Включаем SSH 2.х в Cisco IOS

Автор George, Июнь 21, 2023, 12:22

« назад - далее »
Печать
Вниз Страницы1
Действия пользователя

George

Июнь 21, 2023, 12:22 Последнее редактирование: Авг. 22, 2023, 02:32 от George
Фиксируется она просто – для Cisco IOS это будет команда:

atraining(config)#
Код: bash
ip ssh version 2

Если на данный момент вы ещё не создали ни одной ключевой пары, пригодной для работы SSHv2, то будет примерно такое сообщение:

Please create RSA keys to enable SSH (and of atleast 768 bits for SSH v2).

Это не страшно, разве что заметим, что у SSHv2 есть "нижние" требования по длине ключа в ключевой паре. Впрочем, мы не будем пытаться создать ключи, не подпадающие под это ограничение – времена, когда например 512ти битовые ключи RSA активно использовались, ушли.

Если ключи ещё не созданы, то делается это просто:

atraining(config)#
Код: bash
crypto key generate rsa modulus 2048 label SSH_KEYS

Параметры несложны – rsa задаст алгоритм (в новых IOS добавляется вариант ec), modulus – битовую длину (можете выставить её в 4096, так будет, безусловно, безопаснее), метка label – чтобы создать "именованную для конкретного назначения" ключевую пару.

В ряде версий Cisco IOS есть ограничение на хранимые ключевые пары – до 10 на устройство и до 2 на пользователя – поэтому может быть выведено предупреждение типа "внимание, новая ключевая пара затрёт предыдущую". Отслеживайте это.

Теперь скажем SSH, чтобы он использовал именно эту пару:

atraining(config)#
Код: bash
ip ssh rsa keypair-name SSH_KEYS

Если всё ОК, нам выведется примерно такое:

%SSH-5-DISABLED: SSH 2.0 has been disabled %SSH-5-ENABLED: SSH 2.0 has been enabled

Это будет обозначать, что переключение с "какие попало ключи" на "явно указанная пара" произошло успешно.

Если нам надо также сообщить, что к данному устройству должны подключаться только используя SSH, а не telnet, например, то это делается следующим образом – вначале заходим в режим конфигурирования VTY:

atraining(config)#
Код: bash
line vty 0 5
(или line vty 0 15 – зависит от модели)

и явно указываем, что входящие подключения должны быть исключительно по SSH:

atraining(config-line)#
Код: bash
transport input ssh

Фиксируем в Cisco IOS использование RSA для host identification
У Cisco это будет просто:

atraining(config)#
Код: bash
ip ssh server algorithm hostkey ssh-rsa
  •  
Печать
Вверх Страницы1
Действия пользователя
🡱 🡳

Отметьте интересные вам фрагменты текста и они станут доступны по уникальной ссылке в адресной строке браузера.