28 августа 2009 в 20:23

Настройка SSH в Cisco

image

Задача:

Настроить SSH в Cisco. Сделать SSH средой по умолчанию для терминальных линий.

Решение:

1. cisco> enable
2. cisco# clock set 17:10:00 28 Aug 2009
3. cisco# configure terminal
4. cisco(config)# ip domain name test.dom
5. cisco(config)# crypto key generate rsa
6. cisco(config)# service password-encryption
7. cisco(config)# username user privilege 15 password 7 Pa$$w0rd
8. cisco(config)# aaa new-model
9. cisco(config)# line vty 0 4
10. cisco(config-line)# transport input ssh
11. cisco(config-line)# logging synchronous
12. cisco(config-line)# exec-timeout 60 0
13. cisco(config-line)# exit
14. cisco(config)# exit
15. cisco# copy running-config startup-config


Пояснение:

1. Входим в привилегированный режим
2. Устанавливаем точное время для генерации ключа
3. Входим в режим конфигурирования
4. Указываем имя домена (необходимо для генерации ключа)
5. Генерируем RSA ключ (необходимо будет выбрать размер ключа)
6. Активируем шифрование паролей в конфигурационном файле
7. Заводим пользователя с именем user, паролем Pa$$w0rd и уровнем привилегий 15
8. Активируем протокол ААА. (до активации ААА в системе обязательно должен быть заведен хотя бы один пользователь)
9. Входим в режим конфигурирования терминальных линий с 0 по 4
10. Указываем средой доступа через сеть по умолчанию SSH
11. Активируем автоматическое поднятие строки после ответа системы на проделанные изменения
12. Указываем время таймаута до автоматического закрытия SSH сессии в 60 минут
13. Выходим из режима конфигурирования терминальных линий
14. Выходим из режима конфигурирования
15. Сохраняем конфигурационный файл в энергонезависимую память
–1
41141
55
plastilin 2,5

Комментарии (19)

+1
temujin #
Сейчас ведь и «write mem» можно в 15 сделать, не так ли?
–1
plastilin #
Можно. Но я как то больше к классике.
0
Elektronik #
13 и 14 пункты можно объединить одним словом «end».
0
GeraSera #
Либо Ctrl+z нажать.
0
Phoen #
Спасибо, хорошая памятка.
+4
Inc #
Имхо циски конфигурить нужно не по шпаргалке, а с пониманием…
+1
plastilin #
Согласен. Но бывает всего в голове не удержишь, допустим когда ты не только циски админишь… :)
+1
kegf #
от себя добавлю:
#Блокировка, задержка входа

(config)#login delay 5
(config)#login block-for 60 attempts 3 within 30
#SSH на нестандартном порту

(config)#ip nat inside source static tcp INT_IP 22 interface FastEthernet4 RAND_PORT
0
Fedia #
Ээээ, не понял: кто такой INT_IP?

На кого заходить то будем? Или имеется ввиду вход внутрь сети на некую железку? Надо бы пояснить.
0
plastilin #
Возьму на вооружение.
0
slayerhabr #
а как сделать авторизацию по ключам? (ssh-agent)
–1
plastilin #
Честно говоря не знаю. Может кто из местных гуру подскажет.
0
Fedia #
Я пока не нашёл способа аутентификации по ключам для управленческих сессий. Для IPSEC можно сделать
authen encrypted-nonce

0
GeraSera #
в версии IOS 15.0.1M (ED) добавили авторизацию по ключам.
0
Fedia #
Да, спасибо, мы тут уже нашли/обсудили :)

www.anticisco.ru/forum/viewtopic.php?f=4&t=303
0
Fedia #
Я бы ещё добавил несколько хинтов:
изредка бывает, что ключ… слетает! Проверить наличие своего ключа можно командой
sh cry key mypubkey rsa

Иногда стоит привязка имени ключа к его «телу». При перевыработке ключа имя может остаться (например, defaultkey.domain.ru), а собственно небо поменякется.

Ключи можно вырабатывать не только дефолтовые, но и задавать им метки, чтобы впоследствии вырабатывать по ним сертификаты, например.

Чтобы убить ключи надо дать команду

cry key zeroize rsa [название ключа]

и потом тоже сохраниться

wr
0
Fedia #
Ещё осторожно надо работать с aaa new-model
При включении этой технологии включаются дефолтовые правила аутентификации

aaa authentication login default local

Если при этом не создан юзер вы попадаете в ловушку: невозможно зайти на железку по ssh (да и по консоли тоже)

Имеет смысл правило описать явно и применить на line vty

Еще момент: создавать юзера сразу 15 уровня привилегий значит несколько понижать безопасность. Получается не 2 пароля (ssh и enable) а один
0
plastilin #
Кстати эту команду полчаса искал, когда конфиг надо было от ключа вычистить.
0
Elektronik #
А почему вы предпочитаете создавать пользователя с password, а не с secret?
Опять же, если дается команда
username user privilege 15 password 7 Pa$$w0rd
то подразумевается, что Pa$$w0rd — это уже шифрованный пароль.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.