網絡基礎配置--開啟SSH,關閉Telnet


1、Telnet和SSH對比

1.1、TELNET  

  使用Telnet這個用來訪問遠程計算機的TCP/IP協議以控制你的網絡設備相當於在離開某個建築時大喊你的用戶名和口令。很快會有人進行監聽,並且他們會利用你安全意識的缺乏。傳統的網絡服務程序如:ftp、pop和telnet在本質上都是不安全的,因為它們在網絡上用明文傳送口令和數據,別有用心的人非常容易就可以截獲這些口令和數據。而且,這些服務程序的安全驗證方式也是有其弱點的,就是很容易受到“中間人”(man-in-the-middle)這種方式的攻擊。所謂“中間人”的攻擊方式,就是“中間人”冒充真正的服務器接收你的傳給服務器的數據,然后再冒充你把數據傳給真正的服務器。服務器和你之間的數據傳送被“中間人”一轉手做了手腳之后,就會出現很嚴重的問題。

1.2、SSH 

  SSH是替代Telnet和其他遠程控制台管理應用程序的行業標准。SSH命令是加密的並以幾種方式進行保密。SSH有很多功能,它既可以代替telnet,又可以為ftp、pop、甚至ppp提供一個安全的“通道”。SSH(Secure SHell)到目前為止有兩個不兼容的版本——SSH1和SSH2。
  SSH1又分為1.3和1.5兩個版本。SSH1采用DES、3DES、Blowfish和RC4等對稱加密算法保護數據安全傳輸,而對稱加密算法的密鑰是通過非對稱加密算法(RSA)來完成交換的。SSH1使用循環冗余校驗碼(CRC)來保證數據的完整性,但是后來發現這種方法有缺陷。
  SSH2避免了RSA的專利問題,並修補了CRC的缺陷。SSH2用數字簽名算法(DSA)和Diffie-Hellman(DH)算法代替RSA來完成對稱密鑰的交換,用消息證實代碼(HMAC)來代替CRC。同時SSH2增加了AES和Twofish等對稱加密算法。

2、開啟SSH認證登錄

2.1、H3C

authentication-mode 常見的配置參數有三種
user-interface vty 0 14
1、authentication-mode aaa或authentication-mode    scheme
創建本地用戶並啟用AAA驗證。

2、authentication-mode password  
直接在user-interface vty 下用passrod設置密碼

3、authentication-mode none
遠程維護登陸不需要密碼

 

scheme是組合的意思.就是組合認證方式,即輸入:用戶名+密碼認證..
1.進入用戶界面:user-interface 0 4  (和思科里面的VTY一樣,0 4是指可以有5個用戶會話同時連接,0,1,2,3,4 )
2.設置認證模式為組合模式(用戶名加密碼):Authenticate-mode scheme
3.建立本地用戶名:local-user 用戶名,
4.設置用戶密碼:password simple 密碼...
5.設置訪問服務類型為telnet:service-type ssh
6.設置授權訪問級別:level 3
7.退出:quit

system-view
#生成RSA和DSA密鑰對(一些老設備一定要設置,否則ssh無法登陸)
public-key local create rsa

public-key local create dsa

#設置telnet客戶端登錄用戶界面的認證方式為AAA認證。 ssh server enable user
-interface vty 0 4 authentication-mode scheme protocol inbound ssh quit
#創建本地用戶petrochina,密碼為123456,服務類型為SSH
local
-user petrochina password simple 123456 #使用明文 service-type ssh authorization-attribute level 3
#有的直接設置:level 0-3,不用加authorization-attribute
quit undo telnet server enable
quit
save
[PeiXun]local-user admin
#下面這種情況是ssh和Telnet並存。應取消Telnet。
[PeiXun-luser-admin]dis this
#
local-user admin
 password cipher &(AB]<R)5O<,]A!!
 service-type ssh telnet terminal
#
[PeiXun-luser-admin]undo service-type telnet

2.2、Quitway

#創建本地密鑰對
rsa local-key-pair create
#配置VTY用戶,只能用SSH進入
user-interface vty 0 4
authentication-mode aaa
protocol inbound ssh
#創建SSH用戶及密碼
aaa
local-user petrochina password cipher 123456  #使用密文
local-user petrochina service-type ssh  #支持的協議類型
local-user petrochina level 3  #管理級別
quit
#配置ssh用戶的認證方式和服務方式
ssh user petrochina authentication-type password  #認證方式為密碼認證
ssh user petrochina service-type stelnet
stelnet server enable 
quit
save

 華為S3900

由於華為S3900為早期設備,且vrp版本也過老,其配置命令與h3c一樣,故:

#
local-user client001
 password simple/ciper abc@123
 service-type ssh
 level 3
#
interface Vlan-interface1
 ip address 192.168.0.1 255.255.255.0
#
 ssh user client001 authentication-type password
 ssh user client001 service-type stelnet
#
user-interface vty 0 4
 authentication-mode scheme
 protocol inbound ssh

 配置超級密碼

華為

aaa
dis this
local-user petrochina level 0
quit
super password level 3 cipher @0631

 

華三

sys
local-user petrochina
dis this

authorization-attribute level 0
password cipher SDXS1110)%#!)%#!
quit
super password level 3 cipher @0530
local-user petrochina
dis this





免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM