Trước đây, tôi đã viết về cách bạn có thể bật quyền truy cập SSH vào bộ chuyển mạch Cisco của mình bằng cách bật cài đặt trong giao diện GUI. Điều này thật tuyệt nếu bạn muốn truy cập CLI chuyển đổi của mình qua một kết nối được mã hóa, nhưng nó vẫn chỉ dựa vào tên người dùng và mật khẩu.
Nếu bạn đang sử dụng công tắc này trong một mạng có độ nhạy cao cần được bảo mật rất cao, thì bạn có thể muốn xem xét bật xác thực khóa công khai cho kết nối SSH của mình. Trên thực tế, để bảo mật tối đa, bạn có thể kích hoạt xác thực tên người dùng / mật khẩu và khóa công khai để truy cập vào công tắc của mình.
Trong bài viết này, tôi sẽ hướng dẫn bạn cách bật xác thực khóa công khai trên bộ chuyển mạch SG300 của Cisco và cách tạo các cặp khóa công khai và riêng tư bằng puTTYGen. Sau đó, tôi sẽ hướng dẫn bạn cách đăng nhập bằng các khóa mới. Ngoài ra, tôi sẽ chỉ cho bạn cách định cấu hình nó để bạn có thể chỉ sử dụng khóa để đăng nhập hoặc buộc người dùng nhập tên người dùng / mật khẩu cùng với việc sử dụng khóa riêng tư.
Lưu ý :Trước khi bạn bắt đầu hướng dẫn này, hãy đảm bảo rằng bạn đã bật dịch vụ SSH trên switch, mà tôi đã đề cập trong bài viết trước của tôi được liên kết ở trên.
Bật Xác thực Người dùng SSH bằng Khóa Công khai
Nhìn chung, quy trình để xác thực khóa công khai hoạt động cho SSH rất đơn giản. Trong ví dụ của tôi, tôi sẽ chỉ cho bạn cách bật các tính năng bằng GUI dựa trên web. Tôi đã cố gắng sử dụng giao diện CLI để bật xác thực khóa công khai, nhưng nó không chấp nhận định dạng cho khóa RSA riêng tư của tôi.
Khi tôi làm việc đó, tôi sẽ cập nhật bài đăng này với các lệnh CLI sẽ thực hiện những gì chúng tôi sẽ làm thông qua GUI hiện tại. Đầu tiên, nhấp vào Bảo mật , rồi đến Máy chủ SSH và cuối cùng là Xác thực người dùng SSH .
Trong ngăn bên phải, hãy tiếp tục và chọn hộp Bật bên cạnh Xác thực người dùng SSH bằng Khóa công khai . Nhấp vào nút Áp dụng để lưu các thay đổi. Không chọn mục Bật bên cạnh Đăng nhập tự động nhưng tôi sẽ giải thích kỹ hơn về điều đó.
Bây giờ chúng ta phải thêm một tên người dùng SSH. Trước khi thêm người dùng, trước tiên chúng ta phải tạo khóa công khai và riêng tư. Trong ví dụ này, chúng tôi sẽ sử dụng puTTYGen, một chương trình đi kèm với puTTY.
Tạo khóa riêng tư và khóa công khai
Để tạo khóa, hãy tiếp tục và mở puTTYGen trước. Bạn sẽ thấy một màn hình trống và bạn thực sự không cần phải thay đổi bất kỳ cài đặt nào từ cài đặt mặc định được hiển thị bên dưới.
Nhấp vào nút Tạo và sau đó di chuyển chuột của bạn xung quanh vùng trống cho đến khi thanh tiến trình đi ngang.
Sau khi tạo khóa, bạn cần nhập cụm mật khẩu, về cơ bản, cụm mật khẩu này giống như mật khẩu để mở khóa.
Bạn nên sử dụng cụm mật khẩu dài để bảo vệ khóa khỏi các cuộc tấn công bạo lực. Sau khi bạn đã nhập hai lần cụm mật khẩu, bạn nên nhấp vào nút Lưu khóa công khai và Lưu khóa cá nhân nút. Đảm bảo rằng các tệp này được lưu ở một vị trí an toàn, tốt nhất là trong một vùng chứa được mã hóa thuộc một số loại yêu cầu mật khẩu để mở. Xem bài đăng của tôi về cách sử dụng VeraCrypt để tạo một tập đĩa được mã hóa.
Thêm người dùng và khóa
Bây giờ quay lại Xác thực người dùng SSH màn hình chúng tôi đã ở trước đó. Đây là nơi bạn có thể chọn từ hai tùy chọn khác nhau. Trước tiên, đi tới Quản trị - Tài khoản người dùng để xem bạn hiện có những tài khoản nào để đăng nhập.
Như bạn có thể thấy, tôi có một tài khoản gọi là akishore để truy cập công tắc của tôi. Hiện tại, tôi có thể sử dụng tài khoản này để truy cập GUI dựa trên web và CLI. Quay lại Xác thực người dùng SSH , người dùng bạn cần thêm vào Bảng xác thực người dùng SSH (bằng Khóa công khai) có thể giống với những gì bạn có trong Quản trị - Tài khoản người dùng hoặc khác.
Nếu bạn chọn cùng một tên người dùng, thì bạn có thể chọn tùy chọn Bật bên dưới Đăng nhập tự động và khi bạn đăng nhập vào công tắc, bạn chỉ cần nhập tên người dùng và mật khẩu cho khóa cá nhân và bạn sẽ đăng nhập được.
Nếu bạn quyết định chọn một tên người dùng khác tại đây, thì bạn sẽ nhận được lời nhắc trong đó bạn phải nhập tên người dùng và mật khẩu khóa cá nhân SSH, sau đó bạn sẽ phải nhập tên người dùng và mật khẩu thông thường của mình (được liệt kê trong Quản trị viên - Tài khoản người dùng) . Nếu bạn muốn tăng cường bảo mật, hãy sử dụng tên người dùng khác, nếu không chỉ cần đặt tên giống với tên hiện tại của bạn.
Nhấp vào nút Thêm và bạn sẽ nhận được Thêm người dùng SSH cửa sổ bật lên.
Đảm bảo Loại khóa được đặt thành RSA và sau đó tiếp tục và mở tệp khóa SSH công khai của bạn mà bạn đã lưu trước đó bằng một chương trình như Notepad. Sao chép toàn bộ nội dung và dán vào Khóa công khai cửa sổ. Nhấp vào Áp dụng và sau đó nhấp vào Đóng nếu bạn nhận được Thành công ở trên cùng.
Đăng nhập bằng Khóa cá nhân
Bây giờ tất cả những gì chúng ta phải làm là đăng nhập bằng khóa riêng và mật khẩu của mình. Tại thời điểm này, khi bạn cố gắng đăng nhập, bạn sẽ cần nhập thông tin xác thực đăng nhập hai lần:một lần cho khóa cá nhân và một lần cho tài khoản người dùng bình thường. Sau khi chúng tôi bật đăng nhập tự động, bạn chỉ cần nhập tên người dùng và mật khẩu cho khóa cá nhân và bạn sẽ tham gia.
Mở puTTY và nhập địa chỉ IP của công tắc của bạn vào Tên máy chủ lưu trữ hộp như bình thường. Tuy nhiên, lần này, chúng tôi cũng sẽ cần tải khóa riêng tư vào puTTY. Để thực hiện việc này, hãy mở rộng Kết nối , sau đó mở rộng SSH và sau đó nhấp vào Auth .
Nhấp vào nút Duyệt qua bên dưới Tệp khóa cá nhân để xác thực và chọn tệp khóa riêng mà bạn đã lưu từ puTTY trước đó. Bây giờ, hãy nhấp vào nút Mở nút để kết nối.
Lời nhắc đầu tiên sẽ là đăng nhập bằng và đó phải là tên người dùng bạn đã thêm trong người dùng SSH. Nếu bạn đã sử dụng cùng một tên người dùng với tài khoản người dùng chính của mình thì điều đó sẽ không thành vấn đề.
Trong trường hợp của tôi, tôi đã sử dụng akishore cho cả hai tài khoản người dùng, nhưng tôi đã sử dụng các mật khẩu khác nhau cho khóa cá nhân và cho tài khoản người dùng chính của mình. Nếu muốn, bạn cũng có thể tạo mật khẩu giống nhau, nhưng thực sự thì chẳng ích gì, đặc biệt nếu bạn bật đăng nhập tự động.
Bây giờ, nếu bạn không muốn phải đăng nhập hai lần để vào nút chuyển, hãy chọn tùy chọn Bật hộp bên cạnh Đăng nhập tự động về Xác thực người dùng SSH trang.
Khi điều này được bật, bây giờ bạn chỉ cần nhập thông tin đăng nhập cho người dùng SSH và bạn sẽ đăng nhập.
Nó hơi phức tạp, nhưng sẽ có ý nghĩa khi bạn chơi với nó. Giống như tôi đã đề cập trước đó, tôi cũng sẽ viết ra các lệnh CLI khi tôi có thể nhận được khóa riêng ở định dạng thích hợp. Làm theo hướng dẫn tại đây, việc truy cập công tắc của bạn qua SSH giờ sẽ an toàn hơn rất nhiều. Nếu bạn gặp sự cố hoặc có câu hỏi, hãy đăng trong phần nhận xét. Hãy tận hưởng!