之前,我通过在GUI界面中启用设置来编写如何启用对Cisco交换机的SSH访问 。如果您想通过加密连接访问交换机CLI,这很好,但它仍然只依赖于用户名和密码。
如果您在高度敏感的网络中使用此交换机,则需要非常安全,那么您可能需要考虑为SSH连接启用公钥身份验证。实际上,为了最大限度地提高安全性,您可以启用用户名/密码和公钥身份验证来访问您的交换机。
在本文中,我将向您展示如何在SG300 Cisco交换机上启用公钥身份验证以及如何使用puTTYGen生成公钥和私钥对。然后,我将向您展示如何使用新密钥登录。此外,我将向您展示如何配置它,以便您可以只使用密钥登录或强制用户输入用户名/密码以及使用私钥。
注意:在开始学习本教程之前,请确保您已在交换机上启用了SSH服务,我在上一篇文章中提到过这一点。
通过公钥启用SSH用户身份验证
总体而言,使公钥认证适用于SSH的过程非常简单。在我的示例中,我将向您展示如何使用基于Web的GUI启用这些功能。我尝试使用CLI界面启用公钥身份验证,但它不接受我的私有RSA密钥的格式。
一旦我开始工作,我将使用CLI命令更新此帖子将完成我们现在将通过GUI完成的工作。首先,单击安全性,然后单击SSH服务器,最后单击SSH用户身份验证。
在右侧窗格中,继续检查公共密钥的SSH用户身份验证旁边的启用框。单击应用按钮以保存更改。请不要检查自动登录旁边的启用按钮,因为我会进一步向下解释。
现在我们必须添加一个SSH用户名。在我们添加用户之前,我们首先必须生成公钥和私钥。在这个例子中,我们将使用puTTYGen,这是一个附带puTTY的程序。
生成私钥和公钥
要生成密钥,请继续并先打开puTTYGen 。您将看到一个空白屏幕,您真的不需要更改下面显示的默认设置中的任何设置。
点击生成按钮,然后将鼠标移动到空白区域,直到进度条完全移动。
一旦生成密钥,您需要输入密码,这基本上就像解锁密钥的密码。
它是一个好主意是使用长密码来保护密钥免受暴力攻击。输入密码短语两次后,您应该点击保存公钥和保存私钥按钮。确保将这些文件保存在安全的位置,最好是在需要密码才能打开的某种加密容器中。使用VeraCrypt创建加密卷 查看我的帖子。
添加用户&密钥
现在回到我们之前的SSH用户身份验证屏幕。您可以在这里选择两种不同的选项。首先,转到管理 - 用户帐户,查看您当前登录的帐户。
正如您所看到的,我有一个名为akishore的帐户用于访问我的交换机。目前,我可以使用此帐户访问基于Web的GUI和CLI。返回SSH用户身份验证页面,您需要添加到SSH用户身份验证表(通过公钥)的用户可以与您在下的用户相同strong>管理 - 用户帐户或不同。
如果您选择相同的用户名,则可以查看自动登录下的启用按钮当你登录交换机时,你只需输入私钥的用户名和密码,你就会登录。
如果你决定选择不同的用户名在这里,您将得到一个提示,您必须输入SSH私钥用户名和密码,然后您必须输入正常的用户名和密码(在管理员 - 用户帐户下列出)。如果您想要额外的安全性,请使用其他用户名,否则只需将其命名为与当前用户名相同。
单击“添加”按钮,您将获得添加SSH用户窗口弹出。
确保密钥类型设置为RSA,然后继续打开您的公众您之前使用记事本等程序保存的SSH密钥文件。复制整个内容并将其粘贴到公钥窗口中。如果您在顶部收到成功消息,请点击应用,然后点击关闭。
使用私钥登录
现在我们所要做的就是使用我们的私钥和密码登录。此时,当您尝试登录时,您需要输入两次登录凭据:一次用于私钥,一次用于普通用户帐户。启用自动登录后,您只需输入私钥的用户名和密码,即可进入。
打开puTTY并在
单击用于身份验证的私钥文件下的浏览按钮,然后选择之前从puTTY保存的私钥文件。现在点击打开按钮进行连接。
第一个提示将以登录,这应该是您在SSH用户下添加的用户名。如果您使用的用户名与主用户帐户相同,则无关紧要。
在我的情况下,我使用了两个用户帐户的akishore,但我使用了不同的密码用于私钥和我的主用户帐户。如果您愿意,也可以使密码相同,但实际上没有必要这样做,特别是如果您启用自动登录。
现在,如果您不想双重登录获取进入交换机,检查SSH用户身份验证页面上自动登录旁边的启用框。
启用此功能后,您现在只需键入SSH用户的凭据即可登录。
这有点复杂,但一旦你玩它就有意义。就像我之前提到的那样,一旦我能以正确的格式获取私钥,我也会写出CLI命令。按照此处的说明,通过SSH访问您的交换机现在应该更加安全。如果您遇到问题或有疑问,请在评论中发帖。享受!