Προηγουμένως, έγραψα για το πώς μπορείτε να ενεργοποιήσετε την πρόσβαση SSH στον διακόπτη Cisco σας, ενεργοποιώντας τη ρύθμιση στη διεπαφή GUI. Αυτό είναι υπέροχο εάν θέλετε να έχετε πρόσβαση στο CLI switch σας μέσω μιας κρυπτογραφημένης σύνδεσης, αλλά εξακολουθεί να βασίζεται μόνο σε ένα όνομα χρήστη και κωδικό πρόσβασης.
Εάν χρησιμοποιείτε αυτόν τον διακόπτη σε ένα πολύ ευαίσθητο δίκτυο που πρέπει να είναι πολύ ασφαλές, τότε ίσως θελήσετε να εξετάσετε την ενεργοποίηση του ελέγχου ταυτότητας δημόσιου κλειδιού για τη σύνδεση SSH. Στην πραγματικότητα, για μέγιστη ασφάλεια, μπορείτε να ενεργοποιήσετε ένα όνομα χρήστη / κωδικό πρόσβασης και έλεγχο ταυτότητας δημόσιου κλειδιού για πρόσβαση στον διακόπτη.
Σε αυτό το άρθρο, θα σας δείξω πώς μπορείτε να ενεργοποιήσετε τον έλεγχο ταυτότητας δημόσιου κλειδιού σε έναν διακόπτη Cisco SG300 και πώς να δημιουργήσετε τα ζεύγη δημόσιου και ιδιωτικού κλειδιού χρησιμοποιώντας το puTTYGen. Στη συνέχεια θα σας δείξω πώς να συνδεθείτε χρησιμοποιώντας τα νέα πλήκτρα. Επιπλέον, θα σας δείξω πώς να το ρυθμίσετε ώστε να μπορείτε είτε να χρησιμοποιήσετε μόνο το κλειδί για να συνδεθείτε ή να αναγκάσετε τον χρήστη να πληκτρολογήσει ένα όνομα χρήστη / κωδικό πρόσβασης μαζί με το ιδιωτικό κλειδί.
Σημείωση : Προτού ξεκινήσετε αυτό το σεμινάριο, βεβαιωθείτε ότι έχετε ήδη ενεργοποιήσει την υπηρεσία SSH στο διακόπτη, την οποία ανέφερα στο προηγούμενο άρθρο μου που συνδέθηκε παραπάνω.
Ενεργοποιήστε τον έλεγχο ταυτότητας χρήστη SSH με δημόσιο κλειδί
Συνολικά, η διαδικασία για την εξακρίβωση ταυτότητας δημόσιου κλειδιού για εργασία για SSH είναι απλή. Στο παράδειγμά μου, θα σας δείξω πώς να ενεργοποιήσετε τις λειτουργίες χρησιμοποιώντας το GUI στο web. Προσπάθησα να χρησιμοποιήσω τη διασύνδεση CLI για να ενεργοποιήσω τον έλεγχο ταυτότητας δημόσιου κλειδιού, αλλά δεν θα δεχόταν τη μορφή του ιδιωτικού μου κλειδιού RSA.
Μόλις καταφέρω να δουλέψω, θα ενημερώσω αυτήν την ανάρτηση με τις εντολές CLI που θα ολοκληρώσουν αυτό που θα κάνουμε μέσω του GUI για τώρα. Πρώτον, κάντε κλικ στην επιλογή Ασφάλεια, κατόπιν SSH Server και, τέλος, SSH User Authentication .
Στο δεξιό παράθυρο, προχωρήστε και ελέγξτε το πλαίσιο Ενεργοποίηση δίπλα στον έλεγχο ταυτότητας χρήστη SSH με δημόσιο κλειδί . Κάντε κλικ στο κουμπί Εφαρμογή για να αποθηκεύσετε τις αλλαγές. Μην ελέγχετε το κουμπί Ενεργοποίηση δίπλα από την επιλογή Αυτόματη σύνδεση ακριβώς όπως θα το εξηγήσω περαιτέρω.
Τώρα πρέπει να προσθέσουμε ένα όνομα χρήστη SSH. Πριν βρεθούμε στην προσθήκη του χρήστη, πρέπει πρώτα να δημιουργήσουμε ένα δημόσιο και ιδιωτικό κλειδί. Σε αυτό το παράδειγμα, θα χρησιμοποιήσουμε το puTTYGen, το οποίο είναι ένα πρόγραμμα που έρχεται με το puTTY.
Δημιουργία ιδιωτικών και δημόσιων κλειδιών
Για να δημιουργήσετε τα κλειδιά, προχωρήστε και ανοίξτε πρώτα το puTTYGen. Θα δείτε μια κενή οθόνη και πραγματικά δεν θα πρέπει να αλλάξετε καμία από τις ρυθμίσεις από τις προεπιλογές που εμφανίζονται παρακάτω.
Κάντε κλικ στο κουμπί Δημιουργία και, στη συνέχεια, μετακινήστε το ποντίκι σας γύρω από την κενή περιοχή μέχρι η γραμμή προόδου να ξεπεράσει.
Μόλις δημιουργηθούν τα κλειδιά, πρέπει να πληκτρολογήσετε μια φράση πρόσβασης, η οποία βασικά είναι σαν ένας κωδικός πρόσβασης για να ξεκλειδώσετε το κλειδί.
Είναι καλή ιδέα να χρησιμοποιήσετε μια μακρά φράση πρόσβασης για να προστατεύσετε το κλειδί από επιθέσεις βίαιης δύναμης. Μόλις πληκτρολογήσετε δύο φορές τη φράση πρόσβασης, πρέπει να κάνετε κλικ στο κουμπί Αποθήκευση δημόσιου κλειδιού και Αποθήκευση ιδιωτικού κλειδιού . Βεβαιωθείτε ότι τα αρχεία αυτά αποθηκεύονται σε ασφαλή τοποθεσία, κατά προτίμηση σε κρυπτογραφημένο δοχείο κάποιου είδους που απαιτεί άνοιγμα ενός κωδικού πρόσβασης. Ελέγξτε την ανάρτησή μου σχετικά με τη χρήση του VeraCrypt για να δημιουργήσετε έναν κρυπτογραφημένο τόμο.
Προσθήκη χρήστη & κλειδιού
Τώρα επιστρέψαμε στην οθόνη SSH User Authentication που είχαμε κάνει νωρίτερα. Εδώ μπορείτε να επιλέξετε από δύο διαφορετικές επιλογές. Αρχικά, μεταβείτε στην ενότητα Διαχείριση - Λογαριασμοί χρηστών για να δείτε τι λογαριασμούς έχετε για σύνδεση.
Όπως μπορείτε να δείτε, έχω ένα λογαριασμό που ονομάζεται akishore για την πρόσβαση στον διακόπτη μου. Προς το παρόν, μπορώ να χρησιμοποιήσω αυτόν τον λογαριασμό για να αποκτήσω πρόσβαση στο GUI και τον CLI στο διαδίκτυο. Πίσω στη σελίδα ελέγχου ταυτότητας χρηστών SSH, ο χρήστης που πρέπει να προσθέσετε στον Πίνακα ελέγχου ταυτότητας χρήστη SSH (με δημόσιο κλειδί) μπορεί να είναι ο ίδιος με αυτόν που έχετε στο λογαριασμό " Διαχείριση - Λογαριασμοί χρήστη" ή διαφορετικοί.
Εάν επιλέξετε το ίδιο όνομα χρήστη, μπορείτε να ελέγξετε το κουμπί Ενεργοποίηση κάτω από την Αυτόματη Σύνδεση και όταν μεταβείτε στη σύνδεση, θα πρέπει απλά να πληκτρολογήσετε το όνομα χρήστη και τον κωδικό πρόσβασης για το ιδιωτικό κλειδί και θα συνδεθείτε .
Εάν αποφασίσετε να επιλέξετε ένα διαφορετικό όνομα χρήστη εδώ, θα λάβετε μια ερώτηση όπου θα πρέπει να εισαγάγετε το όνομα χρήστη και τον κωδικό πρόσβασης του ιδιωτικού κλειδιού SSH και, στη συνέχεια, θα πρέπει να εισάγετε το κανονικό όνομα χρήστη και τον κωδικό πρόσβασής σας (που παρατίθεται στο Admin - Accounts User) . Εάν θέλετε την πρόσθετη ασφάλεια, χρησιμοποιήστε ένα διαφορετικό όνομα χρήστη, διαφορετικά ονομάστε το όμοιο με το τρέχον.
Κάντε κλικ στο κουμπί Προσθήκη και θα εμφανιστεί το παράθυρο " Προσθήκη χρήστη SSH ".
Βεβαιωθείτε ότι ο τύπος κλειδιού έχει οριστεί σε RSA και, στη συνέχεια, προχωρήστε και ανοίξτε το δημόσιο αρχείο κλειδιού SSH που αποθηκεύσατε νωρίτερα χρησιμοποιώντας ένα πρόγραμμα όπως το Notepad. Αντιγράψτε ολόκληρο το περιεχόμενο και επικολλήστε το στο παράθυρο του δημόσιου κλειδιού . Κάντε κλικ στην επιλογή Εφαρμογή και στη συνέχεια κάντε κλικ στο κουμπί Κλείσιμο αν λάβετε ένα μήνυμα επιτυχίας στην κορυφή.
Σύνδεση με ιδιωτικό κλειδί
Τώρα το μόνο που πρέπει να κάνουμε είναι να συνδεθείτε χρησιμοποιώντας το ιδιωτικό κλειδί και τον κωδικό πρόσβασής μας. Σε αυτό το σημείο, όταν προσπαθείτε να συνδεθείτε, θα πρέπει να εισαγάγετε τα διαπιστευτήρια σύνδεσης δύο φορές: μία φορά για το ιδιωτικό κλειδί και μία φορά για τον κανονικό λογαριασμό χρήστη. Μόλις ενεργοποιήσετε την αυτόματη σύνδεση, θα πρέπει απλώς να εισαγάγετε το όνομα χρήστη και τον κωδικό πρόσβασης για το ιδιωτικό κλειδί και θα είστε μέσα.
Ανοίξτε το αρχείο puTTY και καταχωρίστε τη διεύθυνση IP του διακόπτη σας στο πλαίσιο Όνομα κεντρικού υπολογιστή ως συνήθως. Ωστόσο, αυτή τη φορά, θα πρέπει να φορτώσουμε το ιδιωτικό κλειδί και στο puTTY επίσης. Για να το κάνετε αυτό, αναπτύξτε τη σύνδεση και, στη συνέχεια, αναπτύξτε το στοιχείο SSH και, στη συνέχεια, κάντε κλικ στην επιλογή Auth .
Κάντε κλικ στο κουμπί Περιήγηση στο αρχείο ιδιωτικού κλειδιού για έλεγχο ταυτότητας και επιλέξτε το αρχείο ιδιωτικού κλειδιού που αποθηκεύσατε έξω από το puTTY νωρίτερα. Τώρα κάντε κλικ στο κουμπί Άνοιγμα για σύνδεση.
Η πρώτη ερώτηση θα συνδεθεί ως και θα πρέπει να είναι το όνομα χρήστη που προσθέσατε κάτω από τους χρήστες SSH. Αν χρησιμοποιήσατε το ίδιο όνομα χρήστη με τον κύριο λογαριασμό χρήστη, τότε δεν θα έχει σημασία.
Στην περίπτωσή μου, χρησιμοποίησα akishore και για τους δύο λογαριασμούς χρηστών, αλλά χρησιμοποίησα διαφορετικούς κωδικούς πρόσβασης για το ιδιωτικό κλειδί και για τον κύριο λογαριασμό μου χρήστη. Αν θέλετε, μπορείτε να κάνετε τους κωδικούς πρόσβασης το ίδιο, αλλά δεν έχει νόημα να το κάνετε αυτό, ειδικά εάν ενεργοποιήσετε την αυτόματη σύνδεση.
Τώρα, εάν δεν θέλετε να χρειαστεί να κάνετε διπλή σύνδεση για να μπείτε στον διακόπτη, ελέγξτε το πλαίσιο Ενεργοποίηση δίπλα στην επιλογή Αυτόματη σύνδεση στη σελίδα Authentication User SSH .
Όταν αυτό είναι ενεργοποιημένο, θα πρέπει απλώς να πληκτρολογήσετε τα διαπιστευτήρια του χρήστη SSH και θα συνδεθείτε.
Είναι λίγο περίπλοκο, αλλά έχει νόημα μόλις το παίξετε. Όπως ανέφερα προηγουμένως, θα γράψω επίσης τις εντολές CLI μόλις μπορέσω να βρω το ιδιωτικό κλειδί με τη σωστή μορφή. Ακολουθώντας τις οδηγίες εδώ, η πρόσβαση στον διακόπτη σας μέσω SSH θα πρέπει να είναι πολύ πιο ασφαλής τώρα. Εάν αντιμετωπίζετε προβλήματα ή έχετε ερωτήσεις, δημοσιεύστε τα σχόλια. Απολαμβάνω!
