Trước đây, tôi đã viết về cách bạn có thể bật quyền truy cập SSH vào công tắc Cisco của bạn bằng cách bật cài đặt trong giao diện GUI. Điều này thật tuyệt nếu bạn muốn truy cập CLI chuyển qua kết nối được mã hóa, nhưng nó vẫn chỉ dựa vào tên người dùng và mật khẩu.
Nếu bạn đang sử dụng chuyển đổi này trong một mạng có độ nhạy cao cần phải rất bảo mật, sau đó bạn có thể muốn cân nhắc bật xác thực khóa công khai cho kết nối SSH của mình. Trên thực tế, để bảo mật tối đa, bạn có thể bật tên người dùng / mật khẩu và xác thực khoá công khai để truy cập vào công tắc của bạn.
Trong bài viết này, tôi sẽ chỉ cho bạn cách bật xác thực khóa công khai trên bộ chuyển đổi SG300 Cisco và cách tạo cặp khóa công khai và riêng tư bằng cách sử dụng puTTYGen. Sau đó tôi sẽ chỉ cho bạn cách đăng nhập bằng cách sử dụng các phím mới. Ngoài ra, tôi sẽ chỉ cho bạn cách cấu hình để bạn có thể chỉ sử dụng khóa để đăng nhập hoặc buộc người dùng nhập tên người dùng / mật khẩu cùng với sử dụng khóa riêng.
Lưu ý: Trước khi bạn bắt đầu hướng dẫn này, hãy đảm bảo bạn đã bật dịch vụ SSH trên nút chuyển đổi mà tôi đã đề cập trong bài viết trước của tôi được liên kết ở trên.
Cho phép xác thực người dùng SSH bằng khóa công khai
Nói chung, quá trình xác thực khóa công khai hoạt động cho SSH rất đơn giản. Trong ví dụ của tôi, tôi sẽ chỉ cho bạn cách bật các tính năng bằng GUI dựa trên web. Tôi đã cố gắng sử dụng giao diện CLI để cho phép xác thực khóa công khai, nhưng nó sẽ không chấp nhận định dạng cho khóa RSA riêng của tôi.
Một khi tôi làm việc đó, tôi sẽ cập nhật bài đăng này bằng các lệnh CLI sẽ thực hiện những gì chúng ta sẽ thực hiện thông qua GUI. Trước tiên, nhấp vào Bảo mật, sau đó Máy chủ SSHvà cuối cùng Xác thực người dùng SSH.
Trong ngăn bên tay phải, hãy tiếp tục và chọn Bật hộp bên cạnh Xác thực người dùng SSH bằng khóa công khai. Nhấp vào nút Áp dụngđể lưu thay đổi. Không kiểm tra nút Bậtbên cạnh Đăng nhập tự độngngay khi tôi giải thích thêm.
Bây giờ, chúng tôi phải thêm SSH tên người dùng. Trước khi bắt đầu thêm người dùng, trước tiên chúng tôi phải tạo khóa công khai và riêng tư. Trong ví dụ này, chúng tôi sẽ sử dụng puTTYGen, một chương trình đi kèm với puTTY.
Tạo khóa riêng và khóa công khai
Để tạo khóa, hãy tiếp tục và mở puTTYGen trước . Bạn sẽ thấy một màn hình trống và bạn thực sự không cần phải thay đổi bất kỳ cài đặt nào từ các cài đặt mặc định được hiển thị bên dưới.
Nhấp vào nút Tạovà sau đó di chuyển chuột của bạn xung quanh vùng trống cho đến khi thanh tiến trình chuyển sang toàn bộ.
Khi các khóa đã được tạo, bạn cần nhập mật khẩu, về cơ bản giống như mật khẩu để mở khoá.
Đó là một ý tưởng tốt để sử dụng cụm từ mật khẩu dài để bảo vệ khóa khỏi các cuộc tấn công bạo lực. Khi bạn đã nhập cụm mật khẩu hai lần, bạn nên nhấp vào nút Lưu khóa công khaivà Lưu khóa cá nhân. Đảm bảo các tệp này được lưu ở vị trí an toàn, tốt nhất là trong vùng chứa được mã hóa thuộc loại nào đó yêu cầu mật khẩu mở. Hãy xem bài đăng của tôi về cách sử dụng VeraCrypt để tạo ra một khối lượng được mã hóa.
Thêm người dùng & amp; Khóa
Bây giờ, hãy quay lại màn hình Xác thực người dùng SSHmà chúng tôi đã thực hiện trước đó. Đây là nơi bạn có thể chọn từ hai tùy chọn khác nhau. Trước tiên, hãy truy cập Quản trị- Tài khoản người dùngđể xem bạn hiện có tài khoản nào để đăng nhập.
Như bạn thấy, tôi có một tài khoản được gọi là akishore để truy cập vào công tắc của tôi. Hiện tại, tôi có thể sử dụng tài khoản này để truy cập GUI dựa trên web và CLI. Quay lại trang Xác thực người dùng SSH, người dùng bạn cần thêm vào Bảng xác thực người dùng SSH (bằng Khóa công khai)có thể giống với những gì bạn có trong
Nếu bạn chọn cùng một tên người dùng, bạn có thể kiểm tra nút Bậttrong Đăng nhập tự độngvà khi bạn đăng nhập vào nút chuyển, bạn chỉ cần nhập tên người dùng và mật khẩu cho khóa cá nhân và bạn sẽ được đăng nhập.
Nếu bạn quyết định chọn tên người dùng khác tại đây, bạn sẽ nhận được lời nhắc, nơi bạn phải nhập tên người dùng và mật khẩu SSH riêng và sau đó bạn sẽ phải nhập tên người dùng và mật khẩu thông thường của mình (được liệt kê trong Quản trị - Tài khoản người dùng). Nếu bạn muốn bảo mật thêm, hãy sử dụng tên người dùng khác, nếu không chỉ cần đặt tên giống với tên người dùng hiện tại của bạn.
Nhấp vào nút Thêm và bạn sẽ nhận được Thêm người dùng SSHcửa sổ bật lên.
Đảm bảo Loại khóađược đặt thành RSA và sau đó tiếp tục và mở công khai của bạn Tệp khóa SSH mà bạn đã lưu trước đó bằng một chương trình như Notepad. Sao chép toàn bộ nội dung và dán vào cửa sổ Khóa công khai. Nhấp vào Áp dụngvà sau đó nhấp vào Đóngnếu bạn nhận được thông báo Thành côngở trên cùng.
Đăng nhập bằng khóa cá nhân
Bây giờ tất cả những gì chúng ta phải làm là đăng nhập bằng khóa và mật khẩu riêng của chúng tôi. Tại thời điểm này, khi bạn cố gắng đăng nhập, bạn cần phải nhập thông tin xác thực đăng nhập hai lần: một lần cho khóa cá nhân và một lần cho tài khoản người dùng thông thường. Khi chúng tôi bật đăng nhập tự động, bạn sẽ chỉ phải nhập tên người dùng và mật khẩu cho khóa cá nhân và bạn sẽ tham gia.
Mở puTTY và nhập địa chỉ IP của công tắc của bạn vào Tên máy chủ lưu trữnhư thường lệ. Tuy nhiên, lần này, chúng tôi cũng sẽ cần phải tải khóa cá nhân vào puTTY. Để thực hiện việc này, hãy mở rộng Kết nối, sau đó mở rộng SSHrồi nhấp vào Xác thực.
Nhấp vào nút Duyệttrong Tệp khóa cá nhân để xác thựcvà chọn tệp khóa cá nhân mà bạn đã lưu trong puTTY trước đó. Giờ hãy nhấp vào nút Mởđể kết nối.
Dấu nhắc đầu tiên sẽ là đăng nhập làvà đó phải là tên người dùng bạn đã thêm trong người dùng SSH. Nếu bạn đã sử dụng cùng một tên người dùng làm tài khoản người dùng chính của mình thì sẽ không thành vấn đề.
Trong trường hợp của tôi, tôi đã sử dụng tài khoản người dùng cho cả hai tài khoản người dùng, nhưng tôi đã sử dụng các mật khẩu khác nhau cho khóa cá nhân và cho tài khoản người dùng chính của mình. Nếu bạn thích, bạn có thể làm cho các mật khẩu giống nhau, nhưng không có điểm trong thực sự làm điều đó, đặc biệt là nếu bạn cho phép đăng nhập tự động.
Bây giờ nếu bạn không muốn phải đăng nhập gấp đôi để có được vào nút chuyển, chọn hộp Bậtbên cạnh Đăng nhập tự độngtrên trang Xác thực người dùng SSH.
Khi điều này được kích hoạt, bạn sẽ chỉ cần nhập thông tin đăng nhập cho người dùng SSH và bạn sẽ được đăng nhập.
Hơi phức tạp một chút, nhưng có ý nghĩa khi bạn chơi với nó. Như tôi đã đề cập trước đó, tôi cũng sẽ viết ra các lệnh CLI khi tôi có thể lấy khóa riêng ở định dạng thích hợp. Theo các hướng dẫn ở đây, việc truy cập vào chuyển đổi của bạn qua SSH sẽ an toàn hơn rất nhiều ngay bây giờ. Nếu bạn gặp sự cố hoặc có câu hỏi, hãy đăng trong nhận xét. Hãy tận hưởng!