По- рано писах за това как можете да активирате SSH достъп до вашия Cisco комутатор,^{(how you can enable SSH access to your Cisco switch)} като активирате настройката в GUI интерфейса. Това е чудесно, ако искате да получите достъп до CLI на превключвателя през криптирана връзка, но все пак разчита само на потребителско име и парола.

Ако използвате този превключвател в силно чувствителна мрежа, която трябва да бъде много сигурна, тогава може да помислите за активиране на удостоверяване с публичен ключ за вашата SSH връзка. Всъщност, за максимална сигурност, можете да активирате удостоверяване с потребителско име/парола и публичен ключ за достъп до вашия превключвател.

В тази статия ще ви покажа как да активирате удостоверяване с публичен ключ на комутатор SG300 Cisco^{(SG300 Cisco)} и как да генерирате двойки публичен и частен ключ с помощта на puTTYGen. След това ще ви покажа как да влезете с новите ключове. Освен това ще ви покажа как да го конфигурирате, така че да можете да използвате само ключа за влизане или да принудите потребителя да въведе потребителско име/парола заедно с използването на частния ключ.

Забележка: Преди да започнете с този урок, уверете се, че вече сте активирали услугата SSH на превключвателя, която споменах в предишната си статия, свързана по-горе. ^{(Note: Before you get started on this tutorial, make sure you have already enabled the SSH service on the switch, which I mentioned in my previous article linked above. )}

Активирайте SSH удостоверяване на потребителя^{(SSH User Authentication)} чрез публичен ключ^{(Public Key)}

Като цяло процесът за получаване на удостоверяване с публичен ключ да работи за SSH е лесен. В моя пример ще ви покажа как да активирате функциите с помощта на уеб базирания GUI . Опитах се да използвам CLI интерфейса, за да активирам удостоверяване с публичен ключ, но той не приема формата за моя частен RSA ключ.

След като го направя, ще актуализирам тази публикация с CLI командите, които ще постигнат това, което ще направим чрез GUI за сега. Първо^(First) щракнете върху Защита^(Security) , след това SSH сървър^{( SSH Server)} и накрая SSH удостоверяване на потребителя^{( SSH User Authentication)} .

В десния прозорец продължете и поставете отметка в квадратчето Активиране до SSH удостоверяване на потребител чрез публичен ключ^{( Enable box next to SSH User Authentication by Public Key)} . Щракнете върху бутона Приложи^(Apply) , за да запазите промените. Все^(Don) още не поставяйте отметка върху бутона Активиране^(Enable) до Автоматично влизане^{(Automatic login)} , тъй като ще обясня това по-долу.

Сега трябва да добавим SSH потребителско име. Преди да започнем да добавяме потребителя, първо трябва да генерираме публичен и частен ключ. В този пример ще използваме puTTYGen, която е програма, която идва с puTTY.

Генериране на частни и публични ключове

За да генерирате ключовете, продължете и първо отворете puTTYGen. Ще видите празен екран и наистина не трябва да променяте нито една от настройките от показаните по-долу настройки по подразбиране.

Щракнете върху бутона Генериране^(Generate) и след това преместете мишката си около празната област, докато лентата за напредък премине през целия път.

След като ключовете са генерирани, трябва да въведете парола, която по същество е като парола за отключване на ключа.

Добра идея е да използвате дълга парола, за да защитите ключа от атаки с груба сила. След като въведете паролата два пъти, трябва да щракнете върху бутоните Save public key и Save private key . Уверете се, че тези файлове са запазени на сигурно място, за предпочитане в някакъв криптиран контейнер, който изисква парола за отваряне. Вижте публикацията ми за използването на VeraCrypt за създаване на криптиран том^{(VeraCrypt to create an encrypted volume)} .

Добавяне на потребител и ключ

Сега да се върнем към екрана за  SSH удостоверяване на потребителя^{( SSH User Authentication)} , на който бяхме по-рано. Тук можете да избирате от две различни опции. Първо, отидете на Администриране^{(Administration)} – Потребителски акаунти^{( User Accounts)} , за да видите какви акаунти имате в момента за влизане.

Както можете да видите, имам един акаунт, наречен akishore за достъп до моя превключвател. В момента^(Currently) мога да използвам този акаунт за достъп до уеб базирания GUI и CLI . Обратно^(Back) на страницата за удостоверяване на SSH потребителя^{(SSH User Authentication)} , потребителят, който трябва да добавите към таблицата за удостоверяване на потребители на SSH (чрез публичен ключ),^{(SSH User Authentication Table (by Public Key))}  може да бъде същият като този, който имате под Администриране – Потребителски акаунти,^{(Administration – User Accounts)} или различен.

Ако изберете същото потребителско име, тогава можете да отметнете бутона Активиране^(Enable) под Автоматично влизане^{(Automatic Login)} и когато влезете в превключвателя, просто ще трябва да въведете потребителското име и паролата за частния ключ и ще влезете в системата .

Ако решите да изберете друго потребителско име тук, тогава ще получите подкана, където трябва да въведете потребителско име и парола на частния ключ за SSH и след това ще трябва да въведете нормалното си потребителско име и парола (изброени в Администратор – Потребителски акаунти^{(Admin – User Accounts)} ) . Ако искате допълнителна сигурност, използвайте различно потребителско име, в противен случай просто го наречете по същия начин като текущото си.

Щракнете върху^(Click) бутона Добавяне^(Add) и ще получите изскачащ прозорец Добавяне на SSH потребител .^{(Add SSH User)}

Уверете се, че Типът на ключа^{(Key Type)} е зададен на RSA и след това продължете и отворете своя публичен SSH ключов файл, който сте запазили по-рано с помощта на програма като Notepad . Копирайте цялото съдържание и го поставете в прозореца с публичен ключ^{(Public Key)} . Щракнете върху Приложи^(Apply) и след това върху Затвори^(Close) , ако получите съобщение за успех^(Success) в горната част.

Влезте с личен ключ

Сега всичко, което трябва да направим, е да влезем с нашия личен ключ и парола. В този момент, когато се опитате да влезете, ще трябва да въведете идентификационни данни за вход два пъти: веднъж за частния ключ и веднъж за обикновен потребителски акаунт. След като активираме автоматичното влизане, просто ще трябва да въведете потребителското име и паролата за частния ключ и ще влезете.

Отворете puTTY и въведете IP адреса на вашия превключвател в полето Host Name , както обикновено. Този път обаче ще трябва да заредим и частния ключ в puTTY. За да направите това, разгънете Connection , след това разгънете SSH и след това щракнете върху Auth .

Щракнете върху бутона Преглед^(Browse) под Файл с частен ключ за удостоверяване^{(Private key file for authentication)} и изберете файла с частен ключ, който сте запазили извън puTTY по-рано. Сега щракнете върху бутона Отвори^(Open) , за да се свържете.

Първата подкана ще бъде вход като^{(login as)} и това трябва да бъде потребителското име, което сте добавили под SSH потребители. Ако сте използвали същото потребителско име като основния си потребителски акаунт, няма да има значение.

В моя случай използвах akishore и за двата потребителски акаунта, но използвах различни пароли за частния ключ и за основния си потребителски акаунт. Ако желаете, можете да направите и паролите същите, но няма смисъл наистина да го правите, особено ако активирате автоматично влизане.

Сега, ако не искате да се налага да влизате двойно, за да влезете в превключвателя, поставете отметка в квадратчето Активиране^(Enable) до Автоматично влизане^{( Automatic login)} на страницата за удостоверяване на потребителя на SSH^{(SSH User Authentication)} .

Когато това е активирано, сега просто ще трябва да въведете идентификационните данни за SSH потребителя и ще влезете в системата.

Малко е сложно, но има смисъл, след като се заиграете с него. Както споменах по-рано, ще напиша и CLI командите, след като успея да получа частния ключ в правилния формат. Следвайки инструкциите тук, достъпът до вашия превключвател чрез SSH би трябвало да бъде много по-сигурен сега. Ако срещнете проблеми или имате въпроси, пишете в коментарите. Наслади се!

Enable Public Key Authentication for SSH on Cisco SG300 Switches

Previously, I wrote about how you can enable SSH access to your Cisco switch by enabling the setting in the GUI interface. This is great if you want to access your switch CLI over an encrypted connection, but it still relies on just a username and password.

If you are using this switch in a highly sensitive network that needs to be very secure, then you might want to consider enabling public key authentication for your SSH connection. Actually, for maximum security, you can enable a username/password and public key authentication for access to your switch.

In this article, I’ll show you how to enable public key authentication on an SG300 Cisco switch and how to generate the public and private key pairs using puTTYGen. I’ll then show you how to login using the new keys. In addition, I’ll show you how to configure it so that you can either use just the key to login or force the user to type in a username/password along with using the private key.

Note: Before you get started on this tutorial, make sure you have already enabled the SSH service on the switch, which I mentioned in my previous article linked above. 

Enable SSH User Authentication by Public Key

Overall, the process for getting public key authentication to work for SSH is straightforward. In my example, I’ll show you how to enable the features using the web-based GUI. I tried to use the CLI interface to enable public key authentication, but it would not accept the format for my private RSA key.

Once I get that working, I’ll update this post with the CLI commands that will accomplish what we will do through the GUI for now. First, click on Security, then SSH Server and finally SSH User Authentication.

In the right-hand pane, go ahead and check the Enable box next to SSH User Authentication by Public Key. Click the Apply button to save the changes. Don’t check the Enable button next to Automatic login just yet as I’ll explain that further down.

Now we have to add a SSH user name. Before we get into adding the user, we first have to generate a public and private key. In this example, we’ll be using puTTYGen, which is a program that comes with puTTY.

Generate Private and Public Keys

To generate the keys, go ahead and open puTTYGen first. You’ll see a blank screen and you really shouldn’t have to change any of the settings from the defaults shown below.

Click on the Generate button and then move your mouse around the blank area until the progress bar go all the way across.

Once the keys have been generated, you need to type in a passphrase, which is basically like a password to unlock the key.

It’s a good idea to use a long passphrase to protect the key from brute-force attacks. Once you have typed in the passphrase twice, you should click the Save public key and Save private key buttons. Make sure these files are saved in a secure location, preferably in an encrypted container of some sort that requires a password to open. Check out my post on using VeraCrypt to create an encrypted volume.

Add User & Key

Now back to the SSH User Authentication screen we were on earlier. Here’s where you can choose from two different options. Firstly, go to Administration – User Accounts to see what accounts you currently have for login.

As you can see, I have one account called akishore for accessing my switch. Currently, I can use this account to access the web-based GUI and the CLI. Back on the SSH User Authentication page, the user you need to add to the SSH User Authentication Table (by Public Key) can either be the same as what you have under Administration – User Accounts or different.

If you choose the same user name, then you can check the Enable button under Automatic Login and when you go to log into the switch, you’ll simply have to type the username and password for the private key and you’ll be logged in.

If you decide to choose a different username here, then you will get a prompt where you have to enter the SSH private key user name and password and then you’ll have to enter your normal username and password (listed under Admin – User Accounts). If you want the extra security, use a different username, otherwise just name it the same as your current one.

Click the Add button and you’ll get the Add SSH User window pop up.

Make sure the Key Type is set to RSA and then go ahead and open your public SSH key file that you saved earlier using a program like Notepad. Copy the entire contents and paste it into the Public Key window. Click Apply and then click Close if you get a Success message at the top.

Login Using Private Key

Now all we have to do is login using our private key and password. At this point, when you try to login, you’ll need to enter login credentials twice: once for the private key and once for the normal user account. Once we enable automatic login, you’ll just have to enter the username and password for the private key and you’ll be in.

Open puTTY and enter in the IP address of your switch in the Host Name box as usual. However, this time, we’ll need to load up the private key into puTTY also. To do this, expand Connection, then expand SSH and then click on Auth.

Click on the Browse button under Private key file for authentication and select the private key file you saved out of puTTY earlier. Now click the Open button to connect.

The first prompt will be login as and that should be the username you added under SSH users. If you used the same username as your main user account, then it won’t matter.

In my case, I used akishore for both user accounts, but I used different passwords for the private key and for my main user account. If you like, you can make the passwords the same too, but there’s no point in really doing that, especially if you enable automatic login.

Now if you don’t want to have to double login to get into the switch, check the Enable box next to Automatic login on the SSH User Authentication page.

When this is enabled, you’ll now just have to type in the credentials for the SSH user and you’ll be logged in.

It’s a bit complicated, but makes sense once you play around with it. Like I mentioned earlier, I’ll also write out the CLI commands once I can get the private key in the proper format. Following the instructions here, accessing your switch via SSH should be a lot more secure now. If you run into problems or have questions, post in the comments. Enjoy!

Related posts

• Как да активирате SSH достъп за превключватели Cisco SG300

• Как да деактивирате ключа на Windows

• Как да въведете SSH или SFTP във вашия Raspberry Pi

• Как да активирате удостоверяването на Steam Guard

• Вземете своя ключ за защита на безжичната мрежа в Windows

• Как да актуализирате Raspberry Pi

• Как да настроите главни страници в Adobe InDesign CC

• Как да тунелирам VNC през SSH

• Използване на уеб интерфейса на предаването

• Как да създадете екип в Microsoft Teams

• Как да поддържате компютъра си с Windows буден, без да докосвате мишката

• Как да сканирате QR код на iPhone и Android

• Как да генерирате SSH ключове на Windows, Mac и Linux

• 8 от най-добрите технически идеи за справяне със самоизолацията

• Как да възстановите фабричните настройки на Xbox One или Xbox Series X

• Как да конвертирате WEBP изображения в JPG, GIF или PNG

• Как да защитите с парола PDF файл, за да го запазите в безопасност

• Как да отворите JAR файл в Windows

• Как да управлявате дрон за напълно начинаещи

• Как да добавите музика към Google Slides