j'ai compris

Comment activer SSH pour connecter l'appareil

publié il y a  2021-5-28 14:20:41 235 0 0 0 0

Bonjour à tous,

Aujourd'hui, je vais partager avec vous comment activer SSH pour connecter l'appareil.

Par défaut, la fonction STelnet n'est pas configurée sur un switch. Pour utiliser cette fonction, vous devez effectuer les étapes suivantes pour configurer le service STelnet et les informations utilisateur:

l Définissez un type de protocole, un mode d'authentification et un niveau de privilège utilisateur pour l'interface utilisateur VTY.

l Activez la fonction de serveur STelnet et créez un utilisateur SSH.

l Définissez un mode d'authentification pour l'utilisateur SSH.

l Générez une paire de clés locale sur le serveur SSH pour mettre en œuvre un échange de données sécurisé entre le serveur et le client.

1. Définissez un type de protocole, un mode d'authentification et un niveau de privilège utilisateur pour l'interface utilisateur VTY.

[HUAWEI] user-interface vty 0 4

[HUAWEI-ui-vty0-4] authentication-mode aaa //Set the authentication mode for the VTY user interface to AAA.

[HUAWEI-ui-vty0-4] protocol inbound ssh //Configure the VTY user interface to support SSH. By default, VTY user interfaces support SSH.

[HUAWEI-ui-vty0-4] user privilege level 15 //Set the level of the VTY user interface to 15.

[HUAWEI-ui-vty0-4] quit

2. Activez la fonction de serveur STelnet et créez un utilisateur SSH.

[HUAWEI] stelnet server enable //Enable the STelnet server function.

[HUAWEI] ssh user admin123 //Create an SSH user named admin123.

[HUAWEI] ssh user admin123 service-type stelnet //Set the service type of the SSH user to STelnet.

3. Définissez un mode d'authentification pour l'utilisateur SSH.

Définissez le mode d'authentification de l'utilisateur SSH sur mot de passe.

Pour utiliser l'authentification par mot de passe, vous devez créer un utilisateur local avec le même nom que l'utilisateur SSH dans la vue AAA.


[HUAWEI] ssh user admin123 authentication-type password //Set the authentication mode for the SSH user to password authentication.

[HUAWEI] aaa

[HUAWEI-aaa] local-user admin123 password irreversible-cipher abcd@123 //Create a local user with the same name as the SSH user and set the login password of the user.

[HUAWEI-aaa] local-user admin123 privilege level 15 //Set the level of the local user to 15.

Warning: This operation may affect online users, are you sure to change the user privilege level ?[Y/N]y

[HUAWEI-aaa] local-user admin123 service-type ssh //Set the service type of the local user to SSH.

[HUAWEI-aaa] quit


Définissez le mode d'authentification de l'utilisateur SSH sur RSA, DSA ou ECC. (Ce qui suit utilise l'authentification ECC comme exemple. Les étapes de configuration de l'authentification RSA et DSA sont similaires à celles de la configuration de l'authentification ECC.)

Pour utiliser l'authentification RSA, DSA ou ECC, vous devez copier la clé publique de la paire de clés RSA générée sur le client SSH sur le serveur SSH. Lorsque le client SSH se connecte au serveur SSH, le client SSH transmet l'authentification si la clé privée du client correspond à la clé publique copiée.

[HUAWEI] ssh user admin123 authentication-type ecc //Set the authentication mode for the SSH user to ECC.

[HUAWEI] ecc peer-public-key key01 encoding-type pem //Configure the encoding type of an ECC public key and enter the ECC public key view. key01 is the public key name.

Enter "ECC public key" view, return system view with "peer-public-key end".

[HUAWEI-ecc-public-key] public-key-code begin //Enter the public key editing view.

Enter "ECC key code" view, return last view with "public-key-code end".

[HUAWEI-dsa-key-code] 308188 //Copy the public key generated on the client. The public key is a hexadecimal character string.

[HUAWEI-dsa-key-code] 028180

[HUAWEI-dsa-key-code] B21315DD 859AD7E4 A6D0D9B8 121F23F0 006BB1BB

[HUAWEI-dsa-key-code] A443130F 7CDB95D8 4A4AE2F3 D94A73D7 36FDFD5F

[HUAWEI-dsa-key-code] 411B8B73 3CDD494A 236F35AB 9BBFE19A 7336150B

[HUAWEI-dsa-key-code] 40A35DE6 2C6A82D7 5C5F2C36 67FBC275 2DF7E4C5

[HUAWEI-dsa-key-code] 1987178B 8C364D57 DD0AA24A A0C2F87F 474C7931

[HUAWEI-ecc-key-code] A9F7E8FE E0D5A1B5 092F7112 660BD153 7FB7D5B2

[HUAWEI-ecc-key-code] 171896FB 1FFC38CD

[HUAWEI-ecc-key-code] 0203

[HUAWEI-ecc-key-code] 010001

[HUAWEI-ecc-key-code] public-key-code end //Return to the public key view.

[HUAWEI-ecc-public-key] peer-public-key end //Return to the system view.

[HUAWEI] ssh user admin123 assign ecc-key key01 //Assign the public key key01 to the admin123 user.



4. Générez une paire de clés locale sur le serveur.

[HUAWEI] ecc local-key-pair create

Info: The key name will be: HUAWEI_Host_ECC.

Info: The key modulus can be any one of the following: 256, 384, 521.

Info: If the key modulus is greater than 512, it may take a few minutes.

Please input the modulus [default=521]:521

Info: Generating keys..........

Info: Succeeded in creating the ECC host keys.


De plus, les connexions SSH sont également vulnérables aux attaques suivantes:

Cracker le mot de passe

Un attaquant tente d'accéder à un commutateur après avoir obtenu le numéro de port Secure Shell (SSH) et le commutateur demande à l'attaquant de s'authentifier. Ensuite, l'attaquant cracke le mot de passe pour passer l'authentification et obtenir le droit d'accès.

Déni de service (DoS)

Le serveur SSH prend en charge un nombre limité d'utilisateurs. Lorsque le nombre d'utilisateurs de connexion atteint la limite supérieure, plus aucun utilisateur ne peut se connecter au serveur SSH. Cette situation peut apparaître lorsque les utilisateurs utilisent correctement le serveur SSH ou lorsque le serveur SSH est attaqué.

Pour vous défendre contre les attaques précédentes, configurez les politiques de sécurité suivantes sur un commutateur:

1. Configurer le mot de passe ou l'authentification Rivest-Shamir-Adelman (RSA)

Authentification par mot de passe : définissez le mode d'authentification de l'utilisateur testuser sur l'authentification par mot de passe.

<HUAWEI> system-view

[HUAWEI] ssh user testuser

[HUAWEI] ssh user testuser authentication-type password

Authentification RSA: définissez le mode d'authentification de l'utilisateur testuser sur l'authentification RSA (à l'aide d'une clé de 2048 bits ou plus).

<HUAWEI> system-view

[HUAWEI] ssh user testuser

[HUAWEI] ssh user testuser authentication-type rsa


2. Désactivez le serveur SSH.

<HUAWEI> system-view

[HUAWEI] undo stelnet server enable


3. Remplacez le numéro de port du serveur SSH par 55535.

<HUAWEI> system-view

[HUAWEI] ssh server port 55535


4. Configurez ACL 2000 pour permettre aux utilisateurs dont l'adresse IP source est 10.1.1.1 de se connecter au commutateur.

<HUAWEI> system-view

[HUAWEI] acl 2000

[HUAWEI-acl-basic-2000] rule permit source 10.1.1.1 0

[HUAWEI-acl-basic-2000] quit

[HUAWEI] user-interface vty 14

[HUAWEI-ui-vty14] acl 2000 inbound //To prevent users using an IP address or address segment from accessing a switch, use inbound. To prevent users who have successfully accessed a switch from accessing other switches, use outbound.

[HUAWEI-ui-vty14] quit


5. Définissez le port source du serveur SSH sur Loopback0.

<HUAWEI> system-view

[HUAWEI] ssh server-source -i loopback 0 //Une interface de bouclage doit avoir été créée et configurée avec une adresse IP avant que cette commande ne soit exécutée.

C'est tout ce que je veux partager avec vous ! Merci!


  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Accord utilisateur ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.