Aiemmin kirjoitin siitä, kuinka voit ottaa SSH-yhteyden käyttöön Cisco-kytkimessä^{(how you can enable SSH access to your Cisco switch)} ottamalla asetuksen käyttöön GUI - liittymässä. Tämä on hienoa, jos haluat käyttää kytkimen CLI :tä salatun yhteyden kautta, mutta se edellyttää silti vain käyttäjätunnusta ja salasanaa.

Jos käytät tätä kytkintä erittäin herkässä verkossa, jonka on oltava erittäin suojattu, sinun kannattaa harkita julkisen avaimen todennuksen ottamista käyttöön SSH - yhteydellesi. Itse asiassa maksimaalisen turvallisuuden takaamiseksi voit ottaa käyttöön käyttäjänimen/salasanan ja julkisen avaimen todennuksen kytkimeen pääsyä varten.

Tässä artikkelissa näytän sinulle, kuinka julkisen avaimen todennus otetaan käyttöön SG300 Cisco -kytkimessä ja kuinka luodaan julkisen ja yksityisen avainparit puTTYGenin avulla. Näytän sitten, kuinka kirjaudut sisään uusilla avaimilla. Lisäksi näytän sinulle, kuinka voit määrittää sen niin, että voit joko käyttää vain avainta kirjautumiseen tai pakottaa käyttäjän kirjoittamaan käyttäjänimen/salasanan yksityisen avaimen kanssa.

Huomautus: Ennen kuin aloitat tämän opetusohjelman, varmista, että olet jo ottanut SSH-palvelun käyttöön kytkimessä, jonka mainitsin edellisessä linkitetyssä artikkelissani. ^{(Note: Before you get started on this tutorial, make sure you have already enabled the SSH service on the switch, which I mentioned in my previous article linked above. )}

Ota käyttöön SSH - käyttäjätodennus ^{(SSH User Authentication)}julkisella avaimella^{(Public Key)}

Kaiken kaikkiaan prosessi julkisen avaimen todentamiseksi toimimaan SSH :ssa on yksinkertaista. Esimerkissäni näytän sinulle, kuinka ominaisuudet otetaan käyttöön verkkopohjaisen graafisen käyttöliittymän^(GUI) avulla . Yritin käyttää CLI - liitäntää julkisen avaimen todennuksen mahdollistamiseen, mutta se ei hyväksynyt yksityisen RSA -avaimeni muotoa .

Kun saan sen toimimaan, päivitän tämän viestin CLI - komennoilla, jotka suorittavat sen, mitä teemme GUI :n kautta tällä hetkellä. Napsauta ensin Security ^(First),^(Security) sitten SSH Server ja lopuksi SSH User Authentication .

Siirry oikeanpuoleisessa ruudussa eteenpäin ja valitse Ota käyttöön -valintaruutu SSH-käyttäjän todennus julkisella avaimella -kohdan vieressä^{( Enable box next to SSH User Authentication by Public Key)} . Napsauta Käytä^(Apply) - painiketta tallentaaksesi muutokset. Älä^(Don) vielä valitse Ota käyttöön -painiketta kohdan ^(Enable)Automaattinen kirjautuminen^{(Automatic login)} vieressä, sillä selitän sen alempana.

Nyt meidän on lisättävä SSH - käyttäjänimi. Ennen kuin aloitamme käyttäjän lisäämisen, meidän on ensin luotava julkinen ja yksityinen avain. Tässä esimerkissä käytämme puTTYGeniä, joka on puTTY:n mukana tuleva ohjelma.

Luo yksityisiä ja julkisia avaimia

Luo avaimet avaamalla ensin puTTYGen. Näet tyhjän näytön, eikä sinun todellakaan tarvitse muuttaa mitään asetuksia alla olevista oletusasetuksista.

Napsauta Luo^(Generate) - painiketta ja liikuta sitten hiirtä tyhjällä alueella, kunnes edistymispalkki kulkee kokonaan poikki.

Kun avaimet on luotu, sinun on kirjoitettava tunnuslause, joka on periaatteessa kuin salasana avaimen lukituksen avaamiseksi.

On hyvä idea käyttää pitkää tunnuslausetta avaimen suojaamiseksi raa'an voiman hyökkäyksiltä. Kun olet kirjoittanut tunnuslauseen kahdesti, napsauta Tallenna julkinen avain^{(Save public key)} ja Tallenna yksityinen avain^{(Save private key)} -painikkeita. Varmista, että nämä tiedostot on tallennettu turvalliseen paikkaan, mieluiten jonkinlaiseen salattuun säiliöön, jonka avaaminen vaatii salasanan. Katso viestini VeraCryptin käyttämisestä salatun taltion luomiseen^{(VeraCrypt to create an encrypted volume)} .

Lisää käyttäjä ja avain

Nyt takaisin  SSH User Authentication -näyttöön, jossa olimme aiemmin. Täältä voit valita kahdesta eri vaihtoehdosta. Siirry ensin kohtaan Hallinta^{(Administration)} – Käyttäjätilit^{( User Accounts)} nähdäksesi, mitä tilejä sinulla on tällä hetkellä kirjautumista varten.

Kuten näet, minulla on yksi tili nimeltä akishore kytkimeeni pääsyä varten. Tällä hetkellä^(Currently) voin käyttää tätä tiliä verkkopohjaiseen graafiseen käyttöliittymään^(GUI) ja CLI :hen . Takaisin ^(Back)SSH User Authentication -sivulle käyttäjä , joka sinun on lisättävä SSH- käyttäjien todennustaulukkoon (julkisella avaimella),^{(SSH User Authentication Table (by Public Key))}  voi olla joko sama kuin se, joka sinulla on kohdassa Hallinta – Käyttäjätilit^{(Administration – User Accounts)} tai eri.

Jos valitset saman käyttäjänimen, voit tarkistaa Automaattinen sisäänkirjautuminen -kohdan ^{(Automatic Login)}Ota käyttöön^(Enable) -painikkeen ja kun menet kirjautuessasi kytkimeen, sinun tarvitsee vain kirjoittaa yksityisen avaimen käyttäjätunnus ja salasana ja kirjaudut sisään. .

Jos päätät valita täällä toisen käyttäjänimen, saat kehotteen, jossa sinun on syötettävä SSH - yksityisen avaimen käyttäjätunnus ja salasana ja sitten tavallinen käyttäjätunnuksesi ja salasanasi (jotka on lueteltu kohdassa Admin - User Accounts ) . . Jos haluat lisäturvaa, käytä toista käyttäjätunnusta, muuten nimeä se samaksi kuin nykyinen.

Napsauta ^(Click)Lisää^(Add) - painiketta, niin saat Lisää SSH-käyttäjä^{(Add SSH User)} -ikkunan.

Varmista, että avaintyypiksi^{(Key Type)} on asetettu RSA , ja avaa sitten julkinen SSH - avaintiedosto, jonka olet tallentanut aiemmin käyttämällä ohjelmaa, kuten Notepad . Kopioi koko sisältö ja liitä se julkisen avaimen^{(Public Key)} ikkunaan. Napsauta Käytä^(Apply) ja napsauta sitten Sulje^(Close) , jos näet onnistumisviestin^(Success) yläreunassa.

Kirjaudu sisään käyttämällä yksityistä avainta

Nyt meidän tarvitsee vain kirjautua sisään yksityisellä avaimellamme ja salasanallamme. Tässä vaiheessa, kun yrität kirjautua sisään, sinun on syötettävä kirjautumistiedot kahdesti: kerran yksityiselle avaimelle ja kerran normaalille käyttäjätilille. Kun automaattinen sisäänkirjautuminen on käytössä, sinun tarvitsee vain kirjoittaa yksityisen avaimen käyttäjätunnus ja salasana, niin pääset sisään.

Avaa puTTY ja kirjoita kytkimesi IP-osoite Host Name -ruutuun tavalliseen tapaan. Tällä kertaa meidän on kuitenkin ladattava yksityinen avain myös puTTY:hen. Voit tehdä tämän laajentamalla Yhteys^(Connection) , laajentamalla sitten SSH :n ja napsauttamalla Auth .

Napsauta Selaa^(Browse) - painiketta kohdassa Yksityinen avaintiedosto todennusta varten^{(Private key file for authentication)} ja valitse yksityisen avaimen tiedosto, jonka tallensit aiemmin puTTY:stä. Napsauta nyt Avaa^(Open) - painiketta muodostaaksesi yhteyden.

Ensimmäinen kehote on kirjaudu sisään nimellä^{(login as)} , ja sen pitäisi olla SSH -käyttäjien kohdalle lisäämäsi käyttäjänimi. Jos käytit samaa käyttäjätunnusta kuin pääkäyttäjätilisi, sillä ei ole väliä.

Minun tapauksessani käytin akishorea molemmille käyttäjätileille, mutta käytin eri salasanoja yksityiselle avaimelle ja pääkäyttäjätililleni. Halutessasi voit tehdä myös salasanat samoiksi, mutta sitä ei todellakaan kannata tehdä, varsinkin jos otat automaattisen sisäänkirjautumisen käyttöön.

Jos nyt et halua kirjautua sisään kaksinkertaisesti päästäksesi kytkimeen, valitse Ota käyttöön -valintaruutu ^(Enable)Automaattinen kirjautuminen^{( Automatic login)} -kohdan vieressä SSH-käyttäjän todennussivulla^{(SSH User Authentication)} .

Kun tämä on käytössä, sinun tarvitsee vain kirjoittaa SSH - käyttäjän tunnistetiedot ja kirjaudut sisään.

Se on hieman monimutkainen, mutta järkevää, kun pelaat sen kanssa. Kuten aiemmin mainitsin, kirjoitan myös CLI - komennot, kun saan yksityisen avaimen oikeassa muodossa. Tässä olevien ohjeiden mukaisesti kytkimeen pääsyn SSH :n kautta pitäisi olla nyt paljon turvallisempaa. Jos kohtaat ongelmia tai sinulla on kysyttävää, kirjoita kommentteihin. Nauttia!

Enable Public Key Authentication for SSH on Cisco SG300 Switches

Previouѕly, I wrote about how you can enable SSH access to your Cisco switch by enabling the setting in the GUI interface. This is great if you want to access your switch CLI over an encrypted connection, but it still relies on just a username and password.

If you are using this switch in a highly sensitive network that needs to be very secure, then you might want to consider enabling public key authentication for your SSH connection. Actually, for maximum security, you can enable a username/password and public key authentication for access to your switch.

In this article, I’ll show you how to enable public key authentication on an SG300 Cisco switch and how to generate the public and private key pairs using puTTYGen. I’ll then show you how to login using the new keys. In addition, I’ll show you how to configure it so that you can either use just the key to login or force the user to type in a username/password along with using the private key.

Note: Before you get started on this tutorial, make sure you have already enabled the SSH service on the switch, which I mentioned in my previous article linked above. 

Enable SSH User Authentication by Public Key

Overall, the process for getting public key authentication to work for SSH is straightforward. In my example, I’ll show you how to enable the features using the web-based GUI. I tried to use the CLI interface to enable public key authentication, but it would not accept the format for my private RSA key.

Once I get that working, I’ll update this post with the CLI commands that will accomplish what we will do through the GUI for now. First, click on Security, then SSH Server and finally SSH User Authentication.

In the right-hand pane, go ahead and check the Enable box next to SSH User Authentication by Public Key. Click the Apply button to save the changes. Don’t check the Enable button next to Automatic login just yet as I’ll explain that further down.

Now we have to add a SSH user name. Before we get into adding the user, we first have to generate a public and private key. In this example, we’ll be using puTTYGen, which is a program that comes with puTTY.

Generate Private and Public Keys

To generate the keys, go ahead and open puTTYGen first. You’ll see a blank screen and you really shouldn’t have to change any of the settings from the defaults shown below.

Click on the Generate button and then move your mouse around the blank area until the progress bar go all the way across.

Once the keys have been generated, you need to type in a passphrase, which is basically like a password to unlock the key.

It’s a good idea to use a long passphrase to protect the key from brute-force attacks. Once you have typed in the passphrase twice, you should click the Save public key and Save private key buttons. Make sure these files are saved in a secure location, preferably in an encrypted container of some sort that requires a password to open. Check out my post on using VeraCrypt to create an encrypted volume.

Add User & Key

Now back to the SSH User Authentication screen we were on earlier. Here’s where you can choose from two different options. Firstly, go to Administration – User Accounts to see what accounts you currently have for login.

As you can see, I have one account called akishore for accessing my switch. Currently, I can use this account to access the web-based GUI and the CLI. Back on the SSH User Authentication page, the user you need to add to the SSH User Authentication Table (by Public Key) can either be the same as what you have under Administration – User Accounts or different.

If you choose the same user name, then you can check the Enable button under Automatic Login and when you go to log into the switch, you’ll simply have to type the username and password for the private key and you’ll be logged in.

If you decide to choose a different username here, then you will get a prompt where you have to enter the SSH private key user name and password and then you’ll have to enter your normal username and password (listed under Admin – User Accounts). If you want the extra security, use a different username, otherwise just name it the same as your current one.

Click the Add button and you’ll get the Add SSH User window pop up.

Make sure the Key Type is set to RSA and then go ahead and open your public SSH key file that you saved earlier using a program like Notepad. Copy the entire contents and paste it into the Public Key window. Click Apply and then click Close if you get a Success message at the top.

Login Using Private Key

Now all we have to do is login using our private key and password. At this point, when you try to login, you’ll need to enter login credentials twice: once for the private key and once for the normal user account. Once we enable automatic login, you’ll just have to enter the username and password for the private key and you’ll be in.

Open puTTY and enter in the IP address of your switch in the Host Name box as usual. However, this time, we’ll need to load up the private key into puTTY also. To do this, expand Connection, then expand SSH and then click on Auth.

Click on the Browse button under Private key file for authentication and select the private key file you saved out of puTTY earlier. Now click the Open button to connect.

The first prompt will be login as and that should be the username you added under SSH users. If you used the same username as your main user account, then it won’t matter.

In my case, I used akishore for both user accounts, but I used different passwords for the private key and for my main user account. If you like, you can make the passwords the same too, but there’s no point in really doing that, especially if you enable automatic login.

Now if you don’t want to have to double login to get into the switch, check the Enable box next to Automatic login on the SSH User Authentication page.

When this is enabled, you’ll now just have to type in the credentials for the SSH user and you’ll be logged in.

It’s a bit complicated, but makes sense once you play around with it. Like I mentioned earlier, I’ll also write out the CLI commands once I can get the private key in the proper format. Following the instructions here, accessing your switch via SSH should be a lot more secure now. If you run into problems or have questions, post in the comments. Enjoy!

Related posts

• SSH-käytön ottaminen käyttöön Cisco SG300 -kytkimille

• Kuinka poistaa Windows-avain käytöstä

• SSH:n tai SFTP:n lisääminen Raspberry Pi:hen

• Kuinka ottaa Steam Guard -todennus käyttöön

• Hae langattoman verkon suojausavain Windowsissa

• Kuinka korjata "Google Play -todennus vaaditaan" -virhe Androidissa

• Poista välittömästi taustat kuvista tekoälyn avulla

• Kuinka digitoida DVD

• Kuinka rakentaa oma kannettava tietokone

• DDS-tiedostojen avaaminen Windows 10:ssä

• 7 teknistä SEO-optimointivinkkiä mille tahansa verkkosivustolle

• Poista käyttäjätilien valvonta (UAC) käytöstä tietylle sovellukselle

• Kuinka palauttaa hakkeroitu Facebook-tili

• Kuinka luoda SSH-avaimia Windowsissa, Macissa ja Linuxissa

• Kuinka päivittää Raspberry Pi

• Käytä Netstatia nähdäksesi kuunteluportit ja PID Windowsissa

• Kuinka tehdä täytettävä Google Docs -lomake taulukoilla

• Chromebookin käyttäminen toisena näytönä

• Perussivujen määrittäminen Adobe InDesign CC:ssä

• Kuinka ladata video mistä tahansa verkkosivustosta