网络环境中的可扩展性性能选项;
提供的语音容量和广泛的服务,使客户可以轻松地实现终端到终端的,最佳的IP通信解决方案,同时提供一个未来的增长和投资保护的基础;
是唯一的路由器,允许企业构建一个智能的,自防御网络的基础,具有最佳的服务,一流的安全和路由最低的总拥有成本的技术和最高的投资回报。
;