Пользователь
0,0
рейтинг
28 августа 2009 в 20:23

Администрирование → Настройка SSH в Cisco

image

Задача:

Настроить SSH в Cisco. Сделать SSH средой по умолчанию для терминальных линий.

Решение:

1. cisco> enable
2. cisco# clock set 17:10:00 28 Aug 2009
3. cisco# configure terminal
4. cisco(config)# ip domain name test.dom
5. cisco(config)# crypto key generate rsa
6. cisco(config)# service password-encryption
7. cisco(config)# username user privilege 15 password 7 Pa$$w0rd
8. cisco(config)# aaa new-model
9. cisco(config)# line vty 0 4
10. cisco(config-line)# transport input ssh
11. cisco(config-line)# logging synchronous
12. cisco(config-line)# exec-timeout 60 0
13. cisco(config-line)# exit
14. cisco(config)# exit
15. cisco# copy running-config startup-config


Пояснение:

1. Входим в привилегированный режим
2. Устанавливаем точное время для генерации ключа
3. Входим в режим конфигурирования
4. Указываем имя домена (необходимо для генерации ключа)
5. Генерируем RSA ключ (необходимо будет выбрать размер ключа)
6. Активируем шифрование паролей в конфигурационном файле
7. Заводим пользователя с именем user, паролем Pa$$w0rd и уровнем привилегий 15
8. Активируем протокол ААА. (до активации ААА в системе обязательно должен быть заведен хотя бы один пользователь)
9. Входим в режим конфигурирования терминальных линий с 0 по 4
10. Указываем средой доступа через сеть по умолчанию SSH
11. Активируем автоматическое поднятие строки после ответа системы на проделанные изменения
12. Указываем время таймаута до автоматического закрытия SSH сессии в 60 минут
13. Выходим из режима конфигурирования терминальных линий
14. Выходим из режима конфигурирования
15. Сохраняем конфигурационный файл в энергонезависимую память
Алексей @plastilin
карма
5,0
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Администрирование

Комментарии (19)

  • +1
    Сейчас ведь и «write mem» можно в 15 сделать, не так ли?
    • –1
      Можно. Но я как то больше к классике.
    • 0
      13 и 14 пункты можно объединить одним словом «end».
      • 0
        Либо Ctrl+z нажать.
  • 0
    Спасибо, хорошая памятка.
  • +4
    Имхо циски конфигурить нужно не по шпаргалке, а с пониманием…
    • +1
      Согласен. Но бывает всего в голове не удержишь, допустим когда ты не только циски админишь… :)
  • +1
    от себя добавлю:
    #Блокировка, задержка входа

    (config)#login delay 5
    (config)#login block-for 60 attempts 3 within 30
    #SSH на нестандартном порту

    (config)#ip nat inside source static tcp INT_IP 22 interface FastEthernet4 RAND_PORT
    • 0
      Ээээ, не понял: кто такой INT_IP?

      На кого заходить то будем? Или имеется ввиду вход внутрь сети на некую железку? Надо бы пояснить.
  • 0
    Возьму на вооружение.
  • 0
    а как сделать авторизацию по ключам? (ssh-agent)
  • –1
    Честно говоря не знаю. Может кто из местных гуру подскажет.
    • 0
      Я пока не нашёл способа аутентификации по ключам для управленческих сессий. Для IPSEC можно сделать
      authen encrypted-nonce

      • 0
        в версии IOS 15.0.1M (ED) добавили авторизацию по ключам.
  • 0
    Я бы ещё добавил несколько хинтов:
    изредка бывает, что ключ… слетает! Проверить наличие своего ключа можно командой
    sh cry key mypubkey rsa

    Иногда стоит привязка имени ключа к его «телу». При перевыработке ключа имя может остаться (например, defaultkey.domain.ru), а собственно небо поменякется.

    Ключи можно вырабатывать не только дефолтовые, но и задавать им метки, чтобы впоследствии вырабатывать по ним сертификаты, например.

    Чтобы убить ключи надо дать команду

    cry key zeroize rsa [название ключа]

    и потом тоже сохраниться

    wr
    • 0
      Ещё осторожно надо работать с aaa new-model
      При включении этой технологии включаются дефолтовые правила аутентификации

      aaa authentication login default local

      Если при этом не создан юзер вы попадаете в ловушку: невозможно зайти на железку по ssh (да и по консоли тоже)

      Имеет смысл правило описать явно и применить на line vty

      Еще момент: создавать юзера сразу 15 уровня привилегий значит несколько понижать безопасность. Получается не 2 пароля (ssh и enable) а один
    • 0
      Кстати эту команду полчаса искал, когда конфиг надо было от ключа вычистить.
  • 0
    А почему вы предпочитаете создавать пользователя с password, а не с secret?
    Опять же, если дается команда
    username user privilege 15 password 7 Pa$$w0rd
    то подразумевается, что Pa$$w0rd — это уже шифрованный пароль.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.