Anterior, am scris despre modul în care puteți activa accesul SSH la comutatorul Cisco, permițând setarea în interfața GUI. Acest lucru este minunat dacă doriți să accesați comutatorul CLI printr-o conexiune criptată, dar se bazează totuși doar pe un nume de utilizator și o parolă.
Dacă utilizați acest switch într-o rețea extrem de sensibilă, care trebuie să fie foarte sigură, atunci vă recomandăm să luați în considerare activarea autentificării cheii publice pentru conexiunea SSH. De fapt, pentru o securitate maximă, puteți să activați un nume de utilizator / parolă și autentificare cu chei publice pentru a vă accesa comutatorul.
În acest articol, vă vom arăta cum să activați autentificarea cheilor publice pe un switch Cisco SG300 și cum să generați perechile de chei publice și private folosind puTTYGen. Apoi vă voi arăta cum să vă conectați utilizând tastele noi. În plus, vă vom arăta cum să o configurați, astfel încât să puteți folosi doar cheia pentru a vă conecta sau pentru a forța utilizatorul să introducă un nume de utilizator / o parolă împreună cu cheia privată.
Notă : Înainte de a începe acest tutorial, asigurați-vă că ați activat deja serviciul SSH pe comutator, pe care l-am menționat în articolul meu anterior legat mai sus.
Activați autentificarea utilizatorului SSH prin cheia publică
În ansamblu, procesul de autentificare a cheilor publice pentru a lucra pentru SSH este simplu. În exemplul meu, vă voi arăta cum să activați funcțiile folosind interfața grafică bazată pe web. Am încercat să folosesc interfața CLI pentru a activa autentificarea cheilor publice, dar nu ar accepta formatul pentru cheia mea privată RSA.
Odată ce am lucrat, voi actualiza această postare cu comenzile CLI care vor realiza ceea ce vom face prin GUI pentru moment. Mai întâi, faceți clic pe Securitate, apoi pe SSH Server și, în final, pe SSH Autentificare utilizator .
În panoul din partea dreaptă, mergeți mai departe și bifați caseta Activare lângă autentificarea utilizatorului SSH prin cheia publică . Faceți clic pe butonul Aplicați pentru a salva modificările. Nu verificați butonul Activare de lângă butonul de autentificare automată tocmai așa cum voi explica mai departe.
Acum trebuie să adăugăm un nume de utilizator SSH. Înainte de a intra în adăugarea utilizatorului, mai întâi trebuie să generăm o cheie publică și privată. În acest exemplu, vom folosi puTTYGen, care este un program care vine cu puTTY.
Generați chei private și publice
Pentru a genera cheile, mergeți mai întâi și deschideți mai întâi puTTYGen. Veți vedea un ecran gol și nu ar trebui să modificați nicio setare din valorile implicite afișate mai jos.
Faceți clic pe butonul Generați și apoi deplasați mouse-ul în jurul zonei goale, până când bara de progres merge tot peste.
Odată ce cheile au fost generate, trebuie să tastați o expresie de acces, care este în esență ca o parolă pentru a debloca cheia.
Este o idee bună să folosiți o expresie de acces lungă pentru a proteja cheia de atacurile de forță brute. Odată ce ați introdus de două ori fraza de acces, trebuie să faceți clic pe butoanele Salvează cheia publică și Salvează cheile private . Asigurați-vă că aceste fișiere sunt salvate într-o locație sigură, de preferință într-un container criptat de un fel care necesită deschiderea unei parole. Verificați postarea mea folosind VeraCrypt pentru a crea un volum criptat.
Adăugați o cheie & utilizator
Acum, înapoi la ecranul SSH de autentificare a utilizatorilor am fost pe mai devreme. Aici puteți alege între două opțiuni diferite. În primul rând, accesați Administrare - Conturi de utilizator pentru a vedea ce conturi aveți în prezent pentru autentificare.
După cum puteți vedea, am un cont numit akishore pentru a-mi accesa comutatorul. În prezent, pot utiliza acest cont pentru a accesa GUI și CLI bazate pe web. Înapoi pe pagina de autentificare a utilizatorilor SSH, utilizatorul pe care trebuie să-l adăugați în tabelul de autentificare a utilizatorilor SSH (cu cheie publică) poate fi același cu cel pe care îl aveți în Conturi de administrare - conturi de utilizator sau diferit.
Dacă alegeți același nume de utilizator, puteți verifica butonul Activare în cadrul Conectării automate și atunci când accesați comutatorul, va trebui să introduceți numele de utilizator și parola pentru cheia privată și veți fi conectat (ă) .
Dacă decideți să alegeți un alt nume de utilizator aici, veți primi un mesaj în care trebuie să introduceți numele de utilizator și parola pentru cheia privată SSH și apoi va trebui să introduceți numele de utilizator și parola dvs. obișnuite (enumerate sub Admin - Conturi de utilizator) . Dacă doriți securitate suplimentară, utilizați un nume de utilizator diferit, în caz contrar numiți-l la fel ca cel curent.
Faceți clic pe butonul Adăugați și veți primi fereastra Add SSH User .
Asigurați-vă că tipul de cheie este setat la RSA și apoi mergeți mai departe și deschideți fișierul cheie public SSH pe care l-ați salvat mai devreme folosind un program ca Notepad. Copiați întregul conținut și inserați-l în fereastra Cheie publică . Faceți clic pe Aplicați și apoi pe Închideți dacă primiți un mesaj de succes în partea de sus.
Conectarea utilizând cheia privată
Acum, tot ce trebuie să faceți este să vă conectați utilizând cheia privată și parola. În acest moment, când încercați să vă conectați, va trebui să introduceți de două ori acreditările de conectare: o dată pentru cheia privată și o dată pentru contul de utilizator obișnuit. Odată ce permitem autentificarea automată, va trebui doar să introduceți numele de utilizator și parola pentru cheia privată și veți fi în.
Deschideți puTTY și introduceți adresa IP a comutatorului în caseta Nume gazdă, ca de obicei. Cu toate acestea, de data aceasta, va trebui să încărăm și cheia privată în puTTY. Pentru a face acest lucru, extindeți conexiunea, apoi extindeți SSH, apoi faceți clic pe Auth .
Faceți clic pe butonul Răsfoiți în fișierul Cheie privată pentru autentificare și selectați fișierul cheie privat salvat din puTTY mai devreme. Acum faceți clic pe butonul Deschidere pentru a vă conecta.
Prima solicitare va fi autentificată ca și care ar trebui să fie numele de utilizator pe care l-ați adăugat sub utilizatorii SSH. Dacă ați folosit același nume de utilizator ca și contul de utilizator principal, atunci nu va contează.
În cazul meu, am folosit acishore pentru ambele conturi de utilizator, dar am folosit parole diferite pentru cheia privată și pentru contul meu principal de utilizator. Dacă doriți, puteți face parolele la fel, dar nu are rost să faceți acest lucru, mai ales dacă activați autentificarea automată.
Acum, dacă nu doriți să vă dublați datele de conectare pentru a intra în comutator, bifați caseta Activare de lângă autentificarea automată pe pagina Authentication User SSH .
Când acest lucru este activat, acum trebuie doar să tastați datele de acreditare pentru utilizatorul SSH și veți fi conectat (ă).
Este un pic cam complicat, dar are sens când o să jucați cu el. După cum am menționat mai devreme, voi scrie, de asemenea, comenzile CLI odată ce voi obține cheia privată în formatul corect. Urmând instrucțiunile de aici, accesarea comutatorului prin SSH ar trebui să fie mult mai sigură acum. Dacă întâmpinați probleme sau aveți întrebări, postați în comentarii. Bucurați-vă!