Wcześniej pisałem o tym, jak można włączyć dostęp SSH do przełącznika Cisco, włączając ustawienie w interfejsie GUI. Jest to świetne rozwiązanie, jeśli chcesz uzyskać dostęp do przełącznika CLI za pośrednictwem szyfrowanego połączenia, ale wciąż polega tylko na nazwie użytkownika i haśle.
Jeśli używasz tego przełącznika w bardzo wrażliwej sieci, która musi być bardzo bezpieczna, możesz rozważyć włączenie uwierzytelniania klucza publicznego dla połączenia SSH. W rzeczywistości, dla maksymalnego bezpieczeństwa, możesz włączyć nazwę użytkownika / hasło i uwierzytelnienie klucza publicznego w celu uzyskania dostępu do przełącznika.
W tym artykule pokażę, jak włączyć uwierzytelnianie klucza publicznego na przełączniku SG300 Cisco i jak generować pary kluczy publicznych i prywatnych przy użyciu puTTYGen. Pokażę ci, jak zalogować się przy użyciu nowych kluczy. Ponadto pokażę Ci, jak to skonfigurować, aby użyć tylko klawisza do zalogowania się lub zmusić użytkownika do wpisania nazwy użytkownika / hasła wraz z użyciem klucza prywatnego.
Uwaga : zanim zaczniesz korzystać z tego samouczka, upewnij się, że masz już włączoną usługę SSH na przełączniku, o której wspomniałem w poprzednim artykule.
Włącz uwierzytelnianie użytkownika SSH za pomocą klucza publicznego
Ogólnie rzecz biorąc, proces uzyskiwania uwierzytelniania klucza publicznego do pracy z SSH jest prosty. W moim przykładzie pokażę, jak włączyć funkcje za pomocą internetowego interfejsu GUI. Próbowałem użyć interfejsu CLI, aby włączyć uwierzytelnianie klucza publicznego, ale nie zaakceptowałbym formatu dla mojego prywatnego klucza RSA.
Kiedy już to zrobię, zaktualizuję ten post za pomocą poleceń CLI, które wykonają teraz to, co zrobimy przez GUI. Najpierw kliknij Zabezpieczenia, następnie Serwer SSH, a na końcu Uwierzytelnienie użytkownika SSH .
W prawym okienku przejdź do pola Włącz obok opcji Uwierzytelnianie użytkownika SSH według klucza publicznego . Kliknij przycisk Zastosuj, aby zapisać zmiany. Nie zaznaczaj przycisku Włącz obok opcji Automatyczne logowanie, ale wyjaśnię to dokładniej.
Teraz musimy dodać nazwę użytkownika SSH. Zanim zaczniemy dodawać użytkownika, najpierw musimy wygenerować klucz publiczny i prywatny. W tym przykładzie użyjemy programu puTTYGen, który jest programem dołączonym do programu puTTY.
Generuj klucze prywatne i publiczne
Aby wygenerować klucze, najpierw otwórz i puTTYGen. Zobaczysz pusty ekran i naprawdę nie powinieneś zmieniać żadnego z ustawień domyślnych pokazanych poniżej.
Kliknij przycisk Wygeneruj, a następnie przesuwaj myszką po pustym obszarze, aż pasek postępu przejdzie do końca.
Po wygenerowaniu kluczy musisz wpisać hasło, które w zasadzie przypomina hasło do odblokowania klucza.
Dobrym pomysłem jest użycie długiego hasła, aby chronić klucz przed brutalnymi atakami. Po dwukrotnym wpisaniu hasła należy kliknąć przycisk Zapisz klucz publiczny i Zapisz klucz prywatny . Upewnij się, że te pliki są zapisane w bezpiecznej lokalizacji, najlepiej w zaszyfrowanym pojemniku, który wymaga hasła do otwarcia. Sprawdź mój post na temat używania VeraCrypt do utworzenia zaszyfrowanego woluminu.
Dodaj użytkownika i klucz
Teraz wracamy do ekranu uwierzytelniania użytkownika SSH, w którym byliśmy wcześniej. Tutaj możesz wybrać jedną z dwóch różnych opcji. Najpierw przejdź do Administracja - Konta użytkowników, aby zobaczyć, jakie konta obecnie masz do logowania.
Jak widzisz, mam jedno konto o nazwie akishore do uzyskiwania dostępu do mojego przełącznika. Obecnie mogę używać tego konta, aby uzyskać dostęp do internetowego interfejsu GUI i interfejsu CLI. Po powrocie na stronę uwierzytelniania użytkownika SSH użytkownik, który należy dodać do tabeli uwierzytelniania użytkowników SSH (według klucza publicznego), może być taki sam, jak użytkownik w sekcji Administracja - konta użytkowników lub inne.
Jeśli wybierzesz tę samą nazwę użytkownika, możesz zaznaczyć przycisk Włącz pod Automatycznym logowaniem, a po zalogowaniu się do przełącznika wystarczy wpisać nazwę użytkownika i hasło do klucza prywatnego, a będziesz zalogowany .
Jeśli zdecydujesz się wybrać inną nazwę użytkownika tutaj, pojawi się monit, w którym musisz wprowadzić nazwę użytkownika i hasło prywatnego klucza SSH, a następnie będziesz musiał podać swoją normalną nazwę użytkownika i hasło (wymienione w sekcji Admin - Konta użytkowników) . Jeśli chcesz uzyskać dodatkowe zabezpieczenia, użyj innej nazwy użytkownika, w przeciwnym razie po prostu nadaj nazwę takiemu jak obecny.
Kliknij przycisk Dodaj, a pojawi się okno Dodaj użytkownika SSH .
Upewnij się, że Typ klucza jest ustawiony na RSA, a następnie otwórz i otwórz swój publiczny plik kluczy SSH, który wcześniej zapisałeś przy użyciu programu takiego jak Notatnik. Skopiuj całą zawartość i wklej ją w oknie klucza publicznego . Kliknij Zastosuj, a następnie kliknij Zamknij, jeśli pojawi się komunikat Sukces na górze.
Zaloguj się przy użyciu klucza prywatnego
Teraz wszystko, co musimy zrobić, to zalogować się przy użyciu naszego klucza prywatnego i hasła. W tym momencie, przy próbie logowania, musisz dwukrotnie wprowadzić dane logowania: raz dla klucza prywatnego i raz dla zwykłego konta użytkownika. Po włączeniu automatycznego logowania musisz wprowadzić nazwę użytkownika i hasło do klucza prywatnego, a będziesz w tym momencie.
Otwórz puTTY i wprowadź adres IP swojego przełącznika w polu Host Name, jak zwykle. Jednak tym razem będziemy musieli załadować klucz prywatny również do puTTY. Aby to zrobić, rozwiń połączenie, a następnie rozwiń SSH, a następnie kliknij Auth .
Kliknij przycisk Przeglądaj w polu Plik kluczy prywatnych w celu uwierzytelnienia i wybierz plik klucza prywatnego, który został wcześniej zapisany z pliku puTTY. Teraz kliknij przycisk Otwórz, aby się połączyć.
Pierwszy monit będzie loginem, który powinien być nazwą użytkownika dodaną przez użytkowników SSH. Jeśli użyłeś tej samej nazwy użytkownika co główne konto użytkownika, nie będzie to miało znaczenia.
W moim przypadku użyłem akishore dla obu kont użytkowników, ale użyłem różnych haseł dla klucza prywatnego i mojego głównego konta użytkownika. Jeśli chcesz, możesz ustawić hasła tak samo, ale nie ma sensu tak naprawdę robić tego, zwłaszcza jeśli włączysz automatyczne logowanie.
Jeśli nie chcesz już mieć podwójnego logowania, aby wejść do przełącznika, zaznacz pole Włącz obok opcji Automatyczne logowanie na stronie Uwierzytelnianie użytkownika SSH .
Gdy ta opcja jest włączona, będziesz musiał po prostu wpisać dane uwierzytelniające dla użytkownika SSH i będziesz zalogowany.
To trochę skomplikowane, ale ma sens gdy się z tym pogodzi. Tak jak wspomniałem wcześniej, wypiszę również komendy CLI, gdy tylko uda mi się uzyskać klucz prywatny w odpowiednim formacie. Postępując zgodnie z instrukcjami, dostęp do przełącznika przez SSH powinien być teraz dużo bezpieczniejszy. Jeśli napotkasz problemy lub masz pytania, opublikuj w komentarzach. Cieszyć się!
