Настройка SSH в Cisco

    image

    Задача:

    Настроить SSH в Cisco. Сделать SSH средой по умолчанию для терминальных линий.

    Решение:

    1. cisco> enable
    2. cisco# clock set 17:10:00 28 Aug 2009
    3. cisco# configure terminal
    4. cisco(config)# ip domain name test.dom
    5. cisco(config)# crypto key generate rsa
    6. cisco(config)# service password-encryption
    7. cisco(config)# username user privilege 15 password 7 Pa$$w0rd
    8. cisco(config)# aaa new-model
    9. cisco(config)# line vty 0 4
    10. cisco(config-line)# transport input ssh
    11. cisco(config-line)# logging synchronous
    12. cisco(config-line)# exec-timeout 60 0
    13. cisco(config-line)# exit
    14. cisco(config)# exit
    15. cisco# copy running-config startup-config


    Пояснение:

    1. Входим в привилегированный режим
    2. Устанавливаем точное время для генерации ключа
    3. Входим в режим конфигурирования
    4. Указываем имя домена (необходимо для генерации ключа)
    5. Генерируем RSA ключ (необходимо будет выбрать размер ключа)
    6. Активируем шифрование паролей в конфигурационном файле
    7. Заводим пользователя с именем user, паролем Pa$$w0rd и уровнем привилегий 15
    8. Активируем протокол ААА. (до активации ААА в системе обязательно должен быть заведен хотя бы один пользователь)
    9. Входим в режим конфигурирования терминальных линий с 0 по 4
    10. Указываем средой доступа через сеть по умолчанию SSH
    11. Активируем автоматическое поднятие строки после ответа системы на проделанные изменения
    12. Указываем время таймаута до автоматического закрытия SSH сессии в 60 минут
    13. Выходим из режима конфигурирования терминальных линий
    14. Выходим из режима конфигурирования
    15. Сохраняем конфигурационный файл в энергонезависимую память
    Метки:
    Поделиться публикацией
    Реклама помогает поддерживать и развивать наши сервисы

    Подробнее
    Реклама
    Комментарии 19
    • +1
      Сейчас ведь и «write mem» можно в 15 сделать, не так ли?
      • –1
        Можно. Но я как то больше к классике.
        • 0
          13 и 14 пункты можно объединить одним словом «end».
      • 0
        Спасибо, хорошая памятка.
        • +4
          Имхо циски конфигурить нужно не по шпаргалке, а с пониманием…
          • +1
            Согласен. Но бывает всего в голове не удержишь, допустим когда ты не только циски админишь… :)
          • +1
            от себя добавлю:
            #Блокировка, задержка входа

            (config)#login delay 5
            (config)#login block-for 60 attempts 3 within 30
            #SSH на нестандартном порту

            (config)#ip nat inside source static tcp INT_IP 22 interface FastEthernet4 RAND_PORT
            • 0
              Ээээ, не понял: кто такой INT_IP?

              На кого заходить то будем? Или имеется ввиду вход внутрь сети на некую железку? Надо бы пояснить.
            • 0
              Возьму на вооружение.
              • 0
                а как сделать авторизацию по ключам? (ssh-agent)
                • –1
                  Честно говоря не знаю. Может кто из местных гуру подскажет.
                  • 0
                    Я пока не нашёл способа аутентификации по ключам для управленческих сессий. Для IPSEC можно сделать
                    authen encrypted-nonce

                • 0
                  Я бы ещё добавил несколько хинтов:
                  изредка бывает, что ключ… слетает! Проверить наличие своего ключа можно командой
                  sh cry key mypubkey rsa

                  Иногда стоит привязка имени ключа к его «телу». При перевыработке ключа имя может остаться (например, defaultkey.domain.ru), а собственно небо поменякется.

                  Ключи можно вырабатывать не только дефолтовые, но и задавать им метки, чтобы впоследствии вырабатывать по ним сертификаты, например.

                  Чтобы убить ключи надо дать команду

                  cry key zeroize rsa [название ключа]

                  и потом тоже сохраниться

                  wr
                  • 0
                    Ещё осторожно надо работать с aaa new-model
                    При включении этой технологии включаются дефолтовые правила аутентификации

                    aaa authentication login default local

                    Если при этом не создан юзер вы попадаете в ловушку: невозможно зайти на железку по ssh (да и по консоли тоже)

                    Имеет смысл правило описать явно и применить на line vty

                    Еще момент: создавать юзера сразу 15 уровня привилегий значит несколько понижать безопасность. Получается не 2 пароля (ssh и enable) а один
                    • 0
                      Кстати эту команду полчаса искал, когда конфиг надо было от ключа вычистить.
                    • 0
                      А почему вы предпочитаете создавать пользователя с password, а не с secret?
                      Опять же, если дается команда
                      username user privilege 15 password 7 Pa$$w0rd
                      то подразумевается, что Pa$$w0rd — это уже шифрованный пароль.

                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.