今日はSSHの設定方法を勉強します。
まだまだTelnet接続を使用している環境も多いと思いますが、世の中的にはManagementアクセスもよりセキュアにする方向に向かっているので、Telnetは割愛しました。
まだまだTelnet接続を使用している環境も多いと思いますが、世の中的にはManagementアクセスもよりセキュアにする方向に向かっているので、Telnetは割愛しました。
Catalystに192.168.1.1を設定し、SSHによるリモートアクセスを確認します。
Online RSA Key Generator. Key Size 1024 bit. 512 bit; 1024 bit; 2048 bit; 4096 bit Generate New Keys Async. RSA Encryption Test. Text to encrypt: Encrypt / Decrypt. Nov 24, 2014 Then a new certificate - it will use the new stronger private key you just created. No crypto pki trustpoint crypto key zeroize rsa crypto key generate rsa modulus 2048 label rsa key ip http secure-server (The last command will automatically generate a new self-signed certificate.). This lesson explains how to configure SSH Public Key Authentication on Cisco IOS using Windows and Linux. Let’s generate a 2048 bit RSA key pair: R1(config)#crypto key generate rsa modulus 2048 The name for the keys will be: R1.NETWORKLESSONS.LOCAL% The key modulus size is 2048 bits% Generating 2048 bit RSA keys, keys will be non. The route-map is missing your acl 'pat-out'. And on the router you also need the piblic/private keypair. A SSH-config could look like that: crypto key generate rsa general-keys modulus 2048 label SSH-KEYS.
IPの設定とインターフェースの開放
ログインUsernameとPasswordを作成し、vtyに設定。接続方法をSSHに限定。
ホスト名、ドメイン名の設定、RSA鍵の作成
SSHv2に限定
特権パスワードの設定
UsernameとPasswordはコンソール接続、リモート接続で共通のものを
http://qiita.com/jinnai73/items/a240bf2bc1325b46edfe
パスワードを作成したら
username secret
コマンドで設定します。password
コマンドでも設定できますが、セキュリティ上username secret
を使用することが推奨されます。この辺りは前回書きました。http://qiita.com/jinnai73/items/a240bf2bc1325b46edfe
パスワードを作成したら
login local
コマンドでlineに適用します。Telnet接続を禁止するため、transport input
コマンドでsshでのログインのみ許可します。続いてSSH接続に必要なRSA鍵を作成します。RSA鍵を確認するコマンドは
show crypto key mypubkey rsa
です。何も入っていませんね。鍵を生成するコマンドは
crypto key generate rsa
ですが、生成する前提としてスイッチのFQDN、つまりホストとドメイン名が決まっている必要があります。デフォルトではドメイン名が設定されていないため、以下のようなエラーが出ます。Generate A Rsa Crypto Key
ドメイン名の設定は
ip domain-name
コマンド、確認はshow hosts
で行えます。それではホスト名とドメイン名を設定しましょう。
設定できました。これでRSA鍵も生成可能になります。
crypto key generate rsa
コマンドで生成、鍵長は2048 bitを指定します。警告メッセージにもある通り、2048 bitでは約1分ほど時間がかかりますが、2016年現在1024 bit以下のRSAは(少なくともインターネット上では)使わない方が良いというのは異論が無いところでしょう。
この時点でSSHでの接続が可能になります。テストのため自分自身に接続してみましょう。
できました。sshのv1はセキュリティに問題があるため禁止しましょう。一度ログアウトして、sshをv2に限定したのちに、v1での接続ができないことを確認します。
Cisco Crypto Key Gen Rsa
うまくできています。この状態ではSSHアクセスした後に特権モードに入ろうとしてもできないため、
enable secret
で特権パスワードの設定もしておきましょう。Crypto Key Generate Rsa Modulus 2048 Cisco
思ったよりボリュームが増えてしまいました。明日ももう少し、機器管理を勉強しようと思います。