Wcześniej pisałem o tym, jak włączyć dostęp SSH do przełącznika Cisco^{(how you can enable SSH access to your Cisco switch)} , włączając ustawienie w interfejsie GUI . Jest to świetne, jeśli chcesz uzyskać dostęp do interfejsu wiersza polecenia przełącznika za^(CLI) pośrednictwem zaszyfrowanego połączenia, ale nadal opiera się on tylko na nazwie użytkownika i haśle.

Jeśli używasz tego przełącznika w bardzo wrażliwej sieci, która musi być bardzo bezpieczna, możesz rozważyć włączenie uwierzytelniania klucza publicznego dla połączenia SSH . W rzeczywistości, dla maksymalnego bezpieczeństwa, możesz włączyć uwierzytelnianie za pomocą nazwy użytkownika/hasła i klucza publicznego w celu uzyskania dostępu do przełącznika.

W tym artykule pokażę, jak włączyć uwierzytelnianie kluczem publicznym na przełączniku Cisco SG300^{(SG300 Cisco)} i jak wygenerować pary kluczy publicznych i prywatnych za pomocą puTTYGen. Pokażę ci, jak zalogować się przy użyciu nowych kluczy. Ponadto pokażę Ci, jak to skonfigurować, aby można było użyć tylko klucza do logowania lub zmusić użytkownika do wpisania nazwy użytkownika/hasła wraz z użyciem klucza prywatnego.

Uwaga: Zanim zaczniesz korzystać z tego samouczka, upewnij się, że masz już włączoną usługę SSH na przełączniku, o której wspomniałem w poprzednim artykule połączonym powyżej. ^{(Note: Before you get started on this tutorial, make sure you have already enabled the SSH service on the switch, which I mentioned in my previous article linked above. )}

Włącz uwierzytelnianie użytkownika SSH^{(SSH User Authentication)} za pomocą klucza publicznego^{(Public Key)}

Ogólnie rzecz biorąc, proces uzyskiwania uwierzytelniania klucza publicznego do pracy dla SSH jest prosty. W moim przykładzie pokażę, jak włączyć funkcje za pomocą internetowego interfejsu GUI^(GUI) . Próbowałem użyć interfejsu CLI , aby włączyć uwierzytelnianie klucza publicznego, ale nie akceptował on formatu mojego prywatnego klucza RSA .

Kiedy już to zadziała, zaktualizuję ten post poleceniami CLI , które wykonają to, co na razie zrobimy za pomocą GUI . Najpierw^(First) kliknij Bezpieczeństwo^(Security) , następnie SSH Server , a na końcu SSH User Authentication .

W prawym okienku przejdź dalej i zaznacz pole Włącz obok Uwierzytelnianie użytkownika SSH za pomocą klucza publicznego^{( Enable box next to SSH User Authentication by Public Key)} . Kliknij przycisk Zastosuj^(Apply) , aby zapisać zmiany. Nie zaznaczaj jeszcze przycisku ^(Don)Włącz^(Enable) obok opcji Automatyczne logowanie^{(Automatic login)} , ponieważ wyjaśnię to w dalszej części.

Teraz musimy dodać nazwę użytkownika SSH . Zanim przejdziemy do dodawania użytkownika, musimy najpierw wygenerować klucz publiczny i prywatny. W tym przykładzie użyjemy puTTYGen, czyli programu dostarczanego z puTTY.

Generuj klucze prywatne i publiczne

Aby wygenerować klucze, otwórz najpierw puTTYGen. Zobaczysz pusty ekran i naprawdę nie powinieneś zmieniać żadnych ustawień z domyślnych pokazanych poniżej.

Kliknij przycisk Generuj^(Generate) , a następnie poruszaj myszą po pustym obszarze, aż pasek postępu przejdzie przez całą drogę.

Po wygenerowaniu kluczy musisz wpisać hasło, które jest w zasadzie jak hasło do odblokowania klucza.

Dobrym pomysłem jest użycie długiego hasła, aby chronić klucz przed atakami brute-force. Po dwukrotnym wpisaniu hasła należy kliknąć przyciski Zapisz klucz publiczny^{(Save public key)} i Zapisz klucz prywatny^{(Save private key)} . Upewnij się, że te pliki są zapisane w bezpiecznej lokalizacji, najlepiej w zaszyfrowanym kontenerze, który wymaga hasła do otwarcia. Sprawdź mój post na temat używania VeraCrypt do tworzenia zaszyfrowanego woluminu^{(VeraCrypt to create an encrypted volume)} .

Dodaj użytkownika i klucz

Teraz wróć do ekranu  uwierzytelniania użytkownika SSH^{( SSH User Authentication)} , na którym byliśmy wcześniej. Tutaj możesz wybrać jedną z dwóch różnych opcji. Najpierw przejdź do Administracja^{(Administration)} – Konta użytkowników^{( User Accounts)} , aby zobaczyć, jakie konta aktualnie posiadasz do logowania.

Jak widać, mam jedno konto o nazwie akishore, aby uzyskać dostęp do mojego przełącznika. Obecnie^(Currently) mogę używać tego konta, aby uzyskać dostęp do internetowego interfejsu GUI^(GUI) i CLI . Wróć^(Back) na stronę Uwierzytelnianie użytkownika SSH^{(SSH User Authentication)} , użytkownik, którego musisz dodać do tabeli uwierzytelniania użytkowników SSH (według klucza publicznego)^{(SSH User Authentication Table (by Public Key))}  , może być taki sam, jak ten, który masz w Administracji - Konta użytkowników^{(Administration – User Accounts)} lub inny.

Jeśli wybierzesz tę samą nazwę użytkownika, możesz zaznaczyć przycisk Włącz w obszarze ^(Enable)Automatyczne logowanie^{(Automatic Login)} , a kiedy przejdziesz do logowania do przełącznika, wystarczy wpisać nazwę użytkownika i hasło do klucza prywatnego, a zostaniesz zalogowany .

Jeśli zdecydujesz się wybrać tutaj inną nazwę użytkownika, otrzymasz monit, w którym musisz wprowadzić nazwę użytkownika i hasło klucza prywatnego SSH , a następnie będziesz musiał wprowadzić swoją normalną nazwę użytkownika i hasło (wymienione w sekcji Administrator – Konta użytkowników^{(Admin – User Accounts)} ) . Jeśli chcesz uzyskać dodatkowe zabezpieczenia, użyj innej nazwy użytkownika, w przeciwnym razie po prostu nazwij ją tak samo, jak obecna.

Kliknij^(Click) przycisk Dodaj^(Add) , a pojawi się wyskakujące okno Dodaj użytkownika SSH .^{(Add SSH User)}

Upewnij się, że typ klucza^{(Key Type)} jest ustawiony na RSA , a następnie otwórz swój publiczny plik klucza SSH , który zapisałeś wcześniej za pomocą programu takiego jak Notatnik^(Notepad) . Skopiuj całą zawartość i wklej ją w oknie klucza publicznego^{(Public Key)} . Kliknij Zastosuj^(Apply) , a następnie Zamknij^(Close) , jeśli na górze pojawi się komunikat Sukces .^(Success)

Zaloguj się przy użyciu klucza prywatnego

Teraz wystarczy, że zalogujemy się za pomocą naszego klucza prywatnego i hasła. W tym momencie, gdy próbujesz się zalogować, musisz dwukrotnie wprowadzić dane logowania: raz dla klucza prywatnego i raz dla normalnego konta użytkownika. Gdy włączymy automatyczne logowanie, wystarczy, że wpiszesz nazwę użytkownika i hasło do klucza prywatnego i będziesz w środku.

Otwórz puTTY i jak zwykle wpisz adres IP swojego przełącznika w polu Nazwa hosta^{( Host Name)} . Jednak tym razem będziemy musieli załadować klucz prywatny również do puTTY. Aby to zrobić, rozwiń Connection , następnie rozwiń SSH , a następnie kliknij Auth .

Kliknij przycisk Przeglądaj^(Browse) w obszarze Plik klucza prywatnego w celu uwierzytelnienia^{(Private key file for authentication)} i wybierz plik klucza prywatnego zapisany wcześniej z puTTY. Teraz kliknij przycisk Otwórz^(Open) , aby się połączyć.

Pierwszym monitem będzie logowanie jako^{(login as)} i powinna to być nazwa użytkownika dodana pod użytkownikami SSH . Jeśli używasz tej samej nazwy użytkownika, co na swoim głównym koncie użytkownika, nie ma to znaczenia.

W moim przypadku użyłem akishore dla obu kont użytkowników, ale użyłem różnych haseł do klucza prywatnego i do mojego głównego konta użytkownika. Jeśli chcesz, możesz też ustawić takie same hasła, ale nie ma sensu tego robić, zwłaszcza jeśli włączysz automatyczne logowanie.

Teraz, jeśli nie chcesz mieć podwójnego logowania, aby dostać się do przełącznika, zaznacz pole Włącz^(Enable) obok Automatyczne logowanie^{( Automatic login)} na stronie Uwierzytelnianie użytkownika SSH^{(SSH User Authentication)} .

Gdy ta opcja jest włączona, wystarczy wpisać poświadczenia użytkownika SSH i zostaniesz zalogowany.

To trochę skomplikowane, ale ma sens, gdy się nim pobawisz. Jak wspomniałem wcześniej, napiszę również polecenia CLI , gdy zdobędę klucz prywatny w odpowiednim formacie. Postępując zgodnie z instrukcjami tutaj, dostęp do przełącznika przez SSH powinien być teraz znacznie bezpieczniejszy. Jeśli napotkasz problemy lub masz pytania, opublikuj w komentarzach. Cieszyć się!

Enable Public Key Authentication for SSH on Cisco SG300 Switches

Previously, I wrote abоυt how you can enable SSH access to your Cisco switch by enabling the setting in the GUI interface. This is great if you want to access your switch CLI over an encrypted connection, but it still relies on just a username and password.

If you are using this switch in a highly sensitive network that needs to be very secure, then you might want to consider enabling public key authentication for your SSH connection. Actually, for maximum security, you can enable a username/password and public key authentication for access to your switch.

In this article, I’ll show you how to enable public key authentication on an SG300 Cisco switch and how to generate the public and private key pairs using puTTYGen. I’ll then show you how to login using the new keys. In addition, I’ll show you how to configure it so that you can either use just the key to login or force the user to type in a username/password along with using the private key.

Note: Before you get started on this tutorial, make sure you have already enabled the SSH service on the switch, which I mentioned in my previous article linked above. 

Enable SSH User Authentication by Public Key

Overall, the process for getting public key authentication to work for SSH is straightforward. In my example, I’ll show you how to enable the features using the web-based GUI. I tried to use the CLI interface to enable public key authentication, but it would not accept the format for my private RSA key.

Once I get that working, I’ll update this post with the CLI commands that will accomplish what we will do through the GUI for now. First, click on Security, then SSH Server and finally SSH User Authentication.

In the right-hand pane, go ahead and check the Enable box next to SSH User Authentication by Public Key. Click the Apply button to save the changes. Don’t check the Enable button next to Automatic login just yet as I’ll explain that further down.

Now we have to add a SSH user name. Before we get into adding the user, we first have to generate a public and private key. In this example, we’ll be using puTTYGen, which is a program that comes with puTTY.

Generate Private and Public Keys

To generate the keys, go ahead and open puTTYGen first. You’ll see a blank screen and you really shouldn’t have to change any of the settings from the defaults shown below.

Click on the Generate button and then move your mouse around the blank area until the progress bar go all the way across.

Once the keys have been generated, you need to type in a passphrase, which is basically like a password to unlock the key.

It’s a good idea to use a long passphrase to protect the key from brute-force attacks. Once you have typed in the passphrase twice, you should click the Save public key and Save private key buttons. Make sure these files are saved in a secure location, preferably in an encrypted container of some sort that requires a password to open. Check out my post on using VeraCrypt to create an encrypted volume.

Add User & Key

Now back to the SSH User Authentication screen we were on earlier. Here’s where you can choose from two different options. Firstly, go to Administration – User Accounts to see what accounts you currently have for login.

As you can see, I have one account called akishore for accessing my switch. Currently, I can use this account to access the web-based GUI and the CLI. Back on the SSH User Authentication page, the user you need to add to the SSH User Authentication Table (by Public Key) can either be the same as what you have under Administration – User Accounts or different.

If you choose the same user name, then you can check the Enable button under Automatic Login and when you go to log into the switch, you’ll simply have to type the username and password for the private key and you’ll be logged in.

If you decide to choose a different username here, then you will get a prompt where you have to enter the SSH private key user name and password and then you’ll have to enter your normal username and password (listed under Admin – User Accounts). If you want the extra security, use a different username, otherwise just name it the same as your current one.

Click the Add button and you’ll get the Add SSH User window pop up.

Make sure the Key Type is set to RSA and then go ahead and open your public SSH key file that you saved earlier using a program like Notepad. Copy the entire contents and paste it into the Public Key window. Click Apply and then click Close if you get a Success message at the top.

Login Using Private Key

Now all we have to do is login using our private key and password. At this point, when you try to login, you’ll need to enter login credentials twice: once for the private key and once for the normal user account. Once we enable automatic login, you’ll just have to enter the username and password for the private key and you’ll be in.

Open puTTY and enter in the IP address of your switch in the Host Name box as usual. However, this time, we’ll need to load up the private key into puTTY also. To do this, expand Connection, then expand SSH and then click on Auth.

Click on the Browse button under Private key file for authentication and select the private key file you saved out of puTTY earlier. Now click the Open button to connect.

The first prompt will be login as and that should be the username you added under SSH users. If you used the same username as your main user account, then it won’t matter.

In my case, I used akishore for both user accounts, but I used different passwords for the private key and for my main user account. If you like, you can make the passwords the same too, but there’s no point in really doing that, especially if you enable automatic login.

Now if you don’t want to have to double login to get into the switch, check the Enable box next to Automatic login on the SSH User Authentication page.

When this is enabled, you’ll now just have to type in the credentials for the SSH user and you’ll be logged in.

It’s a bit complicated, but makes sense once you play around with it. Like I mentioned earlier, I’ll also write out the CLI commands once I can get the private key in the proper format. Following the instructions here, accessing your switch via SSH should be a lot more secure now. If you run into problems or have questions, post in the comments. Enjoy!

Related posts

• Jak włączyć dostęp SSH dla przełączników Cisco SG300

• Jak wyłączyć klawisz Windows

• Jak podłączyć SSH lub SFTP do Raspberry Pi?

• Jak włączyć uwierzytelnianie Steam Guard

• Odzyskaj klucz bezpieczeństwa sieci bezprzewodowej w systemie Windows

• Jak stworzyć zespół w Microsoft Teams

• Jak otworzyć zablokowany plik, gdy używa go inny program?

• Jak zeskanować wiele stron do jednego pliku PDF

• Jak przywrócić ustawienia fabryczne konsoli Xbox One lub Xbox Series X

• Utwórz aplikację Gmail na komputer, korzystając z tych 3 klientów poczty e-mail

• Jak pobrać instalator Google Chrome offline (autonomiczny)

• Jak generować klucze SSH w systemach Windows, Mac i Linux?

• 6 najlepszych ustawień aparatu dla zdjęć księżycowych

• Jak usunąć folder Windows.old w systemie Windows 7/8/10

• 8 najlepszych pomysłów technicznych na radzenie sobie z samoizolacją

• Jak tunelować VNC przez SSH?

• Jak naprawić błąd „Wymagane jest uwierzytelnianie Google Play” na Androidzie?

• Jak odzyskać zhakowane konto na Facebooku?

• Korzystanie z internetowego interfejsu transmisji

• Jak zrobić wypełnialny formularz Dokumentów Google za pomocą tabel