Korábban már írtam arról , hogy a grafikus^(GUI) felületen a beállítás engedélyezésével hogyan lehet engedélyezni az SSH-hozzáférést a Cisco^{(how you can enable SSH access to your Cisco switch)} switchedhez . Ez nagyszerű, ha titkosított kapcsolaton keresztül szeretné elérni a switch CLI -jét, de ez továbbra is csak egy felhasználónévre és jelszóra támaszkodik.

Ha ezt a kapcsolót rendkívül érzékeny hálózaton használja, amelynek nagyon biztonságosnak kell lennie, akkor érdemes lehet engedélyezni a nyilvános kulcsú hitelesítést az SSH - kapcsolathoz. Valójában a maximális biztonság érdekében engedélyezheti a felhasználónév/jelszó és a nyilvános kulcsú hitelesítést a switch eléréséhez.

Ebben a cikkben bemutatom, hogyan engedélyezheti a nyilvános kulcsú hitelesítést egy SG300 Cisco switchen, és hogyan hozhat létre nyilvános és privát kulcspárokat a puTTYGen segítségével. Ezután megmutatom, hogyan jelentkezhet be az új kulcsokkal. Ezenkívül megmutatom, hogyan konfigurálhatja úgy, hogy vagy csak a kulcsot használja a bejelentkezéshez, vagy kényszerítse a felhasználót egy felhasználónév/jelszó begépelésére a privát kulcs használatával.

Megjegyzés: Mielőtt elkezdené ezt az oktatóanyagot, győződjön meg arról, hogy már engedélyezte az SSH szolgáltatást a kapcsolón, amelyet a fent hivatkozott korábbi cikkemben említettem. ^{(Note: Before you get started on this tutorial, make sure you have already enabled the SSH service on the switch, which I mentioned in my previous article linked above. )}

Engedélyezze az SSH-felhasználói hitelesítést ^{(SSH User Authentication)}nyilvános kulccsal^{(Public Key)}

Összességében a nyilvános kulcsú hitelesítés SSH -hoz való működésének folyamata egyszerű. Példámban megmutatom, hogyan engedélyezheti a funkciókat a webalapú grafikus felhasználói felület^(GUI) használatával . Megpróbáltam a CLI felületet használni a nyilvános kulcsú hitelesítés engedélyezésére, de az nem fogadta el a privát RSA kulcsom formátumát.

Amint ez működik, frissítem ezt a bejegyzést a CLI -parancsokkal, amelyek teljesítik azt, amit a ^(CLI)grafikus felhasználói felületen^(GUI) keresztül most fogunk tenni . Először^(First) kattintson a Biztonság^(Security) elemre , majd az SSH-kiszolgálóra^{( SSH Server)} , végül pedig az SSH-felhasználó hitelesítésre^{( SSH User Authentication)} .

A jobb oldali ablaktáblában jelölje be az Engedélyezés jelölőnégyzetet az SSH-felhasználói hitelesítés nyilvános kulccsal mellett^{( Enable box next to SSH User Authentication by Public Key)} . Kattintson az Alkalmaz^(Apply) gombra a módosítások mentéséhez. Még^(Don) ne jelölje be az Engedélyezés^(Enable) gombot az Automatikus bejelentkezés^{(Automatic login)} mellett, mert ezt a továbbiakban elmagyarázom.

Most hozzá kell adnunk egy SSH - felhasználónevet. Mielőtt hozzáfognánk a felhasználó hozzáadásához, először létre kell hoznunk egy nyilvános és privát kulcsot. Ebben a példában a puTTYGen-t fogjuk használni, amely egy olyan program, amely a puTTY-vel együtt érkezik.

Privát és nyilvános kulcsok létrehozása

A kulcsok generálásához először nyissa meg a puTTYGen-t. Egy üres képernyő jelenik meg, és valóban nem kell módosítania az alább látható alapértelmezett beállításokat.

Kattintson a Generálás^(Generate) gombra, majd mozgassa az egeret az üres területen, amíg a folyamatjelző sáv végig nem megy.

A kulcsok előállítása után be kell írnia egy jelszót, amely alapvetően olyan, mint egy jelszó a kulcs feloldásához.

Célszerű hosszú jelmondatot használni, hogy megvédje a kulcsot a brute force támadásoktól. Miután kétszer beírta a jelszót, kattintson a Nyilvános kulcs^{(Save public key)} mentése és a Privát kulcs mentése^{(Save private key)} gombra. Győződjön meg arról, hogy ezeket a fájlokat biztonságos helyre menti, lehetőleg valamilyen titkosított tárolóban, amelynek megnyitásához jelszó szükséges. Tekintse meg bejegyzésemet a VeraCrypt használatával titkosított kötet létrehozásához^{(VeraCrypt to create an encrypted volume)} .

Felhasználó és kulcs hozzáadása

Most térjünk vissza az  SSH User Authentication képernyőhöz, amelyen korábban voltunk. Itt két különböző lehetőség közül választhat. Először is lépjen az Adminisztráció^{(Administration)} – Felhasználói fiókok^{( User Accounts)} menüpontra, hogy megtudja, milyen fiókokkal rendelkezik jelenleg a bejelentkezéshez.

Amint látja, van egy akishore nevű fiókom a switchem eléréséhez. Jelenleg^(Currently) ezzel a fiókkal tudok hozzáférni a webalapú grafikus felülethez^(GUI) és a CLI -hez . Visszatérve^(Back) az SSH-felhasználó hitelesítési^{(SSH User Authentication)} oldalra, az SSH-felhasználó-hitelesítési táblázathoz (nyilvános kulccsal)^{(SSH User Authentication Table (by Public Key))} felvenni kívánt felhasználó  azonos lehet az Adminisztráció – Felhasználói fiókok^{(Administration – User Accounts)} alatt található felhasználóval, vagy eltérő lehet.

Ha ugyanazt a felhasználónevet választja, akkor az Automatikus bejelentkezés alatt ellenőrizze az ^{(Automatic Login)}Engedélyezés^(Enable) gombot, és amikor belép a kapcsolóba, egyszerűen be kell írnia a privát kulcs felhasználónevét és jelszavát, és bejelentkezik. .

Ha úgy dönt, hogy itt másik felhasználónevet választ, akkor egy felszólítást kap, amelyben meg kell adnia az SSH privát kulcs felhasználónevét és jelszavát, majd meg kell adnia a szokásos felhasználónevét és jelszavát (az Admin – Felhasználói fiókok^{(Admin – User Accounts)} alatt található ). . Ha extra biztonságot szeretne, használjon másik felhasználónevet, ellenkező esetben csak nevezze el ugyanazt, mint a jelenlegi.

Kattintson^(Click) a Hozzáadás^(Add) gombra, és megjelenik az SSH^{(Add SSH User)} -felhasználó hozzáadása ablak.

Győződjön meg arról , hogy a Kulcstípus ^{(Key Type)}RSA -ra van állítva, majd nyissa meg a nyilvános SSH - kulcsfájlt, amelyet korábban mentett egy olyan programmal, mint a Jegyzettömb^(Notepad) . Másolja ki a teljes tartalmat, és illessze be a Nyilvános kulcs^{(Public Key)} ablakba. Kattintson az Alkalmaz^(Apply) , majd a Bezárás^(Close) gombra , ha Siker^(Success) üzenet jelenik meg a tetején.

Bejelentkezés privát kulccsal

Most már csak be kell jelentkeznünk a privát kulcsunkkal és jelszavankkal. Ezen a ponton, amikor megpróbál bejelentkezni, kétszer meg kell adnia a bejelentkezési hitelesítő adatokat: egyszer a privát kulcshoz, egyszer pedig a normál felhasználói fiókhoz. Miután engedélyeztük az automatikus bejelentkezést, csak meg kell adnia a privát kulcshoz tartozó felhasználónevet és jelszót, és máris beléphet.

Nyissa meg a puTTY-t, és a szokásos módon írja be a kapcsoló IP-címét a Host Name mezőbe. Ezúttal azonban a privát kulcsot is fel kell töltenünk a puTTY-be. Ehhez bontsa ki a Connection , majd az SSH elemet^(SSH) , majd kattintson az Auth elemre .

Kattintson a Tallózás^(Browse) gombra a Privát kulcsfájl alatt a hitelesítéshez^{(Private key file for authentication)} , és válassza ki a korábban a puTTY-ből mentett privát kulcsfájlt. Most kattintson a Megnyitás^(Open) gombra a csatlakozáshoz.

Az első prompt a login as, és ennek az ^{(login as)}SSH -felhasználók alatt megadott felhasználónévnek kell lennie . Ha ugyanazt a felhasználónevet használta, mint a fő felhasználói fiókját, akkor ez nem számít.

Az én esetemben mindkét felhasználói fiókhoz akishore-t használtam, de különböző jelszavakat használtam a privát kulcshoz és a fő felhasználói fiókomhoz. Ha akarod, a jelszavakat is azonosra állíthatod, de ennek semmi értelme, főleg ha engedélyezed az automatikus bejelentkezést.

Ha most nem szeretne kétszer bejelentkezni a váltáshoz, jelölje be az Engedélyezés^(Enable) jelölőnégyzetet az Automatikus bejelentkezés^{( Automatic login)} mellett az SSH-felhasználói hitelesítés^{(SSH User Authentication)} oldalon.

Ha ez be van kapcsolva, most már csak be kell írnia az SSH - felhasználó hitelesítő adatait, és be kell jelentkeznie.

Kicsit bonyolult, de logikus, ha egyszer játszunk vele. Mint korábban említettem, a CLI parancsokat is kiírom, amint megkapom a privát kulcsot a megfelelő formátumban. Az itt található utasításokat követve a switch elérése SSH -n keresztül sokkal biztonságosabb lesz. Ha problémába ütközik, vagy kérdései vannak, tegye közzé a megjegyzésekben. Élvezd!

Enable Public Key Authentication for SSH on Cisco SG300 Switches

Previously, I wrote аbout how you can enable SSH access to your Cisco switch by enabling the setting in the GUI interface. This is great if you want to access your switch CLI over an encrypted connection, but it still relies on just a username and password.

If you are using this switch in a highly sensitive network that needs to be very secure, then you might want to consider enabling public key authentication for your SSH connection. Actually, for maximum security, you can enable a username/password and public key authentication for access to your switch.

In this article, I’ll show you how to enable public key authentication on an SG300 Cisco switch and how to generate the public and private key pairs using puTTYGen. I’ll then show you how to login using the new keys. In addition, I’ll show you how to configure it so that you can either use just the key to login or force the user to type in a username/password along with using the private key.

Note: Before you get started on this tutorial, make sure you have already enabled the SSH service on the switch, which I mentioned in my previous article linked above. 

Enable SSH User Authentication by Public Key

Overall, the process for getting public key authentication to work for SSH is straightforward. In my example, I’ll show you how to enable the features using the web-based GUI. I tried to use the CLI interface to enable public key authentication, but it would not accept the format for my private RSA key.

Once I get that working, I’ll update this post with the CLI commands that will accomplish what we will do through the GUI for now. First, click on Security, then SSH Server and finally SSH User Authentication.

In the right-hand pane, go ahead and check the Enable box next to SSH User Authentication by Public Key. Click the Apply button to save the changes. Don’t check the Enable button next to Automatic login just yet as I’ll explain that further down.

Now we have to add a SSH user name. Before we get into adding the user, we first have to generate a public and private key. In this example, we’ll be using puTTYGen, which is a program that comes with puTTY.

Generate Private and Public Keys

To generate the keys, go ahead and open puTTYGen first. You’ll see a blank screen and you really shouldn’t have to change any of the settings from the defaults shown below.

Click on the Generate button and then move your mouse around the blank area until the progress bar go all the way across.

Once the keys have been generated, you need to type in a passphrase, which is basically like a password to unlock the key.

It’s a good idea to use a long passphrase to protect the key from brute-force attacks. Once you have typed in the passphrase twice, you should click the Save public key and Save private key buttons. Make sure these files are saved in a secure location, preferably in an encrypted container of some sort that requires a password to open. Check out my post on using VeraCrypt to create an encrypted volume.

Add User & Key

Now back to the SSH User Authentication screen we were on earlier. Here’s where you can choose from two different options. Firstly, go to Administration – User Accounts to see what accounts you currently have for login.

As you can see, I have one account called akishore for accessing my switch. Currently, I can use this account to access the web-based GUI and the CLI. Back on the SSH User Authentication page, the user you need to add to the SSH User Authentication Table (by Public Key) can either be the same as what you have under Administration – User Accounts or different.

If you choose the same user name, then you can check the Enable button under Automatic Login and when you go to log into the switch, you’ll simply have to type the username and password for the private key and you’ll be logged in.

If you decide to choose a different username here, then you will get a prompt where you have to enter the SSH private key user name and password and then you’ll have to enter your normal username and password (listed under Admin – User Accounts). If you want the extra security, use a different username, otherwise just name it the same as your current one.

Click the Add button and you’ll get the Add SSH User window pop up.

Make sure the Key Type is set to RSA and then go ahead and open your public SSH key file that you saved earlier using a program like Notepad. Copy the entire contents and paste it into the Public Key window. Click Apply and then click Close if you get a Success message at the top.

Login Using Private Key

Now all we have to do is login using our private key and password. At this point, when you try to login, you’ll need to enter login credentials twice: once for the private key and once for the normal user account. Once we enable automatic login, you’ll just have to enter the username and password for the private key and you’ll be in.

Open puTTY and enter in the IP address of your switch in the Host Name box as usual. However, this time, we’ll need to load up the private key into puTTY also. To do this, expand Connection, then expand SSH and then click on Auth.

Click on the Browse button under Private key file for authentication and select the private key file you saved out of puTTY earlier. Now click the Open button to connect.

The first prompt will be login as and that should be the username you added under SSH users. If you used the same username as your main user account, then it won’t matter.

In my case, I used akishore for both user accounts, but I used different passwords for the private key and for my main user account. If you like, you can make the passwords the same too, but there’s no point in really doing that, especially if you enable automatic login.

Now if you don’t want to have to double login to get into the switch, check the Enable box next to Automatic login on the SSH User Authentication page.

When this is enabled, you’ll now just have to type in the credentials for the SSH user and you’ll be logged in.

It’s a bit complicated, but makes sense once you play around with it. Like I mentioned earlier, I’ll also write out the CLI commands once I can get the private key in the proper format. Following the instructions here, accessing your switch via SSH should be a lot more secure now. If you run into problems or have questions, post in the comments. Enjoy!

Related posts

• Az SSH hozzáférés engedélyezése a Cisco SG300 kapcsolókhoz

• Hogyan lehet letiltani a Windows kulcsot

• Hogyan lehet SSH-t vagy SFTP-t a Raspberry Pi-be helyezni

• A Steam Guard hitelesítés engedélyezése

• Nyerje le a vezeték nélküli hálózat biztonsági kulcsát a Windows rendszerben

• A Windows.old mappa törlése a Windows 7/8/10 rendszerben

• Hogyan védje meg a PDF-fájlt jelszóval a biztonság érdekében

• Hogyan készítsd el saját laptopodat

• A 8 legjobb technológiai ötlet az önizoláció megküzdésére

• Hogyan lehet megnyitni a DDS fájlokat a Windows 10 rendszerben

• Mesteroldalak beállítása az Adobe InDesign CC-ben

• Hogyan konvertálhat WEBP képeket JPG, GIF vagy PNG formátumba

• Hogyan lehet megnyitni egy zárolt fájlt, ha egy másik program használja

• QR-kód beolvasása iPhone-on és Androidon

• Hogyan készítsünk egy kitölthető Google Dokumentumok űrlapot táblázatokkal

• Kapcsolja ki a felhasználói fiókok felügyeletét (UAC) egy adott alkalmazáshoz

• Hozzon létre egy Gmail asztali alkalmazást ezzel a 3 e-mail klienssel

• A Cisco Switch hozzáférésének korlátozása IP-cím alapján

• Könyvismertető – Útmutató a Windows 8-hoz

• Xbox One vagy Xbox Series X gyári alaphelyzetbe állítása