Prethodno sam pisao o tome kako možete omogućiti SSH pristup svom Cisco prekidaču^{(how you can enable SSH access to your Cisco switch)} tako da omogućite postavku u GUI sučelju. Ovo je sjajno ako želite pristupiti svom CLI -u prekidača preko šifrirane veze, ali se i dalje oslanja samo na korisničko ime i lozinku.

Ako ovaj prekidač koristite u vrlo osjetljivoj mreži koja mora biti vrlo sigurna, možda biste trebali razmisliti o omogućavanju provjere autentičnosti javnog ključa za svoju SSH vezu. Zapravo, za maksimalnu sigurnost, možete omogućiti provjeru autentičnosti korisničkog imena/lozinke i javnog ključa za pristup vašem prekidaču.

U ovom članku ću vam pokazati kako omogućiti provjeru autentičnosti javnog ključa na SG300 Cisco switchu i kako generirati parove javnog i privatnog ključa pomoću puTTYGen-a. Zatim ću vam pokazati kako se prijaviti pomoću novih ključeva. Osim toga, pokazat ću vam kako ga konfigurirati tako da možete koristiti samo ključ za prijavu ili prisiliti korisnika da upiše korisničko ime/lozinku uz korištenje privatnog ključa.

Napomena: Prije nego što počnete s ovim vodičem, provjerite jeste li već omogućili SSH uslugu na prekidaču, što sam spomenuo u svom prethodnom članku na linku iznad. ^{(Note: Before you get started on this tutorial, make sure you have already enabled the SSH service on the switch, which I mentioned in my previous article linked above. )}

Omogućite SSH autentifikaciju korisnika^{(SSH User Authentication)} javnim ključem^{(Public Key)}

Općenito, proces za provođenje provjere autentičnosti javnog ključa za SSH je jednostavan. U svom primjeru, pokazat ću vam kako omogućiti značajke pomoću web-baziranog GUI -ja . Pokušao sam koristiti CLI sučelje da omogućim provjeru autentičnosti javnog ključa, ali ono nije prihvatilo format za moj privatni RSA ključ.

Nakon što to proradi, ažurirat ću ovaj post s CLI naredbama koje će postići ono što ćemo za sada učiniti kroz GUI . Prvo^(First) kliknite na Sigurnost^(Security) , zatim SSH poslužitelj^{( SSH Server)} i na kraju SSH provjera autentičnosti korisnika^{( SSH User Authentication)} .

U desnom oknu nastavite i potvrdite okvir Omogući pored SSH provjere autentičnosti korisnika javnim ključem^{( Enable box next to SSH User Authentication by Public Key)} . Kliknite gumb Primijeni^(Apply) da biste spremili promjene. Nemojte^(Don) još označiti gumb Omogući^(Enable) pored Automatska prijava^{(Automatic login)} jer ću to objasniti niže.

Sada moramo dodati SSH korisničko ime. Prije nego što krenemo s dodavanjem korisnika, prvo moramo generirati javni i privatni ključ. U ovom primjeru koristit ćemo puTTYGen, program koji dolazi s puTTY.

Generirajte privatne i javne ključeve

Da biste generirali ključeve, samo naprijed i prvo otvorite putTTYGen. Vidjet ćete prazan zaslon i stvarno ne biste trebali mijenjati nijednu od zadanih postavki prikazanih u nastavku.

Kliknite na gumb Generiraj^(Generate) , a zatim pomičite miš po praznom području sve dok traka napretka ne prođe do kraja.

Nakon što su ključevi generirani, morate upisati šifru, koja je u osnovi poput lozinke za otključavanje ključa.

Dobra je ideja koristiti dugu šifru za zaštitu ključa od napada grubom silom. Nakon što ste dvaput upisali šifru, trebali biste kliknuti gumbe Spremi javni ključ^{(Save public key)} i Spremi privatni ključ . ^{(Save private key)}Provjerite jesu li te datoteke spremljene na sigurnom mjestu, po mogućnosti u nekom šifriranom spremniku za koji je za otvaranje potrebna lozinka. Pogledajte moj post o korištenju VeraCrypt-a za stvaranje šifriranog volumena^{(VeraCrypt to create an encrypted volume)} .

Dodaj korisnika i ključ

Sada se vratimo na zaslon za  provjeru autentičnosti korisnika SSH^{( SSH User Authentication)} na kojem smo bili ranije. Ovdje možete birati između dvije različite opcije. Prvo idite na Administracija^{(Administration)} – Korisnički računi^{( User Accounts)} da vidite koje račune trenutno imate za prijavu.

Kao što možete vidjeti, imam jedan račun koji se zove akishore za pristup mom prekidaču. Trenutno^(Currently) mogu koristiti ovaj račun za pristup web-baziranom GUI - u i CLI -u . Povratak^(Back) na stranicu za provjeru autentičnosti korisnika SSH^{(SSH User Authentication)} , korisnik kojeg trebate dodati u tablicu provjere autentičnosti korisnika SSH (preko javnog ključa)^{(SSH User Authentication Table (by Public Key))}  može biti isti kao onaj koji imate pod Administracija – korisnički računi^{(Administration – User Accounts)} ili drugačiji.

Ako odaberete isto korisničko ime, tada možete provjeriti gumb Omogući pod ^(Enable)Automatska prijava^{(Automatic Login)} i kada se prijavite na prekidač, jednostavno ćete morati upisati korisničko ime i lozinku za privatni ključ i bit ćete prijavljeni .

Ako ovdje odlučite odabrati drugo korisničko ime, tada ćete dobiti upit gdje morate unijeti korisničko ime i lozinku privatnog SSH ključa, a zatim ćete morati unijeti svoje uobičajeno korisničko ime i lozinku (navedeno pod Admin – Korisnički računi^{(Admin – User Accounts)} ) . Ako želite dodatnu sigurnost, upotrijebite drugo korisničko ime, u protivnom ga jednostavno nazovite istim imenom kao i vaše trenutno.

Kliknite^(Click) gumb Dodaj^(Add) i pojavit će se skočni prozor Dodaj SSH korisnika .^{(Add SSH User)}

Provjerite je li Vrsta ključa^{(Key Type)} postavljena na RSA , a zatim nastavite i otvorite svoju javnu SSH ključnu datoteku koju ste ranije spremili pomoću programa kao što je Notepad . Kopirajte cijeli sadržaj i zalijepite ga u prozor javnog ključa . ^{(Public Key)}Kliknite Primijeni^(Apply) , a zatim kliknite Zatvori^(Close) ako na vrhu dobijete poruku o uspjehu .^(Success)

Prijava pomoću privatnog ključa

Sada sve što trebamo učiniti je prijaviti se pomoću našeg privatnog ključa i lozinke. U ovom trenutku, kada se pokušate prijaviti, morat ćete dvaput unijeti vjerodajnice za prijavu: jednom za privatni ključ i jednom za uobičajeni korisnički račun. Nakon što omogućimo automatsku prijavu, samo ćete morati unijeti korisničko ime i lozinku za privatni ključ i bit ćete unutra.

Otvorite puTTY i unesite IP adresu svog prekidača u okvir Host Name kao i obično. Međutim, ovaj put ćemo također morati učitati privatni ključ u puTTY. Da biste to učinili, proširite Connection , zatim proširite SSH i zatim kliknite Auth .

Kliknite na gumb Pregledaj pod ^(Browse)Datoteka privatnog ključa za autentifikaciju^{(Private key file for authentication)} i odaberite datoteku privatnog ključa koju ste ranije spremili iz puTTY. Sada kliknite gumb Otvori^(Open) za povezivanje.

Prvi upit bit će prijava kao^{(login as)} i to bi trebalo biti korisničko ime koje ste dodali pod SSH korisnicima. Ako ste koristili isto korisničko ime kao svoj glavni korisnički račun, to neće biti važno.

U mom slučaju koristio sam akishore za oba korisnička računa, ali sam koristio različite lozinke za privatni ključ i za svoj glavni korisnički račun. Ako želite, možete i lozinke napraviti iste, ali nema smisla to stvarno činiti, pogotovo ako omogućite automatsku prijavu.

Sada, ako ne želite da se morate dvostruko prijavljivati ​​da biste ušli u prekidač, označite okvir Omogući^(Enable) pored Automatska prijava^{( Automatic login)} na stranici SSH provjera autentičnosti korisnika^{(SSH User Authentication)} .

Kada je ovo omogućeno, sada ćete samo morati upisati vjerodajnice za SSH korisnika i bit ćete prijavljeni.

Malo je komplicirano, ali ima smisla kad se poigrate. Kao što sam ranije spomenuo, također ću napisati CLI naredbe kada dobijem privatni ključ u odgovarajućem formatu. Slijedeći upute ovdje, pristup vašem prekidaču putem SSH - a sada bi trebao biti puno sigurniji. Ako naiđete na probleme ili imate pitanja, objavite ih u komentarima. Uživati!

Enable Public Key Authentication for SSH on Cisco SG300 Switches

Previously, I wrote about how you can enable SSH access to your Cisco switch by enabling the setting in the GUI interface. This is great if you want to access your switch CLI over an encrypted connection, but it still relies on just a username and password.

If you are using this switch in a highly sensitive network that needs to be very secure, then you might want to consider enabling public key authentication for your SSH connection. Actually, for maximum security, you can enable a username/password and public key authentication for access to your switch.

In this article, I’ll show you how to enable public key authentication on an SG300 Cisco switch and how to generate the public and private key pairs using puTTYGen. I’ll then show you how to login using the new keys. In addition, I’ll show you how to configure it so that you can either use just the key to login or force the user to type in a username/password along with using the private key.

Note: Before you get started on this tutorial, make sure you have already enabled the SSH service on the switch, which I mentioned in my previous article linked above. 

Enable SSH User Authentication by Public Key

Overall, the process for getting public key authentication to work for SSH is straightforward. In my example, I’ll show you how to enable the features using the web-based GUI. I tried to use the CLI interface to enable public key authentication, but it would not accept the format for my private RSA key.

Once I get that working, I’ll update this post with the CLI commands that will accomplish what we will do through the GUI for now. First, click on Security, then SSH Server and finally SSH User Authentication.

In the right-hand pane, go ahead and check the Enable box next to SSH User Authentication by Public Key. Click the Apply button to save the changes. Don’t check the Enable button next to Automatic login just yet as I’ll explain that further down.

Now we have to add a SSH user name. Before we get into adding the user, we first have to generate a public and private key. In this example, we’ll be using puTTYGen, which is a program that comes with puTTY.

Generate Private and Public Keys

To generate the keys, go ahead and open puTTYGen first. You’ll see a blank screen and you really shouldn’t have to change any of the settings from the defaults shown below.

Click on the Generate button and then move your mouse around the blank area until the progress bar go all the way across.

Once the keys have been generated, you need to type in a passphrase, which is basically like a password to unlock the key.

It’s a good idea to use a long passphrase to protect the key from brute-force attacks. Once you have typed in the passphrase twice, you should click the Save public key and Save private key buttons. Make sure these files are saved in a secure location, preferably in an encrypted container of some sort that requires a password to open. Check out my post on using VeraCrypt to create an encrypted volume.

Add User & Key

Now back to the SSH User Authentication screen we were on earlier. Here’s where you can choose from two different options. Firstly, go to Administration – User Accounts to see what accounts you currently have for login.

As you can see, I have one account called akishore for accessing my switch. Currently, I can use this account to access the web-based GUI and the CLI. Back on the SSH User Authentication page, the user you need to add to the SSH User Authentication Table (by Public Key) can either be the same as what you have under Administration – User Accounts or different.

If you choose the same user name, then you can check the Enable button under Automatic Login and when you go to log into the switch, you’ll simply have to type the username and password for the private key and you’ll be logged in.

If you decide to choose a different username here, then you will get a prompt where you have to enter the SSH private key user name and password and then you’ll have to enter your normal username and password (listed under Admin – User Accounts). If you want the extra security, use a different username, otherwise just name it the same as your current one.

Click the Add button and you’ll get the Add SSH User window pop up.

Make sure the Key Type is set to RSA and then go ahead and open your public SSH key file that you saved earlier using a program like Notepad. Copy the entire contents and paste it into the Public Key window. Click Apply and then click Close if you get a Success message at the top.

Login Using Private Key

Now all we have to do is login using our private key and password. At this point, when you try to login, you’ll need to enter login credentials twice: once for the private key and once for the normal user account. Once we enable automatic login, you’ll just have to enter the username and password for the private key and you’ll be in.

Open puTTY and enter in the IP address of your switch in the Host Name box as usual. However, this time, we’ll need to load up the private key into puTTY also. To do this, expand Connection, then expand SSH and then click on Auth.

Click on the Browse button under Private key file for authentication and select the private key file you saved out of puTTY earlier. Now click the Open button to connect.

The first prompt will be login as and that should be the username you added under SSH users. If you used the same username as your main user account, then it won’t matter.

In my case, I used akishore for both user accounts, but I used different passwords for the private key and for my main user account. If you like, you can make the passwords the same too, but there’s no point in really doing that, especially if you enable automatic login.

Now if you don’t want to have to double login to get into the switch, check the Enable box next to Automatic login on the SSH User Authentication page.

When this is enabled, you’ll now just have to type in the credentials for the SSH user and you’ll be logged in.

It’s a bit complicated, but makes sense once you play around with it. Like I mentioned earlier, I’ll also write out the CLI commands once I can get the private key in the proper format. Following the instructions here, accessing your switch via SSH should be a lot more secure now. If you run into problems or have questions, post in the comments. Enjoy!

Related posts

• Kako omogućiti SSH pristup za Cisco SG300 prekidače

• Kako onemogućiti Windows ključ

• Kako ući SSH ili SFTP u vaš Raspberry Pi

• Kako omogućiti Steam Guard autentifikaciju

• Preuzmite svoj sigurnosni ključ bežične mreže u sustavu Windows

• Kako stvoriti tim u Microsoft timovima

• Kako pretvoriti dinamički disk u osnovni disk

• Kako otvoriti JAR datoteku u sustavu Windows

• Kako napraviti vlastito prijenosno računalo

• Kako automatski ažurirati softver vašeg računala

• Kako napraviti snimke zaslona na Nintendo Switchu

• Napravite Gmail aplikaciju za stolna računala s ova 3 klijenta e-pošte

• Kako dodati glazbu na Google slajdove

• Instaliranje dodataka GIMP: Vodič s uputama

• Kako izvršiti CPU test stresa

• Kako ažurirati Raspberry Pi

• Kako vratiti Xbox One ili Xbox Series X na tvorničke postavke

• Kako izbrisati mapu Windows.old u sustavu Windows 7/8/10

• 7 tehničkih savjeta za SEO optimizaciju za bilo koju web stranicu

• Kako zaštititi PDF lozinkom da bude siguran