ensp-配置STelnet登录系统(第五天)
配置STelnet登录系统
检查路由器是否相互通
配置SSH Server
Telnet协议明文传输,SSH协议支持报文加密传输,
跨越互联网的远程登录,建议使用ssh协议
在R2上生成本地RSA主机秘钥
[R2]rsa local-key-pair create
The key name will be: Host
% RSA keys defined for Host already exist.
Confirm to replace them? (y/n)[n]:y
The range of public key size is (512 ~ 2048).
NOTES: If the key modulus is greater than 512,
It will take a few minutes.
Input the bits in the modulus[default = 512]:huawei // 密码:huawei
% Invalid number, the range is (512 ~ 2048).
查看本地秘钥对中的公钥部分信息
[R2]display rsa local-key-pair public
============================
Time of Key pair created: 2007-08-25 16:35:02-08:00
Key name: Host
Key type: RSA encryption Key
Key code: 3047 0240 C974420D DD712C58 36A67819 362FEB9C 9C17E326 24101B32 C272F9C9 E3CD06EB C2C73F7C BC89A0E0 994995EF 7885F359 57B25237 3D441556 A050F823 6087E121 0203 010001
Time of Key pair created: 2007-08-25 17:11:59-08:00 Key name: Server Key type: RSA encryption Key
Key code:
3067
0260
Time of Key pair created //公钥生成时间
Key name //公钥的名字
Key type //公钥的类型
进去VTY用户界面,设置用户验证方式为AAA授权验证方式
[R2]user-interface vty 0 4
[R2-ui-vty0-4]authentication-mode aaa
[R2-ui-vty0-4]protocol inbound ssh
创建本地用户和用户口令为 huawei1
[R2]aaa
[R2-aaa]local-user huawei1 password cipher huawei1
Info: Add a new user.
配置本地用户接入类型为SSH
[R2-aaa]local-user huawei1 service-type ssh
新建SSH用户,用户名huawei1,指定认证方式password,和密码验证方式
[R2]ssh user huawei1 authentication-type password
Authentication type setted, and will be in effect next time
还可以继续配置本地用户的优先级0~15 默认为3
[R2-aaa]local-user huawei1 privilege level 3
默认SSH服务器功能是关闭的,需要开启SSH服务R1才能连接
[R2]stelnet server enable
The STELNET server is already started.
配置完成后,在SSH服务器端查看SSH用户配置信息
不在末尾指定SSH用户,可以查看SSH服务器端所有的SSH用户信息
[R2]display ssh user-information huawei1
Username Auth-type User-public-key-name
huawei1 password null
[R2]
查看SSH服务器全局配置信息 // Stelnet server 服务器为启动状态
[R2]display ssh server status
SSH version :1.99
SSH connection timeout :60 seconds
SSH server key generating interval :0 hours
SSH Authentication retries :3 times
SFTP Server :Disable
Stelnet server :Enable
配置SSH Client 第一次登陆需要开启SSH用户端首次认证功能,不对SSH服务器的1RSA公钥进行有效检验
[R1]ssh client first-time enable 在SSH用户端连接sSSH服务器 //用户和密码设置的均为 huawei1
[R1]stelnet 10.1.1.2 Please input the username:huawei1 //用户 Trying 10.1.1.2 … Press CTRL+K to abort Connected to 10.1.1.2 … Enter password: //密码
User last login information:
Access Type: SSH IP-Address : 10.1.1.1 ssh Time : 2020-07-05 19:45:22-08:00
查看SSH服务器端当前会话连接信息
[R2]display ssh server session
Conn Ver Encry State Auth-type Username
VTY 0 2.0 AES run password huawei1
可观察到用户huawei1通过VTY线路0远程登录上来,用户端可进行各种配置
quit 退出
配置SFTP Server 和 Client
进入aaa视图创建用户名和密码
[R2]aaa
[R2-aaa]local-user huawei2 password cipher huawei2 //配置优先级
[R2-aaa]local-user huawei2 privilege level 3 //指定FTP用户可访问目录,默认为空,不配置FTP用户将无法登陆
[R2-aaa]local-user huawei2 ftp-directory flash: //新建SSH用户,验证方式为password 即密码认证方式
[R2]ssh user huawei2 authentication-type password
Authentication type setted, and will be in effect next time
开启SFTP服务器功能
[R2]sftp server enable
The SFTP server is already started.
查看SSH服务器配置信息
[R2]display ssh server status
SSH version :1.99
SSH connection timeout :60 seconds
SSH server key generating interval :0 hours
SSH Authentication retries :3 times
SFTP Server :Enable
Stelnet server :Enable
此时看见SFTP服务已开启
R1登录sftp
[R1]sftp 10.1.1.2
Please input the username:huawei2
Trying 10.1.1.2 ...
Press CTRL+K to abort
Enter password:
sftp-client>
查看登录信息
[R2]display ssh server session
Conn Ver Encry State Auth-type Username
VTY 0 2.0 AES run password huawei2
开启SSH用户端首次认证功能有什么缺陷?
1、开启SSH客户端首次认证功能时,不对SSH服务器的RSA公钥进行有效性检查。
2、当客户端主机需要与服务器建立连接时,第三方攻击者冒充真正的服务器,与客户端进行数据交互,窃取客户端主机的安全信息,并利用这些信息去登录真正的服务器,获取服务器资源,或对服务器进行攻击。
如果不开启此功能如何在用户端远程登录?
如果不开启,可用拷贝粘贴方式将服务器上RSA公钥配置到客户端保存
rsa peer-public-key 13.1.1.1
public-key-code begin
3047
0240
C31DBF37 400783C1 E2BB3075 8927DFB6 AAB9B2CE F0039875 F6450CDE A42AA5A8
E51AED28 122CF103 69AF53E1 3701183F 0F704B14 8EF19C0F 7A2272D0 01AB9CD7
0203
010001
public-key-code end
peer-public-key end
ssh client 13.1.1.1 assign rsa-key 13.1.1.1
每天坚持更新的一个小忘忧
群里有资料
需要加qq2640270867
拉你们进群,资源丰富哦
转载请注明出处