搜档网
当前位置:搜档网 › LINUX如何配置双机SSH信任然后双向免密码登陆

LINUX如何配置双机SSH信任然后双向免密码登陆

LINUX如何配置双机SSH信任然后双向免密码登陆
LINUX如何配置双机SSH信任然后双向免密码登陆

一、实现原理

使用一种被称为公私钥认证的方式来进行ssh登录。公私钥认证方式简单的解释是:

首先在客户端上创建一对公私钥(公钥文件:~/.ssh/id_rsa.pub;私钥文件:~/.ssh/id_rsa),然后把公钥放到服务器上(~/.ssh/authorized_keys),自己保留好私钥。当ssh登录时,ssh程序会发送私钥去和服务器上的公钥做匹配。如果匹配成功就可以登录了。

二、实验环境

A机:TS-DEV/10.0.0.163

B机:CS-DEV/10.0.0.188

三、Linux/Unix双机建立信任

3.1 在A机生成证书

在A机root用户下执行ssh-keygen命令,在需要输入的地方,直接回车,生成建立安全信任关系的证书。

# ssh-keygen -t rsa

注意:在程序提示输入passphrase时直接输入回车,表示无证书密码。

上述命令将生成私钥证书id_rsa和公钥证书id_rsa.pub,存放在用户家目录的.ssh子目录中。

3.2 查看~/.ssh生成密钥的文件

# cd ~/.ssh

# ll

3.3 A对B建立信任关系

将公钥证书id_rsa.pub复制到机器B的root家目录的.ssh子目录中,同时将文件名更换为authorized_keys,此时需要输入B机的root用户密码(还未建立信任关系)。建立了客户端到服务器端的信任关系后,客户端就可以不用再输入密码,就可以从服务器端拷贝数据了。

# scp -r id_rsa.pub 10.0.0.188:/root/.ssh/authorized_keys

3.4 B对A建立信任关系

在B机上执行同样的操作,建立B对A的信任关系。

# ssh-keygen -t rsa

# cd ~/.ssh/

# ll

# scp -r id_rsa.pub 10.0.0.163:/root/.ssh/authorized_keys

如果想让B,C同时可以scp不输入密码,传输A中的数据;

则要把B、C的公钥都给 A;

操作步骤:把两机器的id_rsa.pub中的数据都拷贝到A的/root/.ssh/authorized_keys 文件中,一行表示一条;

A: scp -r id_rsa.pub 10.0.0.163:/root/.ssh/authorized_keys

B: scp -r id_rsa.pub 10.0.0.188:/root/.ssh/authorized_keys

测试 ssh root@10.0.0.188 'hostname' /// ssh root@10.0.0.163 'hostname'

如果连接反应慢,请修改以下两参数

/etc/ssh/sshd_config

GSSAPIAuthentication no

UseDNS no

然后重启service sshd restart

28-SSH接入Password认证典型配置举例

SSH接入Password认证典型配置举例 Copyright ? 2014 杭州华三通信技术有限公司版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部, 并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。

目录 1 简介 (1) 2 配置前提 (1) 3 配置举例 (1) 3.1 组网需求 (1) 3.2 配置注意事项 (1) 3.3 配置步骤 (2) 3.3.1 AC的配置 (2) 3.3.2 Switch的配置 (4) 3.4 验证配置 (5) 3.5 配置文件 (7) 4 相关资料 (9)

1 简介 本文档介绍了SSH 接入Password 认证配置举例。 2 配置前提 本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解SSH 特性。 3 配置举例 3.1 组网需求 如图1所示,AC 作为Stelnet 服务器,并采用password 认证方式对无线客户端Client 进行认证,Client 的用户名和密码保存在AC 本地,使Client 可以安全的登录到AC 上,且Client 的用户级别为管理级。 图1 无线控制器作为Stelnet 服务器配置组网图 3.2 配置注意事项 ? 由于不同客户端支持的公钥算法不同,为了确保所有的无线客户端都能够成功登录AC ,需要在AC 上同时生成DSA 和RSA 两种密钥对。 ? 配置AP 的序列号时请确保该序列号与AP 唯一对应,AP 的序列号可以通过AP 设备背面的标签获取。 AC Switch AP Client

Stelnet(ssh)登陆华为交换机配置教程

Stelnet(ssh)登陆华为交换机配置教程 使用STelnet V1协议存在安全风险,建议使用STelnet V2登录设备。 通过STelnet登录设备的缺省值 参数缺省值 STelnet服务器功能关闭 SSH服务器端口号22 SSH服务器密钥对的更新周期0小时,表示永不更新 SSH连接认证超时时间60秒 SSH连接的认证重试次数3 SSH服务器兼容低版本功能使能 VTY用户界面的认证方式没有配置认证方式 VTY用户界面所支持的协议Telnet协议 SSH用户的认证方式认证方式是空,即不支持任何认证方式SSH用户的服务方式服务方式是空,即不支持任何服务方式SSH服务器为用户分配公钥没有为用户分配公钥 用户级别VTY用户界面对应的默认命令访问级别是0 1、生成本地密钥对 密钥保存在交换机中单不保存在配置文件中 [Huawei]rsa ? key-pair RSA key pair local-key-pair Local RSA public key pair operations peer-public-key Remote peer RSA public key configuration

[Huawei]rsa local-key-pair ? create Create new local public key pairs destroy Destroy the local public key pairs # 销毁本地密钥对 [Huawei]rsa local-key-pair create The key name will be: Huawei_Host The range of public key size is (512 ~ 2048). NOTES: If the key modulus is greater than 512, it will take a few minutes. Input the bits in the modulus[default = 512]:1024 # 密钥对长度越大,密钥对安全性就越好,建议使用最大的密钥对长度 Generating keys... .......++++++ .++++++ ........................++++++++ ..........++++++++ 或 [Huawei]dsa local-key-pair ? create Create a new local key-pair destroy Destroy the local key-pair

LinuxSSH配置和禁止Root远程登陆设置文档

L i n u x S S H配置和禁止R o o t远程登陆设置2010-01-0713:16 1、servicesshdrestart???或者/etc/sshdrestart(ssh服务器重启) 一、修改vi/etc/ssh/sshd_config文件 1、修改默认端口:默认Port为22,并且已经注释掉了;修改是把注释去掉,并修改成其它的端口。 2、禁止root用户远程登陆:修改PermitRootLogin,默认为yes且注释掉了;修改是把注释去掉,并改成no。 3、PermitEmptyPasswords??no不允许空密码用户login 二、ssh的公钥认证配置: 修改vi/etc/ssh/sshd_config文件 RSAAuthenticationyes???????#启用RSA认证(默认是注释掉的,将注释去掉,如果不是yes,改为yes) PubkeyAuthenticationyes????#启用公钥认证(默认是注释掉的,将注释去掉,如果不是yes,改为yes) PasswordAuthenticationno???#禁止密码认证(改为no,默认为yes是用密码认证) StrictModesno??#修改为no,默认为yes.如果不修改用key登陆是出现serverrefusedourkey(如果StrictModes为yes必需保证存放公钥的文件夹的拥有与登陆用户名是相同的.“StrictModes”设置ssh在接收登录请求之前是否检查用户家目录和rhosts文件的权限和所有权。这通常是必要的,因为新手经常会把自己的目录和文件设成任何人都有写权限。) 之后重新启动ssh服务:/etc/sshrestart 生成登陆公钥与私钥, [root@usousou192_168_0_21ssh]#ssh-keygen-trsa Generatingpublic/privatersakeypair. Enterfileinwhichtosavethekey(/root/.ssh/id_rsa):/home/.ssh/id_rsa(生成私钥与公钥存放位置) Enterpassphrase(emptyfornopassphrase):输入密码Entersamepassphraseagain:再次输入密码 Youridentificationhasbeensavedin/home/.ssh/id_rsa.???(生成的私钥) Yourpublickeyhasbeensavedin/home/.ssh/.(生成的公钥) Thekeyfingerprintis: 76:04:4d:44:25:37:0f:b1:a5:b7:6e:63:d4:97:22:6b 将生成的公钥匙传到要登陆的服务器上并追加到authorized_keys文件中,放到用户目录的.ssh中>>.ssh/authorized_keys(如果没有authorized_keys,可直接将重命名

Linux ssh密钥自动登录

Linux ssh密钥自动登录 在开发中,经常需要从一台主机ssh登陆到另一台主机去,每次都需要输一 次login/Password,很繁琐。 今天google了一下,设置了密钥登陆,特地分享一下: 实现从主机A免密码登陆到主机B,需要以下几个步骤: 1. 在主机A“~/.ssh/”目录下执行命令“ssh-keygen -t rsa”(生成过程中,一路回车),生成两个文件id_rsa和id_rsa_pub,这两个文件实际上是一个密钥对,id_rsa是私钥,id_rsa_pub是公钥; 2. 将文件id_rsa_pub从主机A拷贝(可以使用scp命令)到主机B“~/.ssh/”目录下; 3. 登陆到主机B上,进入“~/.ssh/”目录,将从主机拷贝来的id_rsa_pub 文件添加到文件“authorized_keys”尾部(cat id_rsa_pub>>authorized_keys),若文件“authorized_keys”不存在,则创建;确保“~/.ssh /authorized_keys”的权限至少为600; 4. 从主机A登陆主机B,第一次登陆时主机B要自动设置known_hosts文件,所以需要输入yes,以后就不需要了; P.S.当然你登陆主机A和主机B用的是同一个用户名 锦上添花:

假设你的用户名为user,已经设置好了密钥登陆主机B。那么你可以在shell 的配置文件(比如.bashrc)里定义一个alias alias b='ssh user@B' 以后每次你启动shell终端后,输入b,回车,直接就ssh登陆到主机B上。下午刚在自己的开发环境上设置好,顿时觉得节约不少时间,呵呵。

华为S2403HI交换机以SSH方式登录配置

华为S2000-HI系列SSH终端服务设置 平时以CecureCRT软件为客户端登录交换机进行相应维护,校园网工程施工时对交换机只配置了本地口令认证,并且是以Telnet 方式登录。为了增强网络设置安全性,提高业务水平,练习配置以SSH方式登录Quidway S2403H-HI交换机,经历了一些曲折,今天终于配置成功,现将配置过程记录如下: 基础知识准备 SSH是Secure Shell(安全外壳)的简称。当用户通过一个不能保证安全的网络环境远程登录到交换机时,SSH特性可以提供安全的信息保障和强大的认证功能,以保护交换机不受诸如IP地址欺诈、明文密码截取等攻击。交换机作为SSH Server,可以接受多个SSH 客户的连接,目前支持的版本是SSH2.0(兼容SSH1.5); 整改前 只进行本地口令认证,涉及到的配置如下: # super password level 3 simple 123456 # user-interface aux 0 user-interface vty 0 4 set authentication password simple 123456 整改后 1、不成功的设置过程。现增加用户admin01,进行本地用户和口令认证,配置如下: local-user admin01 password cipher admin02

service-type telnet level 3 service-type ssh level 3 增加用户admin01后查看本地用户的使用情况: 此时意外发现可以WEB方式登录交换机了。 2、参照随机光盘示例,配置如下: #设置用户接口上的认证模式为AAA认证 [S2403]user-interface vty 0 4 [S2403-ui-vty0-4]authentication-mode scheme #设置用户接口上支持SSH协议 [S2403-ui-vty0-4] protocol inbound ssh #指定用户client001的登录协议为SSH,认证方式为password [S2403-ui-vty0-4] quit [S2403] local-user client001 [S2403-luser-client001] password simple aabbcc [S2403-luser-client001] service-type ssh level 3 [S2403-luser-client001] quit

centos SSH配置详解

基本概念 linux自带的ssh为OpenSSH ssh协议提供两种用户认证方式 1、基于口令的安全认证:使用用户名、密码的方式对登录用户进行认证 2、基于密钥的安全认证:使用公钥和私钥对的方式对登录用户进行认证 OpenSSH的rpm包由四部分组成(默认已安装) openssh-4.3p2-26.el5.i386.rpm(一定要先安装这个rpm包) openssh-server-4.3p2-26.el5.i386.rpm openssh-clients-4.3p2-26.el5.i386.rpm openssh-askpass-4.3p2-26.el5.i386.rpm (在图形界面下使用ssh服务时才需要) openssh的主配置文件为: /etc/ssh/sshd_config #ssh服务器的配置文件 /etc/ssh/ssh_config #ssh客户端的配置文件 openssh支持使用scp(加密的拷贝)和sftp(加密的ftp)等客户端程序进行远程主机的文件复制 OpenSSH服务器端配置实例1:基于用户名密码的登录方式 1、vi /etc/ssh/sshd_config (以下列出的是常用配置) #Port 22 #定义ssh监听的端口号,默认为22 #Protocol 2,1 #设置使用ssh协议的顺序,先使用ssh2,如果不成功再使用ssh Protocol 2 #设置只使用ssh2协议 #ListenAddress 0.0.0.0 #设置ssh服务器绑定的ip地址,默认为所有可用的ip地址 #PermitRootLogin yes #设置是否允许root登录,默认允许 #PermitEmptyPasswords no #设置是否允许空密码的客户登录,默认为禁止 PasswordAuthentication yes #设置是否使用口令认证方式,如果要使用公钥认证方式, 可将其设置为no 2、重启ssh服务 /etc/init.d/sshd restart 3、如果启用了iptables,则需要添加如下语句来开放ssh iptables –I INPUT –p tcp –dport 22 –j ACCEPT iptables –I OUTPUT –p tcp –sport 22 –j ACCEPT 3、windows客户端登录 使用xshell、putty、securecrt等客户端软件都可以登录 4、linux客户端登录 1、安装openssh-clients (默认已安装) 2、ssh命令的基本使用 ssh username@sshserver ssh –l username sshserver

SSH无密码认证(密钥)配置

服务端SSH相关配置文件的修改 修改SSH的配置文件: [root@localhost ~]# vi /etc/ssh/sshd_config #Protocol 2,1SSH协议版本:将“#”删除,再将行末的“,1”删除,只允许SSH2方式的连接。 #ServerKeyBits 768密钥强度:将“#”删除,并将768改为1024,将ServerKey强度改为1024比特。 #PermitRootLogin yes 允许以root登录开关:将“#”删除,并将yes改为no。修改为不允许用root进行登录。 #PasswordAuthentication yes密码方式的登录开关:将“#”删除,将yes改为no,修改后不允许密码方式的登录 #PermitEmptyPasswords no空密码登录开关:将“#”删除,不允许空密码登录。 保存并退出。 因为我们只想让SSH服务为管理系统提供方便,所以在不通过外网远程管理系统的情况下,只允许内网客户端通过SSH登录到服务器,以最大限度减少不安全因素。设置方法如下:[root@localhost ~]# vi /etc/hosts.deny←修改屏蔽规则,在文尾添加相应行 # # hosts.deny This file describes the names of the hosts which are # *not* allowed to use the local INET services, as decided # by the '/usr/sbin/tcpd' server. # # The portmap line is redundant, but it is left to remind you that # the new secure portmap uses hosts.deny and hosts.allow. In particular # you should know that NFS uses portmap! sshd: ALL←添加这一行,屏蔽来自所有的SSH连接请求[root@localhost ~]# vi /etc/hosts.allow←修改允许规则,在文尾添加相应行 # # hosts.allow This file describes the names of the hosts which are # allowed to use the local INET services, as decided # by the '/usr/sbin/tcpd' server. # sshd: 192.168.0.←添加这一行,只允许来自内网的SSH连接请求 重新启动SSH服务 在修改完SSH的配置文件后,需要重新启动SSH服务才能使新的设置生效。 # /etc/rc.d/init.d/sshd restart 这时,以正常的密码的方式是无法登录服务器的。 SSH客户端公钥与私钥的建立 在客户端(linux)登录为需要建立密钥的用户,基于这个用户建立公钥与私钥。(这里以oracle用户为例) [root@localhost ~]# su - oracle//登录为一般用户oracle [oracle@localhost ~]$ ssh-keygen -t rsa //建立公钥与私钥对 Enter file in which to save the key (/home/kaz/.ssh/id_rsa): //私钥的路径,这里保持默认直接回车

Linux SSH 远程登录配置方案

Linux SSH 远程登录配置方案成功 一:windows 远程登录到linux 服务器操作系统 1.Linux 服务器系统需要打开sshd 服务 a)service sshd start b)chkconfig sshd on c)iptables 可以关闭或设置相应的端口开放 2.工具软件PuTTY 进行登录 a)输入IP地址192.168.56.102 b)选择SSH登录协议 c)设定端口为22 d)点击Open 进去界面输入正常的用户名和密码进去服务 器系统 3.工具软件WinSCP a) 1. WinSCP 登录很简单此软件用于备份文件使用 4.网络密钥登录方式linux 主机登录linux 服务器 a)首先运行ssh 192.168.56.102 ssh 是命令后面的是目标 主机 b)登录后系统会有提示公共密钥输入yes c)输入服务器root用户的密码****** 这样就可以登录成功 d)这时会发现在服务器和主机上都有一个相同的文件夹.ssh (~当成目录) e)在.ssh目录下有一个known_hosts 这个是公钥文件

f)这时我们需要在(客户机)生成密码文件ssh –keygen –t rsa g)确认后会提示是否把文件放到.ssh目录确定OK h)提示输入密码:abcde i)这时文件已经创建好了在~/.ssh/ 会有两个文件一个是 id_rsa 为密钥.pub 为公钥 j)把公钥传到服务器~/.ssh/ 目录下名子为authorized_keys(这个名子是必须的) scp ./.ssh/id_rsa.pub root@192.168.56.102:~/.ssh/authorized_keys k)Scp 当面目录下/.ssh/id_rsa.pub 服务器ID@服务器地址:当前目录/.ssh/authorized_key l)确认哦使用ssh 登录时就会提示网络密钥密码这个密码就不是用户的密码了这样大大的提高了安全性

H3C和Hawei设备配置ssh登录的命令

不同于Cisco,H3C和Hawei在配置SSH登录的时候可以不配置域名,因为H3C和Hawei设备存在默认域名,配置如下: Hawei设备: stelnet server enable 全局下开启设备可以被SSH登录 rsa local-key-pair create 生成本地ssh登录用密钥,敲回车时会提示默认生成的是512位的,可以手动更改 aaa local-user XXX password cipher XXX AAA下创建本地用户名和密码 user-interfacevty 0 4 进入vty配置 authentication-mode aaa验证模式aaa protocol inbound ssh只允许登录方式ssh(可选) (ssh client first-time enable华为设备默认ssh客户端是关闭的,要想作为ssh客户端登录其它设备,必须先开启自身为客户端) H3C设备: sshserver enable全局下开启设备可以被SSH登录 public-key local create rsa生成本地ssh登录用密钥,敲回车时会提示默认生成的是512位的,可以手动更改 local-user XXX 配置用户名 password cipher XXX 配置用户名对应的密码 service-type ssh配置此用户用于ssh登录服务 user-interfacevty 0 4 authentication-mode scheme配置验证模式 protocol inbound ssh只允许登录方式ssh(可选) Cisco设备: ip domain name XXX.XXX 配置域名 crypto key generate rsa general-keys (modulus 1024)生成本地ssh登录用密钥,敲回车时会提示默认生成的是512位的,可以手动更改;也可命令后面跟“modulus XX”,XX是位数,直接指定生成密钥的位数 username XXX password XXX 配置用户名和密码用于ssh登录 linevty 0 4 login local验证模式为本地 transport input ssh只允许登录方式ssh(可选)

SSH互信配置不成功的问题解决方法

RedHat设置SSH免密码登录 如果我们需要远程管理其他机器的话,一般使用远程桌面或者telnet。linxu服务器几乎都是命令行,所以只能使用telnet了。telnet的缺点是通信不加密,非常不安全,只适合于内网访问。为解决这个问题,推出了加密的通信协议,即SSH。SSH的全称是Secure Shell,使用非对称加密方式,传输内容使用rsa或者dsa加密,可以有效避免网络窃听。 hadoop的进程之间通信使用ssh方式,需要每次都要输入密码。为了实现自动化操作,我们下面配置SSH的免密码登录方式。 首先到用户主目录下,如图2-64所示。 图2-64 在“ls -a”命令显示的文件中,最后一列中间一项是“.ssh”,该文件夹是存放密钥的。注意该文件夹是以“.”开头的,是隐藏文件。待会我们生成的密钥都会放到这个文件夹中。 现在执行命令,生成密钥,如图2-65所示。 图2-65

解释一下:命令“ssh-keygen -t rsa”表示使用rsa加密方式生成密钥,回车后,会提示三次输入信息,我们直接回车即可。 然后进入密钥文件夹,执行命令,如图2-66所示。 图2-66 其中,命令“cp id_rsa.pub authorized_keys”用于生成授权文件。至此,配置部分完成了。 这里为什么要使用ssh登录本机哪?因为hadoop在本机部署时,需要使用ssh访问。 注意:文件夹“.ssh”中的三个文件的权限,是有要求的,“自己之外的任何人对每个文件都没有写权限”。另外,“.ssh”文件夹是700权限。如果权限有问题,会造成SSH访问失败。 现在开始验证SSH无密码登录,如图2-67所示。 图2-67 执行“sshlocalhost”意味着使用“ssh”通信协议访问主机“localhost”,第一次执行时需要确认;第二次不再确认了。这就是无密码登录。当登录到对方机器后,退出使用命令

AIX_SSH配置手册

SSH配置完全手册 前言 为何使用 OpenSSH 您每天使用的标准网络服务(如 FTP、Telnet、RCP 和远程 Shell (rsh) 等)在封闭环境中运行良好,但使用这些服务在网络上传输的信息是未加密的。任何人都可以在您的网络或远程计算机上使用包嗅探器查看交换的信息,有时甚至可以查看密码信息。 而且,使用所有此类服务时,在登录过程中用于自动登录的选项会受到限制,并且通常依赖于将纯文本密码嵌入到命令行才能执行语句,从而使登录过程变得更加不安全。 开发的安全 Shell (SSH) 协议可以排除这些限制。SSH 能够为整个通信通道提供加密,其中包括登录和密码凭据交换,它与公钥和私钥一起使用可以为登录提供自动化身份验证。您还可以将 SSH 用作基础传输协议。以这种方式使用 SSH 意味着在打开安全连接后,加密通道可以交换所有类型的信息,甚至 HTTP 和 SMTP 可以使用该方法来保证通信机制的安全。 OpenSSH 是 SSH 1 和 SSH 2 协议的免费实现。它最初是作为 OpenBSD (Berkeley Software Distribution) 操作系统的一部分开发的,现在被发布为 UNIX 或 Linux?和类似操作系统的常规解决方案。 安装 OpenSSH OpenSSH 是免费软件,可以从 OpenSSH 的主要网站下载(请参见参考资料)。可以使用多种系统(包括 Linux、HP-UX、AIX?、Solaris、Mac OS X 等)上的源代码构建 OpenSSH 系统。通常可以找到所选平台和版本的预编译二进制代码。有些供应商甚至作为操作系统的一部分提供 OpenSSH 工具包。 要构建OpenSSH,您需要以下内容: C 编译器(GNU C 编译器 (gcc) 或类似编译器) Zlib –压缩库 OpenSSL –安全套接字层 (SSL) 安全库 注意: 在AIX上安装SSH , 需要安装OpenSSL来获得支持 . 否则, 安装会不成功 , 报错信息提示也要先安装OpenSSL . OpenSSL可以登陆IBM官网下载 , SSH软件从 project/group_id=127997 上下载 .

华为交换-路由设备配置远程ssh登录操作步骤

华为交换/路由设备配置SSH登录 首先说一下配置的基本步骤 1、虚拟终端VTY设置 2、SSH用户设置 3、SSH服务器设置 下面具体说一下 1、虚拟终端VTY设置 [huawei]user-interface vty 0 4 [huawei-ui-vty0 4]authentication-mode aaa #用户认证方式为AAA [huawei-ui-vty0 4]protocol inbound ssh #设置VTY只支持SSH协议,自动禁止telnet功能。Inbound后面一共有三个参数 all允许所有协议, ssh只允许ssh协议,telnet 只允许telnet协议可根据情况自己选择。 2、SSH用户设置 [huawei]aaa #进入AAA配置模式 [Huawei-aaa]local-user sshuser password cipher 123 privilege level 15 #创建本的用户sshuser 并设置密码方式为cipher 密码为123 等级为15。 #password 的参数有simple和cipher 一个是明文,一个是密文 [Huawei-aaa]local-user sshuser service-type ssh #配置本地用户的服务方式为ssh。 [huawei] ssh user sshuser authentication-type password #创建SSH用户并配置SSH用户的认证方式为password。 [huawei]ssh user sshuser service-type all #设置ssh用户的服务类型(交换机里面有这条命令,路由器里面没有) 注:先在AAA下创建ssh用户,再在ssh 下创建用户的认证方式。 3、SSH服务器设置 [Huawei]stelnet server enable #使能stelnet服务 [Huawei]rsa local-key-pair create #生成本地RSA或DSA密钥对

Cisco路由器的SSH配置详解

Cisco路由器的SSH配置详解 2008-06-18 13:04 如果你一直利用Telnet控制网络设备,你可以考虑采用其他更安全的方式。本 文告诉你如何用SSH替换Telnet. 使用Telnet这个用来访问远程计算机的TCP/IP协议以控制你的网络设备相当于在离开某个建筑时大喊你的用户名和口令。很快地,会有人进行监听,并且他们会利用你安全意识的缺乏。 SSH是替代Telnet和其他远程控制台管理应用程序的行业标准。SSH命令是加密的并以几种方式进行保密。 在使用SSH的时候,一个数字证书将认证客户端(你的工作站)和服务器(你的网络设备)之间的连接,并加密受保护的口令。SSH1使用RSA加密密钥,SSH2使用数字签名算法(DSA)密钥保护连接和认证。 加密算法包括Blowfish,数据加密标准(DES),以及三重DES(3DES)。SSH保护并且有助于防止欺骗,“中间人”攻击,以及数据包监听。 实施SSH的第一步是验证你的设备支持SSH.请登录你的路由器或交换机,并确定你是否加载了一个支持SSH的IPSec IOS镜像。 在我们的例子中,我们将使用Cisco IOS命令。运行下面的命令: 该命令显示已加载的IOS镜像名称。你可以用结果对比你的供应商的支持特性列表。 在你验证了你的设备支持SSH之后,请确保设备拥有一个主机名和配置正确的主机域,就像下面的一样: 在这个时候,你就可以启用路由器上的SSH服务器。要启用SSH服务器,你首先必须利用下面的命令产生一对RSA密钥: 在路由器上产生一对RSA密钥就会自动启用SSH.如果你删除这对RSA密钥,就会自动禁用该SSH服务器。 实施SSH的最后一步是启用认证,授权和审计(AAA)。在你配置AAA的时

AIX_SSH完全配置手册

SSH配置完全手册 前言: 为何使用 OpenSSH? 您每天使用的标准网络服务(如 FTP、Telnet、RCP 和远程 Shell (rsh) 等)在封闭环境中运行良好,但使用这些服务在网络上传输的信息是未加密的。任何人都可以在您的网络或远程计算机上使用包嗅探器查看交换的信息,有时甚至可以查看密码信息。 而且,使用所有此类服务时,在登录过程中用于自动登录的选项会受到限制,并且通常依赖于将纯文本密码嵌入到命令行才能执行语句,从而使登录过程变得更加不安全。 开发的安全 Shell (SSH) 协议可以排除这些限制。SSH 能够为整个通信通道提供加密,其中包括登录和密码凭据交换,它与公钥和私钥一起使用可以为登录提供自动化身份验证。您还可以将 SSH 用作基础传输协议。以这种方式使用 SSH 意味着在打开安全连接后,加密通道可以交换所有类型的信息,甚至 HTTP 和SMTP 可以使用该方法来保证通信机制的安全。 OpenSSH 是 SSH 1 和 SSH 2 协议的免费实现。它最初是作为 OpenBSD (Berkeley Software Distribution) 操作系统的一部分开发的,现在被发布为UNIX 或Linux? 和类似操作系统的常规解决方案。 安装 OpenSSH OpenSSH 是免费软件,可以从 OpenSSH 的主要网站下载(请参见参考资料)。可以使用多种系统(包括 Linux、HP-UX、AIX?、Solaris、Mac OS X 等)上的源代码构建 OpenSSH 系统。通常可以找到所选平台和版本的预编译二进制代码。有些供应商甚至作为操作系统的一部分提供 OpenSSH 工具包。 要构建OpenSSH,您需要以下内容: ? C 编译器(GNU C 编译器 (gcc) 或类似编译器) ?Zlib –压缩库 ?OpenSSL –安全套接字层 (SSL) 安全库 注意:

H3C交换机SSH配置完全攻略

H3C交换机SSH配置完全攻略 H3C交换机SSH配置完全攻略 使用SSH+密码认证(基本SSH配置方法) 注:在用户使用SSH登录交换机时,交换机对所要登录的用户使用密码对其进行身份验证 生成RSA和DSA密钥对 [H3C]public-key local create rsa [H3C]public-key local create dsa 设置用户接口上的认证模式为AAA,并让用户接口支持SSH协议 [H3C]user-interface vty 0 4 [H3C-ui-vty0-4]authentication-mode scheme [H3C-ui-vty0-4]protocol inbound ssh 创建用户luwenju-juzi,设置认证密码为luwenju-!@# 登录协议为SSH,能访问的命令级别为3 [H3C]local-user luwenju-juzi [H3C-luser-luwenju-juzi]password cipher luwenju-!@# [H3C-luser-luwenju-juzi]service-type ssh level 3 指定用户luwenju-juzi的认证方式为password [H3C]ssh user luwenju-juzi authentication-type password 一个基本的SSH配置就结束了,配置完成后即可使用SSH登录工具进行连接交换机 使用SSH+密钥、密码认证(高级SSH配置方法)注:客户端在使用SSH工具登录交换机时,交换机同时使用密钥和密码对所要登录的用户实行身份验证 生成RSA和DSA密钥对 [H3C]public-key local create rsa [H3C]public-key local create dsa 设置用户接口上的认证模式为AAA认证,并在接口上开启SSH协议,并设置用户能访问的命令级别为3 [H3C]user-interface vty 0 4 [H3C-ui-vty0-4]authentication-mode scheme [H3C-ui-vty0-4]protocol inbound ssh [H3C-ui-vty0-4]user privilege level 3 创建用户,并指定认证方式为公钥认证,用户名为luwenju-juzi,密码为luwenju-!@# [H3C]local-user luwenju-juzi [H3C-luser-luwenju-juzi]password cipher luwenju-!@# [H3C-luser-luwenju-juzi]service-type ssh level 3 [H3C]ssh user luwenju-juzi authentication-type password-publickey 客户端生成公钥和私钥 用puttygen.exe生成公私钥对,然后放到某个文件夹下,在此,我们生成的公钥叫luwenjukey私钥为luwenju.ppk,然后我们把公钥文件luwenjukey上传到FTP服务器,然后登录交换机,将luwenjukey下载到交换机 ftp 202.106.0.20

H3C交换机SSH配置教程

H3C交换机SSH配置教程 H3C交换机SSH怎么配置呢?下面学优网为大家整理了关于H3C交换机SSH配置教程,希望对你有所帮助。 使用SSH+密码认证(基本SSH配置方法) 注:在用户使用SSH登录交换机时,交换机对所要登录的用户使用密码对其进行身份验证 生成RSA和DSA密钥对 [H3C]public-key local create rsa [H3C]public-key local create dsa 设置用户接口上的认证模式为AAA,并让用户接口支持SSH协议 [H3C]user-interface vty 0 [H3C-ui-vty0-4]authentication-mode scheme [H3C-ui-vty0-4]protocol inbound ssh 创建用户luwenju-juzi,设置认证密码为luwenju-!@# 登录协议为SSH,能访问的命令级别为3 [H3C]local-user luwenju-juzi [H3C-luser-luwenju-juzi]password cipher luwenju-!@# [H3C-luser-luwenju-juzi]service-type ssh level 指定用户luwenju-juzi的认证方式为password [H3C]ssh user luwenju-juzi authentication-type

password 一个基本的SSH配置就结束了,配置完成后即可使用SSH 登录工具进行连接交换机 使用SSH+密钥、密码认证(高级SSH配置方法) 注:客户端在使用SSH工具登录交换机时,交换机同时使用密钥和密码对所要登录的用户实行身份验证 生成RSA和DSA密钥对 [H3C]public-key local create rsa [H3C]public-key local create dsa 设置用户接口上的认证模式为AAA认证,并在接口上开启SSH协议,并设置用户能访问的命令级别为3 [H3C]user-interface vty 0 [H3C-ui-vty0-4]authentication-mode scheme [H3C-ui-vty0-4]protocol inbound ssh [H3C-ui-vty0-4]user privilege level 创建用户,并指定认证方式为公钥认证,用户名为luwenju-juzi,密码为luwenju-!@# [H3C]local-user luwenju-juzi [H3C-luser-luwenju-juzi]password cipher luwenju-!@# [H3C-luser-luwenju-juzi]service-type ssh level [H3C]ssh user luwenju-juzi authentication-type

配置SSH服务以使用证书登录Linux服务器资料

配置 SSH 服务以使用证书登录 Linux 服务器 发表于2015-10-23作者Haoxian Zeng 更新于2016-03-09 通过SSH(Secure Shell)登录Linux 服务器常见的认证方式有密码和证书两种。从安全角度考虑,大家都推荐用证书登录。第一次在服务器上配置SSH 使用证书登录,并制作证书然后登录成功还是费了不少力气。配置证书登录SSH 的过程还挺复杂。 记录配置SSH 证书并从Windows 系统中使用PuTTY和FileZilla登录的操作过程以方便下次使用。 目录Contents ?0. 配置SSH 证书登录的流程 ? 1. 客户端生成私钥/公钥 ?Linux / Mac 命令行方式 ?使用Windows 下PuTTY 生成密钥对 ? 2. SSH 服务器配置 ? 3. 在服务器上加入用户公钥 ? 4. 用户使用证书登录 ? 5. 附录 ? 5.1 SSH 配置参数详解 ? 5.2 OTP ? 5.3 参考资料(文中已有链接的除外) 0. 配置 SSH 证书登录的流程?

1.配置服务器上的SSH 为证书登录模式。 2.客户端生成证书:私钥(private key)和公钥(pubkey)。 私钥留在客户端,需要安全保存:一般会设置一个密码,可能还需要加密密钥文件。 如果对自己电脑里存的文件的安全有信心,就不信要设置密码了。而如果设置了密码,以后每次使用此私钥登录服务器的时候都需要先输入密码解开私钥。(有时候为了避免麻烦,而又不是对这种安全性有特别高的要求就*懒得*设置密码了。) 公钥上传并添加到服务器上SSH 配置指定的文件中,使之被信任。 提示:虽然同一对私钥/公钥可重复用于登录不同的服务器,但是基于安全考虑,一般需要 针对不同服务器单独生成各自的私钥/公钥。 个人来讲,在Windows 下使用SSH 登录服务器主要涉及到两种特殊软件:PuTTY和FileZilla。 如果要使用FileZilla 的sftp 登录服务器,。新版本已经在新建服务器那里增加了使用key 登录的选项(文件-> 站点管理器,新建站点时协议选SFTP,登录类型选证书登录,然后点击右边的“浏览”选择自己的私钥即可(下文中的id_rsa))。 如果使用PuTTY 登录服务器,需要在putty 的default settings -> ssh -> Auth中加上需要的私钥并保存,然后再登录。 1. 客户端生成私钥/公钥? 使用私钥/公钥(密钥对,都是成对的)就需要考虑密钥本身的安全性,除了妥善保管之外,还有加密及验证环节的可靠性。根据这里的介绍(Secure Secure Shell),目前可以安全的选择ed25519和rsa 两种加密系统。当然对应的SSH 服务器也要配置使用这两种密钥交换系统。

简单MyEclipse搭建SSH框架登录实例

SSH实例开发使用说明 1. 实例简介 (1) 2. 开发所需基础 (1) 3. 开发平台 (1) 4. 开发环境配置 (2) 5. 程序源码使用说明 (2) 6. 详细开发步骤 (3) 1. 实例简介 本实例是一个简单的基于SSH框架的web登录实例。读者可在学会此实例基础上进行扩展,增加功能。 2. 开发所需基础 a)熟悉java语言 b)了解jsp页面,如表单等 c)熟悉数据库,这里是MySql d)了解一个基本的网站运行环境、业务流程 e)了解Struts、Hibernate、Spring 3. 开发平台 f)开发语言:java (本项目安装的是jdk 1.6 版本)+ jsp g)服务器:apache-tomcat-6.0.26 h)数据库:MySql 5.1 i)开发工具:MyEclipse 10.0

4. 开发环境配置 a)安装jdk,配置path、classpath b)安装或拷贝 tomcat包,配置JAVA_HOME、CATALINA_HOME c)安装MyEclipse或Eclipse,配置指定Tomcat路径 d)安装MySql,配置用户名、密码(实例中,用户名:root,密 码为空)等 5. 程序源码使用说明 e)打开MySql,导入testssh.sql数据库 f)打开MyEclipse,导入LearnSSH源码 g)部署“deploy”项目(通过MyEclipse会部署到tomcat目录下 的webapps目录下)。 h)启动“Tomcat” i)通过浏览器访问项目:http://localhost:8080/LearnSSH,登录用户名 为:admin,密码:123。

相关主题