华为设备 SSH登录配置
配置通过STelnet登录设备
缺省情况下,设备未配置任何STelnet相关功能,如果需要使用该功能,需要配置STelnet服务及用户信息。配置步骤如下:
配置VTY用户界面的支持协议类型、认证方式和用户级别。
开启STelnet服务器功能并创建SSH用户。
配置SSH用户认证方式。
在SSH服务器端生成本地密钥对,实现在服务器端和客户端进行安全地数据交互。
操作步骤
- 配置VTY用户界面的支持协议类型、认证方式和用户级别。
[HUAWEI] user-interface vty 0 4[HUAWEI-ui-vty0-4] authentication-mode aaa //配置VTY用户界面认证方式为AAA认证[HUAWEI-ui-vty0-4] protocol inbound ssh //配置VTY用户界面支持的协议为SSH,默认情况下即SSH[HUAWEI-ui-vty0-4] user privilege level 15 //配置VTY用户界面的级别为15[HUAWEI-ui-vty0-4] quit
通过STelnet登录设备需配置用户界面支持的协议是SSH,必须设置VTY用户界面认证方式为AAA认证。
- 开启STelnet服务器功能。
[HUAWEI] stelnet server enable //使能设备的STelnet服务器功能
- 配置SSH用户认证方式。
配置SSH用户认证方式为Password
- 创建SSH用户(两种方式)。
[HUAWEI] ssh authentication-type default password //配置SSH用户缺省采用密码认证
或
[HUAWEI] ssh user admin123 //创建SSH用户admin123[HUAWEI] ssh user admin123 service-type stelnet //配置SSH用户的服务方式为STelnet[HUAWEI] ssh user admin123 authentication-type password //配置SSH用户认证方式为password
- 使用Password认证方式时,需要在AAA视图下配置与SSH用户同名的本地用户。
[HUAWEI] aaa[HUAWEI-aaa] local-user admin123 password irreversible-cipher abcd@123 //创建与SSH用户同名的本地用户和对应的登录密码[HUAWEI-aaa] local-user admin123 privilege level 15 //配置本地用户级别为15Warning: This operation may affect online users, are you sure to change the user privilege level ?[Y/N]y[HUAWEI-aaa] local-user admin123 service-type ssh //配置本地用户的服务方式为SSH[HUAWEI-aaa] quit
- 创建SSH用户(两种方式)。
配置SSH用户认证方式为RSA、DSA或ECC(以ECC认证方式为例,RSA、DSA认证方式步骤类似)
使用RSA、DSA或ECC认证方式时,需要在SSH服务器上输入SSH客户端生成的密钥中的公钥部分。这样当客户端登录服务器时,自己的私钥如果与输入的公钥匹配成功,则认证通过。客户端公钥的生成请参见相应的SSH客户端软件的帮助文档。
[HUAWEI] ssh user admin123 //创建SSH用户admin123[HUAWEI] ssh user admin123 service-type stelnet //配置SSH用户的服务方式为STelnet[HUAWEI] ssh user admin123 authentication-type ecc //配置SSH用户认证方式为ecc[HUAWEI] ecc peer-public-key key01 encoding-type pem //配置ECC公共密钥编码格式,并进入ECC公共密钥视图,key01为公共密钥名称Enter "ECC public key" view, return system view with "peer-public-key end". [HUAWEI-ecc-public-key] public-key-code begin //进入公共密钥编辑视图Enter "ECC key code" view, return last view with "public-key-code end". [HUAWEI-dsa-key-code] 308188 //拷贝复制客户端的公钥,必须为十六进制字符串,如果是其他进制,请提前转换[HUAWEI-dsa-key-code] 028180[HUAWEI-dsa-key-code] B21315DD 859AD7E4 A6D0D9B8 121F23F0 006BB1BB[HUAWEI-dsa-key-code] A443130F 7CDB95D8 4A4AE2F3 D94A73D7 36FDFD5F[HUAWEI-dsa-key-code] 411B8B73 3CDD494A 236F35AB 9BBFE19A 7336150B[HUAWEI-dsa-key-code] 40A35DE6 2C6A82D7 5C5F2C36 67FBC275 2DF7E4C5[HUAWEI-dsa-key-code] 1987178B 8C364D57 DD0AA24A A0C2F87F 474C7931[HUAWEI-ecc-key-code] A9F7E8FE E0D5A1B5 092F7112 660BD153 7FB7D5B2[HUAWEI-ecc-key-code] 171896FB 1FFC38CD[HUAWEI-ecc-key-code] 0203[HUAWEI-ecc-key-code] 010001[HUAWEI-ecc-key-code] public-key-code end //退回到公共密钥视图[HUAWEI-ecc-public-key] peer-public-key end //退回到系统视图[HUAWEI] ssh user admin123 assign ecc-key key01 //为用户admin123分配一个已经存在的公钥key01
使用Password-RSA认证、Password-DSA认证或Password-ECC认证时,需同时配置AAA用户信息和输入客户端公钥,即上述两种方式都需要进行。
使用ALL认证方式时,对于配置AAA用户信息和输入客户端公钥,可以随意选择上述两种方式其中一种方式,也可以两种方式都选择。
为充分保证设备安全,请定期修改密码。
- 在服务器端生成本地密钥对。
[HUAWEI] ecc local-key-pair createInfo: The key name will be: HUAWEI_Host_ECC. Info: The key modulus can be any one of the following: 256, 384, 521. Info: If the key modulus is greater than 512, it may take a few minutes. Please input the modulus [default=521]:521Info: Generating keys.......... Info: Succeeded in creating the ECC host keys.
检查配置结果
- 执行display ssh user-information [ username ]命令,在SSH服务器端查看SSH用户信息。如果不指定SSH用户,则可以查看SSH服务器端所有的SSH用户信息。
- 执行display ssh server status命令,查看SSH服务器的全局配置信息。
- 执行display ssh server session命令,在SSH服务器端查看与SSH客户端连接的会话信息。
命令行功能说明
功能 | 配置命令 | 说明 |
|---|---|---|
生成本地主机密钥对 | rsa local-key-pair create、dsa local-key-pair create或ecc local-key-pair create | 缺省情况,未配置任何主机密钥对。 |
开启STelnet服务器功能 | 缺省为去使能状态。 | |
VTY用户界面的认证方式 | authentication-mode { aaa } | 缺省情况下,通过Console口登录设备时,默认认证方式为AAA。 如果选择aaa认证,需要配置AAA本地用户相关信息。 |
VTY用户界面所支持的协议 | protocol inbound { all | ssh } | 缺省为SSH协议。 执行此命令后,配置结果待下次登录请求时生效。 |
VTY用户界面的用户级别 | user privilege level level | 缺省为0。 用户使用RSA、DSA或ECC认证方式时,用户的优先级由用户接入时所采用的VTY界面的优先级决定。 如果用户界面下配置的命令级别访问权限与用户名本身对应的操作权限冲突,以用户名本身对应的命令级别为准。 |
新建SSH用户 | ssh user user-name | 缺省情况,没有创建SSH用户。 |
SSH用户的服务方式 | ssh user user-name service-type { stelnet | all } | 缺省为空,不支持任何服务方式。 |
SSH用户的认证方式 | ssh user user-name authentication-type { password | rsa | password-rsa | dsa | password-dsa | ecc | password-ecc | all } |
|
功能 | 配置命令 | 说明 |
|---|---|---|
开启VTY终端服务 | 所有VTY终端服务缺省开启。 | |
VTY用户界面的最大个数 | user-interface maximum-vty number | VTY用户界面的最大个数为15个。 |
VTY用户界面的登录连接超时时间 | idle-timeout minutes [ seconds ] | 缺省为10分钟。 |
VTY用户界面的终端屏显的行数 | screen-length screen-length | 缺省为24行。 |
VTY用户界面的终端屏显的列数 | screen-width screen-width | 缺省为80列。 |
VTY用户界面的历史命令缓冲区的大小 | history-command max-size size-value | 缺省为10条。 |
SSH服务器支持的密钥交换算法 | ssh server key-exchange { dh_group14_sha256 | dh_group15_sha512 | dh_group16_sha512 | dh_group_exchange_sha256 }* | 缺省为支持所有密钥交换算法。 系统软件中不包含dh_group_exchange_sha1、dh_group14_sha1和dh_group1_sha1参数,如需使用,需要安装WEAKEA插件,但是该算法安全性低。为了保证更好的安全性,建议使用其它算法。 您可以通过华为官网(企业、运营商)搜索“插件使用指南”,请根据交换机型号及软件版本选择相应的《插件使用指南》。如无权限,请联系技术支持人员。 |
SSH服务器支持的加密算法 | ssh server cipher { aes128_ctr | aes256_ctr } * | 缺省情况下,SSH服务器支持所有加密算法。 系统软件中不包含aes256_cbc、aes128_cbc、3des_cbc和des_cbc参数,如需使用,需要安装WEAKEA插件,但是该算法安全性低。为了保证更好的安全性,建议配置aes256_ctr或aes128_ctr参数。 您可以通过华为官网(企业、运营商)搜索“插件使用指南”,请根据交换机型号及软件版本选择相应的《插件使用指南》。如无权限,请联系技术支持人员。 |
SSH服务器支持的校验算法 | ssh server hmac sha2_256 | 缺省情况下,SSH服务器支持所有的校验算法。 系统软件中不包含sha2_256_96、sha1、sha1_96、md5和md5_96参数,如需使用,需要安装WEAKEA插件,但是该算法安全性低。为了保证更好的安全性,建议配置sha2_256参数。 您可以通过华为官网(企业、运营商)搜索“插件使用指南”,请根据交换机型号及软件版本选择相应的《插件使用指南》。如无权限,请联系技术支持人员。 |
SSH服务器端口号 | ssh [ ipv4 | ipv6 ] server port port-number | 缺省为22。 SSH服务器配置新的端口号,可以有效防止攻击者对SSH服务标准端口的恶意访问,确保安全性。 |
SSH服务器的公钥算法 | ssh server publickey { dsa | ecc | rsa } * | 缺省为DSA、ECC、RSA公钥算法都开启。 使用指定的公钥算法登录服务器,同时拒绝使用其他公钥算法,从而提升设备安全性。推荐使用ECC公钥算法。 |
SSH服务器的源接口 | ssh server-source -i loopback interface-number | 缺省情况未指定SSH服务器端的源接口。 配置SSH服务器的源接口可以屏蔽设备的管理IP地址,从而保护设备安全。 |
SSH服务器密钥对更新时间 | 缺省为0,永不更新。 | |
SSH认证超时时间 | ssh server timeout seconds | 缺省为60秒。 |
SSH认证重试次数 | 缺省为3次。 | |
使能兼容低版本SSH协议 | 缺省为未使能状态。 |
