1、Telnet和SSH對比
1.1、TELNET
使用Telnet這個用來訪問遠程計算機的TCP/IP協議以控制你的網絡設備相當於在離開某個建築時大喊你的用戶名和口令。很快會有人進行監聽,並且他們會利用你安全意識的缺乏。傳統的網絡服務程序如:ftp、pop和telnet在本質上都是不安全的,因為它們在網絡上用明文傳送口令和數據,別有用心的人非常容易就可以截獲這些口令和數據。而且,這些服務程序的安全驗證方式也是有其弱點的,就是很容易受到“中間人”(man-in-the-middle)這種方式的攻擊。所謂“中間人”的攻擊方式,就是“中間人”冒充真正的服務器接收你的傳給服務器的數據,然后再冒充你把數據傳給真正的服務器。服務器和你之間的數據傳送被“中間人”一轉手做了手腳之后,就會出現很嚴重的問題。
1.2、SSH
SSH是替代Telnet和其他遠程控制台管理應用程序的行業標准。SSH命令是加密的並以幾種方式進行保密。SSH有很多功能,它既可以代替telnet,又可以為ftp、pop、甚至ppp提供一個安全的“通道”。SSH(Secure SHell)到目前為止有兩個不兼容的版本——SSH1和SSH2。
SSH1又分為1.3和1.5兩個版本。SSH1采用DES、3DES、Blowfish和RC4等對稱加密算法保護數據安全傳輸,而對稱加密算法的密鑰是通過非對稱加密算法(RSA)來完成交換的。SSH1使用循環冗余校驗碼(CRC)來保證數據的完整性,但是后來發現這種方法有缺陷。
SSH2避免了RSA的專利問題,並修補了CRC的缺陷。SSH2用數字簽名算法(DSA)和Diffie-Hellman(DH)算法代替RSA來完成對稱密鑰的交換,用消息證實代碼(HMAC)來代替CRC。同時SSH2增加了AES和Twofish等對稱加密算法。
2、開啟SSH認證登錄
2.1、H3C
authentication-mode 常見的配置參數有三種
user-interface vty 0 14
1、authentication-mode aaa或authentication-mode scheme
創建本地用戶並啟用AAA驗證。
2、authentication-mode password
直接在user-interface vty 下用passrod設置密碼
3、authentication-mode none
遠程維護登陸不需要密碼
scheme是組合的意思.就是組合認證方式,即輸入:用戶名+密碼認證..
1.進入用戶界面:user-interface 0 4 (和思科里面的VTY一樣,0 4是指可以有5個用戶會話同時連接,0,1,2,3,4 )
2.設置認證模式為組合模式(用戶名加密碼):Authenticate-mode scheme
3.建立本地用戶名:local-user 用戶名,
4.設置用戶密碼:password simple 密碼...
5.設置訪問服務類型為telnet:service-type ssh
6.設置授權訪問級別:level 3
7.退出:quit
system-view #生成RSA和DSA密鑰對(一些老設備一定要設置,否則ssh無法登陸) public-key local create rsa public-key local create dsa
#設置telnet客戶端登錄用戶界面的認證方式為AAA認證。 ssh server enable user-interface vty 0 4 authentication-mode scheme protocol inbound ssh quit
#創建本地用戶petrochina,密碼為123456,服務類型為SSH
local-user petrochina password simple 123456 #使用明文 service-type ssh authorization-attribute level 3
#有的直接設置:level 0-3,不用加authorization-attribute quit undo telnet server enable
quit
save
[PeiXun]local-user admin
#下面這種情況是ssh和Telnet並存。應取消Telnet。
[PeiXun-luser-admin]dis this
#
local-user admin
password cipher &(AB]<R)5O<,]A!!
service-type ssh telnet terminal
#
[PeiXun-luser-admin]undo service-type telnet
2.2、Quitway
#創建本地密鑰對 rsa local-key-pair create #配置VTY用戶,只能用SSH進入 user-interface vty 0 4 authentication-mode aaa protocol inbound ssh #創建SSH用戶及密碼 aaa local-user petrochina password cipher 123456 #使用密文 local-user petrochina service-type ssh #支持的協議類型 local-user petrochina level 3 #管理級別 quit #配置ssh用戶的認證方式和服務方式 ssh user petrochina authentication-type password #認證方式為密碼認證 ssh user petrochina service-type stelnet stelnet server enable
quit
save
華為S3900
由於華為S3900為早期設備,且vrp版本也過老,其配置命令與h3c一樣,故:
# local-user client001 password simple/ciper abc@123 service-type ssh level 3 # interface Vlan-interface1 ip address 192.168.0.1 255.255.255.0 # ssh user client001 authentication-type password ssh user client001 service-type stelnet # user-interface vty 0 4 authentication-mode scheme protocol inbound ssh
配置超級密碼
華為
aaa
dis this
local-user petrochina level 0
quit
super password level 3 cipher @0631
華三
sys
local-user petrochina
dis this
authorization-attribute level 0
password cipher SDXS1110)%#!)%#!
quit
super password level 3 cipher @0530
local-user petrochina
dis this