Последние сообщения

[Язык - русский!!!]

#41

Настройки *nix (почта, web, система etc) / 1c сервер ubuntu

Последний ответ от George - Окт. 26, 2023, 12:43

Добрый день! Вообще, я хотел сделать его на CentOS 8\9, но на нее не встал usb redirector, для проброса железных usb ключей. Потому и ubuntu)

Как и с многими другими статьями, это появилась потому, что в интернете статьи не полные, или с ошибками. Так что информацию собирать приходится частями.

Установку ubuntu расписывать не буду, ничего необычного нет. ip естественно статический сразу при установке. Язык - русский!!!

Обновление системы и установка ПО

Для начала повышаем права пользователя:

Код: bash

sudo -s

Обновление зависимостей пакетной базы и репозитория:

Код: bash

apt update

Обновление системы:

Код: bash

apt upgrade -y

Для работы нам потребуется, net-tools, mc, wget:

Код: bash

apt install -y net-tools mc wget

Я последнее время не использую mc, а там как хотите

Установка USB Redirect

Код: bash

sudo apt-get install make gcc linux-headers-`uname -r`

Код: bash

wget https://www.incentivespro.com/usb-redirector-linux-x86_64.tar.gz
tar -zxf ./usb-redirector-linux-x86_64.tar.gz
cd ./usb-redirector-linux-x86_64

Дальше можно установить сервер командой

Код: bash

sudo ./installer.sh install-server

но сервер на мне нужен, нам нужен клиент

Код: bash

sudo ./installer.sh install-client

Еще есть команда

Код: bash

sudo ./installer.sh install

которая установт и сервер и клиент, но это для общей информации, нам нужен только клиент.

Настройка клиента

Код: bash

usbclnt -addserver **.**.**.**:32032

Где вместо **.**.**.** нужно указать ip–адрес сервера.

Теперь можно посмотреть список доступных устройств:

Код: bash

usbclnt -list

видим список с номерами портов, и подключаем устройства

Код: bash

usbclnt -connect 1-1

Включаем автоматическое соединение с устройством:

Код: bash

usbclnt -autoconnecton 1-1

Проверяем:

Код: bash

usbclnt -list

Установка 1С

Подготовительные мероприятия по установке дополнительных компонентов.

Установим libenchant1c2a, без этого компонента 1с не установится.

добавим репозиторий universe:

Код: bash

vi /etc/apt/sources.list

[insert]

Код: bash

deb http://cz.archive.ubuntu.com/ubuntu focal main universe

:wq [enter]

Обновление зависимостей пакетной базы и репозитория:

Код: bash

apt update

Установка libenchant1c2a:

Код: bash

apt install libenchant1c2a

Установка набора программ для чтение и редактирования

Код: bash

apt install imagemagick

Установим диспетчер драйверов для ODBC

Код: bash

apt install unixodbc

Установим libgsf-1-114

Код: bash

apt install libgsf-1-114

Установим шрифты mscorefonts:

Код: bash

apt install ttf-mscorefonts-installer fontconfig

Проверим удачно ли прошла установка шрифтов:

Код: bash

fc-cache -f -v

Для корректной работы сервера 1С на Ubuntu необходимо настроить кодировку локали на ru_RU.UTF-8 UTF-8:

Код: bash

dpkg-reconfigure locales

Выбираем в списке нашу кодировку.

Создаем временную папку под скачиваемые архивы ПО:

Код: bash

mkdir /soft

Переходим в эту папку:

Код: bash

cd /soft

Права на папку:

Код: bash

chmod 777 /soft

Скачиваем дистрибутив с сайта https://releases.1c.ru/ и с помощью winscp копируем на Сервер в папочку soft.

Распаковываем наш архив:

Код: bash

tar -xzvf server64_8_3_23_1912.tar.gz

Устанавливаем необходимые нам пакеты 1С сервера:

Код: bash

./setup-full-8.3.23.1912-x86_64.run --mode unattended --enable-components server,ws,server_admin

Мы устанавливаем кластер серверов 1С, сервер администрирования кластера и модули расширения веб-сервера в пакетном режиме.

    mode unattended - включает пакетный режим
    enable-components - служит для указания компонентов
    additional_admin_functions - установка утилиты административной консоли.
    client_full - установить толстый клиент.
    client_thin - установить тонкий клиент (без возможности работы с файловым вариантом информационной базы).
    client_thin_fib - установить тонкий клиент, который позволяет работать с любым вариантом информационной базы.
    config_storage_server - установить сервер хранилища конфигураций.
    integrity_monitoring - установить утилиту контроля целостности
    liberica_jre - установить Java Runtime Environment (JRE).
    server - установить кластер серверов
    server_admin - установить консоль администрирования кластера серверов.
    ws - требуется установить модули расширения веб-сервера

1C c версии 8.3.21 стала использовать systemd-сценарий запуска кластера серверов и сервера администрирования и находится в папке с платформой:

/opt/1cv8/x86_64/8.3.23.1912/srv1cv8-8.3.23.1912@.service

Установить его можно командой:

Код: bash

systemctl link /opt/1cv8/x86_64/8.3.23.1912/srv1cv8-8.3.23.1912@.service

Запускаем сервер 1С

Код: bash

systemctl start srv1cv8-8.3.23.1912@default.service

Добавляем в автозапуск

Код: bash

systemctl enable srv1cv8-8.3.23.1912@default.service

Проверяем работу сервера 1С:

Код: bash

systemctl status srv1cv8-8.3.23.1912@default.service

Проверяем, слушают ли системные процессы tcp порты:

netstat -tulnp

Сервер 1С успешно установлен и запущен.

Установка HASP

Пробрасываем usb ключ. Любым способом, я через USB Redirect, у меня сервер и клиент в разных местах. И посмотрим определился ли он в системе:

Код: bash

sudo lsusb | grep -i hasp

У вас будет устройство, где в имени присутствует Alladin или HASP dongle.

Загрузите пакеты вот из этого репозитория:

https://download.etersoft.ru/pub/Etersoft/HASP/stable/x86_64/Ubuntu/22.04/

Код: bash

wget https://download.etersoft.ru/pub/Etersoft/HASP/stable/x86_64/Ubuntu/22.04/haspd_8.23-eter3ubuntu_amd64.deb

мне удалось скачать его только через vpn, а затем передать на сервер через winscp

Установим пакет и парочку дополнительных, от которых они зависят:

Код: bash

apt install make libc6-i386

Код: bash

dpkg -i haspd*.deb

Запускаем сервис haspd и проверяем, запустился ли он и слушает tcp порты:

Код: bash

systemctl start haspd

Код: bash

netstat -tulnp | grep hasp

Добавим его в автозагрузку:

Код: bash

systemctl enable haspd

На этом настройка hasp завершена.
Установка PostgreSQL

Есть два варианта где можно взять адаптированный дистрибутив PostgreSQL для 1С:

    1-й вариант скачать с официального сайта 1С https://releases.1c.ru/: https://releases.1c.ru/version_file?nick=AddCompPostgre&ver=14.5-3.1C&path=AddCompPostgre%5c14_5_3_1C%5cpostgresql_14.5_3.1C_amd64_deb.tar.bz2
    2-й вариант скачать с сайта компании PostgresPRO https://1c.postgres.ru/, указав под какую платформу вам нужен и контактные данные. На почту моментально придет письмо с информацией о том как установить

Ниже опишу оба варианта установки:

1-й вариант.

Скачиваем наш архив:

Код: bash

wget https://releases.1c.ru/version_file?nick=AddCompPostgre&ver=14.5-3.1C&path=AddCompPostgre%5c14_5_3_1C%5cpostgresql_14.5_3.1C_amd64_deb.tar.bz2

Распаковываем архив:

Код: bash

tar -zxvf postgresql_14.5_3.1C_amd64_deb.tar.bz2

Устанавливаем пакет:

Код: bash

dpkg -i postgresql*.deb

На моменте распаковки мне выдало ошибку, что нельзя распаковать архив и я сделал вариантом 2

2-й вариант.

Запустите скрипт для добавления ключа репозитория:

Код: bash

wget https://repo.postgrespro.ru/1c-15/keys/pgpro-repo-add.sh

Код: bash

sh pgpro-repo-add.sh

Устанавливаем PostgreSQL:

Код: bash

apt-get install postgrespro-1c-15

По просьбам трудящихся, чтобы вызывать бинарные файлы PostgreSQL без указания пути создадим необходимые символические ссылки:

Код: bash

/opt/pgpro/1c-15/bin/pg-wrapper links update

Стартуем службу:

Код: bash

systemctl start postgrespro-1c-15

Проверяем статус:

Код: bash

systemctl status postgrespro-1c-15

Зададим пароль пользователя postgres:

Код: bash

su postgres

Код: bash

psql -U postgres -c "alter user postgres with password 'Ваш_пароль';"

ALTER ROLE

Выходим:

Код: bash

exit

Установка закончена

Установка pqAdmin

На момент написания статьи, с 15 (установленным 2 способом) psql не работает (не устанавливается)
Но пусть будет, пригодится, когда нибудь доработают))

pgAdmin4 – это веб-консоль администрирования и разработки с открытым исходным кодом для PostgreSQL и связанных с ней систем управления базами данных. Разработан на Python и jQuery, он поддерживает все функции, найденные в PostgreSQL. Можно использовать pgAdmin для разных целей – от написания базовых SQL-запросов до мониторинга ваших баз данных и настройки расширенных архитектур баз данных.

Перед установкой необходимо добавить репозиторий, для этого установим публичный ключ:

Код: bash

wget https://www.pgadmin.org/static/packages_pgadmin_org.pub

Код: bash

apt-key add packages_pgadmin_org.pub

здесь ругается на то, что apt-key is depricated

Добавим в файл pgadmin4.list ссылку на репозиторий:

Код: bash

echo "deb https://ftp.postgresql.org/pub/pgadmin/pgadmin4/apt/$(lsb_release -cs) pgadmin4 main" > /etc/apt/sources.list.d/pgadmin4.list

Обновим список зависимостей и пакетных баз:

Код: bash

apt update

Устанавливаем pgadmin4

Код: bash

apt install pgadmin4

Запустим начальную настройку:

Код: bash

/usr/pgadmin4/bin/setup-web.sh

Система попросит вас указать свой email и пароль для регистрации в системе для входа:

Creating configuration database...

NOTE: Configuring authentication for SERVER mode.

Enter the email address and password to use for the initial pgAdmin user account:

Email address: admin@company.ru

Password:

Retype password:

pgAdmin 4 - Application Initialisation

Creating storage and log directories...

We can now configure the Apache Web server for you. This involves enabling the wsgi module and configuring the pgAdmin 4 application to mount at /pgadmin4. Do you wish to continue (y/n)? y

The Apache web server is running and must be restarted for the pgAdmin 4 installation to complete. Continue (y/n)? y

Apache successfully restarted. You can now start using pgAdmin 4 in web mode at http://127.0.0.1/pgadmin4

Установка завершена и консоль pgadmin доступна по адресу:

http://Адрес сервера/pgadmin4

Установка консоли управления сервером 1С

Для того, чтобы установить консоль администратора необходимо скачать и установить технологическую платформу на windows. При установке выбрать пункт Администрирование сервера:


После установки, заходим в Меню пуск раскрыв папку с программой 1С:Предприятие увидим Регистрация утилиты администрирования серверов, правой кнопкой мышки выбираем дополнительно и перейти к расположению файла



Открывается место расположение файла, выбираем Регистрация утилиты администрирования серверов правой кнопкой Запуск от имени администратора



Подключение и создание баз

Правой кнопкой по Central 1C:Enterprise 8.3 servers создать Центральный сервер, указываем имя сервера и нажимаем ок



Все. Сервер 1с на linux готов к использованию!

[usb.generic.allowCCID]

#42

VMWARE всё о виртуализации, тонкий тюнинг / Rutoken (да и любой токен) про...

Последний ответ от George - Сен. 15, 2023, 10:30

По умолчанию в ESXi, начиная с версии 6.5, отключена функция проброса смарт-карт (устройств с драйвером CCID).

Не пробрасываются Рутокен Lite и Рутокены семейства ЭЦП. При этом, устройства, работающие на собственном драйвере (например, Рутокен S) пробрасываются корректно.

Для включения проброса CCID устройств необходимо добавить следующее значение в конфигурационный файл виртуальной машины:

usb.generic.allowCCID = "TRUE"

1) Откройте VMWare ESXi

2) Выберите нужную виртуальную машину и проверьте, что она отключена

Обратите внимание, что редактировать настройки работающей виртуальной машины нельзя. В противном случае, все внесенные вами изменения не сохранятся

3) Нажмите правой кнопкой мыши на название виртуальной машины и выберите пункт "Edit Settings..."

4) Выберите вкладку "VM Options" - пункт меню "Advanced" - кнопка "Edit Configuration..."








5) В столбец "Key" введите значение: "usb.generic.allowCCID", а в столбец "Value": значение "TRUE" - нажмите кнопку "OK" (без кавычек)

6) После внесения изменения включите виртуальную машину и проверьте проброс Рутокен

[настроил авторизацию по смарт карте (rutoken), паролю AD и OTP]

#43

Windows. Все о нашей "любимой" ОС / Настройка входа по смарт карте...

Последний ответ от George - Сен. 14, 2023, 03:21

  Я потратил дня три, пробуя сделать эту авторизацию, после того как настроил авторизацию по смарт карте (rutoken), паролю AD и OTP (тройная проверка) на cisco ASA. Хотелось и вход в Windows (RDP) сделать по смарт карте, т.к. политиками можно настроить блокировку, отключение RDP сеанса или вообще выход из системы при отключении смарт карты.
  Но все попытки приводили к 2 ошибкам, которые можно увидеть в логах системы (с которой подключаешься):

В сертификате центра распространения ключей для контроллера домена отсутствует DNS-имя домена im-cloud.site в атрибуте "Дополнительное имя субъекта": код ошибки 0xc000006d. Для устранения ошибки администратор домена должен получить сертификат центра распространения ключей с DNS-именем домена в атрибуте "Дополнительное имя субъекта". Используйте службы сертификатов Windows Server при создании шаблона проверки подлинности Kerberos.

и

Различающееся имя в поле субъекта сертификата входа со смарт-картой не содержит сведений, достаточных для определения соответствующего домена на компьютере, не входящем в домен. Обратитесь к системному администратору.

Поиск по этим ошибкам в интернете не дал ничего. Один повторяющийся вопрос, причем и на русскоязычных, и на англоязычных, с ответом "У Вас что-то не то с сертификатом".

На сайте рутокена наткнулся на вот такой вариант:
https://dev.rutoken.ru/display/KB/RU1099?ysclid=lmiz9g54g5948645072

Но он не помог, клиентская машина с домашней версией Windows и там нет gpedit.msc (групповых политик)

В общем изучая тему, я понял, что что-то изменили в политике Kerberos и, для корректной работы входа надо настроить правильно сертификат контроллера домена:

Войдите в ЦС или рабочие станции управления с учетными данными, эквивалентными администратору домена .

1. Откройте центр сертификации консоль управления
2. Щелкните правой кнопкой мыши управление шаблонами сертификатов >
3. В консоли шаблона сертификата щелкните правой кнопкой мыши шаблон Проверки подлинности Kerberos в области сведений и выберите дублировать шаблон.
4. На вкладке Совместимость :

• Снимите флажок Показать последующие
• Выберите Windows Server 2016 в списке Центров сертификации
• Выберите Windows 10 или Windows Server 2016 в списке получателей сертификата.

5. На вкладке Общие

• Пишем "Проверка подлинности контроллера домена (Kerberos)" в отображаемом имени шаблона (или любое понятное Вам имя)
• Настройка срока действия и периода продления в соответствии с потребностями предприятия

6.На вкладке Имя субъекта выполните следующие действия.

• Нажмите кнопку (переключатель) Строится на основании данных Active Directory , если она еще не выбрана.
• Выберите Отсутствует в списке Формат имени субъекта .
• Выберите DNS-имя из списка Включить эту информацию в альтернативное имя субъекта .
• Очистка всех остальных элементов

7. На вкладке Шифрование выполните следующие действия.

• Выберите поставщик хранилища ключей в списке Категория поставщика
• Выберите RSA в списке Имя алгоритма. (подставилось само)
• Введите 2048 в текстовом поле Минимальный размер ключа. (тоже было)
• Выберите SHA256 в списке хэша запроса. (а вот это надо менять, там sha1 по умолчанию)

Предварительный этап выполнен. Но надо указать, какие сертификаты заменяет наш новый шаблон. Для этого, на вкладке "Устаревшие шаблоны" нажмите Добавить.

• В диалоговом окне Добавление устаревшего шаблона выберите шаблон сертификата контроллера домена и нажмите кнопку ОК > Добавить.
• В диалоговом окне Добавление устаревшего шаблона выберите шаблон сертификата проверки подлинности контроллера домена и нажмите кнопку ОК > Добавить.
• В диалоговом окне Добавление устаревшего шаблона выберите шаблон сертификата проверки подлинности Kerberos и нажмите кнопку ОК > Добавить.
• Нажмите кнопку ОК и закройте консоль шаблоны сертификатов

Добавляем сертификат в консоли Центра Сертификации:

• ПКМ на "Шаблоны сертификатов"
• Создать > Выдаваемый шаблон сертификата
• В открывшемся окне выбираем созданный нами шаблон "Проверка подлинности контроллера домена (Kerberos)" созданный нами выше.

Заходим на контроллер домена, mmc, оснастка "сертификаты > учетная запись компьютера > Личное, ПКМ на Сертификаты > Все задачи > Запросить новый сертификат"

Выбираем наш созданный сертификат, он создается...

И тут я "пошел" пробовать вход по Rutoken, а он продолжал выдавать мне те же ошибки.. Еще день я потратил, думая что же не так, пересоздал дважды сертификат Центра сертификации.. хотел уже создать сертификат пользователя не через политику AD.. Потом до мня дошло:
Надо удалить все старые сертификаты контроллера домена!!! кроме сертификата "Компьютер" (а он здесь причем) (у меня 2 DC я сделал на обеих). Перезагрузил их..

И, уже не веря в удачу, попробовал залогинится по сертификату. И какой же был кайф, когда вместо "попытка входа в систему неудачна" мне выдало предупреждение о сертификате RDP!

Спасибо за внимание, надеюсь моя инструкция кому-нибудь пригодится)

[dnf update, reboot]

#44

Настройки *nix (почта, web, система etc) / Free PBX не пускает в интерфей...

Последний ответ от George - Сен. 12, 2023, 01:18

Логинимся в систему, dnf update, reboot
Набираем команды:

Код: bash

fwconsole chown

Код: bash

fwconsole a r

Код: bash

chown -R /var/lib/php/session/

Давно не заходил, телефония моя личная, для связи с родственниками) Кто-то удалил программку с моего телефона, и при попытке настроить заново понял, что не помню пароль, решил зайти посмотреть\сменить..

#45

Настройки *nix (почта, web, система etc) / От: Избавляем proxmox от сообщ...

Последний ответ от George - Авг. 23, 2023, 12:15

Код: bash

sudo sed -i "s/getNoSubKeyHtml:/getNoSubKeyHtml_:/" /usr/share/javascript/proxmox-widget-toolkit/proxmoxlib.js

Код: bash

sudo sed -i "s/noSubKeyHtml/noSubKeyHtml_/" /usr/share/pve-manager/touch/pvemanager-mobile.js

Код: bash

sudo sed -i "s/noSubKeyHtml/noSubKeyHtml_/" /usr/share/pve-manager/js/pvemanagerlib.js

Код: bash

systemctl restart pveproxy.service

#46

Настройки *nix (почта, web, система etc) / Избавляем proxmox от сообщения...

Последний ответ от George - Авг. 23, 2023, 12:07

Код: bash

#!/bin/sh

#######################################################
#
# Edits the proxmox Subscription file to make it
# think that it has a Subscription.
#
# Will disable the annoying login message about
# missing subscription.
#
# Tested on Proxmox PVE 5.2-1
#
# The sed command will create a backup of the changed file.
# There is no guarantee that this will work for future versions.
# Use at your own risk!
#
# OneLiner:
# wget -q -O - 'https://gist.github.com/tavinus/08a63e7269e0f70d27b8fb86db596f0d/raw/' | /bin/sh
# curl -L -s 'https://gist.github.com/tavinus/08a63e7269e0f70d27b8fb86db596f0d/raw/' | /bin/sh
#
#######################################################

init_error() {
    local ret=1
    [ -z "$1" ] || printf "%s\n" "$1"
    [ -z "$2" ] || ret=$2
    exit $ret
}

# Original command
# sed -i.bak 's/NotFound/Active/g' /usr/share/perl5/PVE/API2/Subscription.pm && systemctl restart pveproxy.service

# Command to restart PVE Proxy and apply changes
PVEPXYRESTART='systemctl restart pveproxy.service'

# File/folder to be changed
TGTPATH='/usr/share/perl5/PVE/API2'
TGTFILE='Subscription.pm'

# Check dependecies
SEDBIN="$(which sed)"

[ -x "$SEDBIN" ] || init_error "Could not find 'sed' binary, aborting..."

# This will also create a .bak file with the original file contents
sed -i.bak 's/NotFound/Active/g' "$TGTPATH/$TGTFILE" && $PVEPXYRESTART

r=$?
if [ $r -eq 0 ]; then
    printf "%s\n" "All done! Please refresh your browser and test the changes!"
    exit 0
fi

printf "%s\n" "An error was detected! Changes may not have been applied!"
exit 1

#47

Настройки *nix (почта, web, система etc) / От: Увеличение размера LVM Pro...

Последний ответ от George - Авг. 23, 2023, 10:46

мне надо было увеличить место под хранилище iso образов

Код: bash

# Check disk space before
df -h

    # Delete local-lvm storage in gui

    lvremove /dev/pve/data

    lvresize -l +100%FREE /dev/pve/root

    resize2fs /dev/mapper/pve-root

# Check disk space after
df -h

#48

Настройки *nix (почта, web, система etc) / Увеличение размера LVM Proxmox...

Последний ответ от George - Авг. 23, 2023, 10:35

Итак мы загрузили нашу виртуальную машину Proxmox, зашли на нее по ssh, набрали lsblk, увидели новый размер sda = 70G. Теперь через консоль будем менять размер раздела sda3 а с ним и размер логического тома LMV c именем data:

Первое что нужно сделать это поставить программу parted, это консольная версия программы Gparted:

Код: bash

apt update

Код: bash

apt install parted

После успешной установки заходим в parted и выбираем наш диск /dev/sda. Прошу не путать именно /dev/sda:

Код: bash

parted /dev/sda

Далее смотрим наши разделы с помощью команды print:

Видим что размер нашего lvm диска 42.4 GB и его номер 3. Будем его изменять. Наберем команду

Код: bash

resizepart 3 

и жмем Enter:

Далее пишем

Код: bash

100%FREE

это значит что увеличиваем диск до максимально возможного и жмем Enter:

терминал

После выполнения можно снова выполнить команду print и мы увидим новый размер нашего LVM тома который стал 74.6GB:


Далее выходим с помощью команды quit и жмем Enter:

Теперь проверим как все это выглядит с помощью команды:

Код: bash

lsblk

Мы видим что размер sda3 раздела стал 69.5G

Теперь надо растянуть физический LVM том на все свободное место для этого мы применим команду

Код: bash

pvresize /dev/sda3 

и жмем Enter:

На нижней картинке размер физического тома изменился мы это видим в сообщении:

Physical volume "/dev/sda3" changed
1 physical volume(s) resized / 0 physical volume(s) not resized

Так же мы это заметим если поочередно введем команды pvs (инф. о физических томах),  vgs (инф. о группах LVM). А вот vgs (инф. о логических томах)  показывает старый объем для data  root и swap т. к. нам его еще предстоит изменить.

Осталось только добавить свободный объем в логический раздел data. Набираем команду:

Код: bash

lvextend -L +20G /dev/pve/data

Наши 20G добавились:

терминал

Проверяем изменения вводим поочередно команды:

Код: bash

pvs

Код: bash

vgs

Код: bash

lvs

Видим что для pvs и vgs неизменны параметры, а команда lvs показывает что наш раздел data стал 38.87G мы видим что он увеличился на 20G.

#49

Настройки *nix (почта, web, система etc) / Удалить "внутреннюю" почту lin...

Последний ответ от George - Авг. 17, 2023, 04:39

i=1; while [ $i -le 100 ]; do echo d $i; i=$(($i+1)); done | mail

И всё))

[Фиксируем в Cisco IOS использование RSA для host identification]

#50

Сетевое оборудование / Включаем SSH 2.х в Cisco IOS

Последний ответ от George - Июнь 21, 2023, 12:22

Фиксируется она просто – для Cisco IOS это будет команда:

atraining(config)#

Код: bash

ip ssh version 2

Если на данный момент вы ещё не создали ни одной ключевой пары, пригодной для работы SSHv2, то будет примерно такое сообщение:

Please create RSA keys to enable SSH (and of atleast 768 bits for SSH v2).

Это не страшно, разве что заметим, что у SSHv2 есть "нижние" требования по длине ключа в ключевой паре. Впрочем, мы не будем пытаться создать ключи, не подпадающие под это ограничение – времена, когда например 512ти битовые ключи RSA активно использовались, ушли.

Если ключи ещё не созданы, то делается это просто:

atraining(config)#

Код: bash

crypto key generate rsa modulus 2048 label SSH_KEYS

Параметры несложны – rsa задаст алгоритм (в новых IOS добавляется вариант ec), modulus – битовую длину (можете выставить её в 4096, так будет, безусловно, безопаснее), метка label – чтобы создать "именованную для конкретного назначения" ключевую пару.

В ряде версий Cisco IOS есть ограничение на хранимые ключевые пары – до 10 на устройство и до 2 на пользователя – поэтому может быть выведено предупреждение типа "внимание, новая ключевая пара затрёт предыдущую". Отслеживайте это.

Теперь скажем SSH, чтобы он использовал именно эту пару:

atraining(config)#

Код: bash

ip ssh rsa keypair-name SSH_KEYS

Если всё ОК, нам выведется примерно такое:

%SSH-5-DISABLED: SSH 2.0 has been disabled %SSH-5-ENABLED: SSH 2.0 has been enabled

Это будет обозначать, что переключение с "какие попало ключи" на "явно указанная пара" произошло успешно.

Если нам надо также сообщить, что к данному устройству должны подключаться только используя SSH, а не telnet, например, то это делается следующим образом – вначале заходим в режим конфигурирования VTY:

atraining(config)#

Код: bash

line vty 0 5

(или line vty 0 15 – зависит от модели)

и явно указываем, что входящие подключения должны быть исключительно по SSH:

atraining(config-line)#

Код: bash

transport input ssh

Фиксируем в Cisco IOS использование RSA для host identification
У Cisco это будет просто:

atraining(config)#

Код: bash

ip ssh server algorithm hostkey ssh-rsa