Trước đây, tôi đã viết về cách bạn có thể kích hoạt quyền truy cập SSH vào thiết bị chuyển mạch của Cisco bằng cách bật cài đặt trong giao diện GUI. Điều này thật tuyệt nếu bạn muốn truy cập CLI chuyển đổi của mình qua kết nối được mã hóa, nhưng nó vẫn chỉ dựa vào tên người dùng và mật khẩu.
Nếu bạn đang sử dụng công tắc này trong một mạng có độ nhạy cao cần phải rất an toàn, thì bạn có thể muốn xem xét kích hoạt xác thực khóa chung cho kết nối SSH của mình. Trên thực tế, để bảo mật tối đa, bạn có thể kích hoạt tên người dùng / mật khẩu và xác thực khóa chung để truy cập vào công tắc của mình.
Trong bài viết này, tôi sẽ chỉ cho bạn cách bật xác thực khóa chung trên thiết bị chuyển mạch SG300 của Cisco và cách tạo cặp khóa công khai và khóa riêng bằng puTTYGen. Sau đó tôi sẽ chỉ cho bạn cách đăng nhập bằng các phím mới. Ngoài ra, tôi sẽ chỉ cho bạn cách định cấu hình để bạn chỉ có thể sử dụng khóa để đăng nhập hoặc buộc người dùng nhập tên người dùng / mật khẩu cùng với sử dụng khóa riêng.
Lưu ý : Trước khi bạn bắt đầu với hướng dẫn này, hãy đảm bảo rằng bạn đã kích hoạt dịch vụ SSH trên công tắc, điều mà tôi đã đề cập trong bài viết trước của tôi được liên kết ở trên.
Kích hoạt xác thực người dùng SSH bằng khóa công khai
Nhìn chung, quá trình để xác thực khóa công khai hoạt động cho SSH rất đơn giản. Trong ví dụ của tôi, tôi sẽ chỉ cho bạn cách kích hoạt các tính năng bằng GUI dựa trên web. Tôi đã cố gắng sử dụng giao diện CLI để kích hoạt xác thực khóa chung, nhưng nó không chấp nhận định dạng cho khóa RSA riêng của tôi.
Khi tôi làm việc đó, tôi sẽ cập nhật bài đăng này bằng các lệnh CLI sẽ hoàn thành những gì chúng ta sẽ làm thông qua GUI bây giờ. Đầu tiên, nhấp vào Bảo mật, sau đó đến SSH Server và cuối cùng là Xác thực người dùng SSH .
Trong ngăn bên phải, hãy tiếp tục và chọn hộp Bật bên cạnh Xác thực người dùng SSH bằng Khóa công khai . Nhấp vào nút Áp dụng để lưu các thay đổi. Đừng kiểm tra nút Bật bên cạnh Đăng nhập tự động ngay khi tôi sẽ giải thích thêm.
Bây giờ chúng ta phải thêm một tên người dùng SSH. Trước khi chúng tôi thêm người dùng, trước tiên chúng tôi phải tạo khóa công khai và khóa riêng. Trong ví dụ này, chúng tôi sẽ sử dụng puTTYGen, đây là một chương trình đi kèm với puTTY.
Tạo khóa riêng và khóa chung
Để tạo các khóa, hãy tiếp tục và mở puTTYGen trước. Bạn sẽ thấy một màn hình trống và bạn thực sự không cần phải thay đổi bất kỳ cài đặt nào từ các mặc định được hiển thị bên dưới.
Nhấp vào nút Tạo và sau đó di chuyển chuột của bạn xung quanh khu vực trống cho đến khi thanh tiến trình đi hết.
Khi các khóa đã được tạo, bạn cần nhập cụm mật khẩu, về cơ bản giống như mật khẩu để mở khóa.
Đó là một ý tưởng tốt để sử dụng một mật khẩu dài để bảo vệ chìa khóa khỏi các cuộc tấn công vũ phu. Khi bạn đã nhập cụm mật khẩu hai lần, bạn nên nhấp vào nút Lưu khóa chung và Lưu các nút khóa riêng . Hãy chắc chắn rằng các tệp này được lưu ở một vị trí an toàn, tốt nhất là trong một thùng chứa được mã hóa thuộc loại nào đó yêu cầu mật khẩu để mở. Kiểm tra bài viết của tôi về việc sử dụng VeraCrypt để tạo một khối lượng mã hóa.
Thêm người dùng và khóa
Bây giờ hãy quay lại màn hình Xác thực người dùng SSH mà chúng tôi đã có trước đó. Đây là nơi bạn có thể chọn từ hai tùy chọn khác nhau. Đầu tiên, hãy vào Quản trị - Tài khoản người dùng để xem những tài khoản bạn hiện có để đăng nhập.
Như bạn có thể thấy, tôi có một tài khoản được gọi là akishore để truy cập vào công tắc của tôi. Hiện tại, tôi có thể sử dụng tài khoản này để truy cập GUI dựa trên web và CLI. Quay lại trang Xác thực người dùng SSH, người dùng bạn cần thêm vào Bảng xác thực người dùng SSH (bằng khóa công khai) có thể giống như những gì bạn có trong Quản trị - Tài khoản người dùng hoặc khác.
Nếu bạn chọn cùng tên người dùng, thì bạn có thể kiểm tra nút Bật bên dưới Đăng nhập tự động và khi bạn đăng nhập vào công tắc, bạn chỉ cần nhập tên người dùng và mật khẩu cho khóa riêng và bạn sẽ đăng nhập .
Nếu bạn quyết định chọn tên người dùng khác tại đây, thì bạn sẽ nhận được lời nhắc bạn phải nhập tên người dùng và mật khẩu khóa riêng SSH và sau đó bạn sẽ phải nhập tên người dùng và mật khẩu thông thường (được liệt kê trong Quản trị viên - Tài khoản người dùng) . Nếu bạn muốn bảo mật thêm, hãy sử dụng tên người dùng khác, nếu không, chỉ cần đặt tên giống với tên hiện tại của bạn.
Nhấp vào nút Thêm và bạn sẽ thấy cửa sổ Thêm người dùng SSH bật lên.
Đảm bảo Loại khóa được đặt thành RSA, sau đó tiếp tục và mở tệp khóa SSH công khai mà bạn đã lưu trước đó bằng chương trình như Notepad. Sao chép toàn bộ nội dung và dán nó vào cửa sổ Khóa công khai . Bấm vào Áp dụng và sau đó bấm Đóng nếu bạn nhận được thông báo Thành công ở trên cùng.
Đăng nhập bằng khóa riêng
Bây giờ tất cả những gì chúng ta phải làm là đăng nhập bằng khóa riêng và mật khẩu. Tại thời điểm này, khi bạn cố gắng đăng nhập, bạn sẽ cần nhập thông tin đăng nhập hai lần: một lần cho khóa riêng và một lần cho tài khoản người dùng thông thường. Khi chúng tôi kích hoạt đăng nhập tự động, bạn sẽ chỉ cần nhập tên người dùng và mật khẩu cho khóa riêng và bạn sẽ vào.
Mở puTTY và nhập địa chỉ IP của công tắc của bạn vào hộp Tên máy chủ như bình thường. Tuy nhiên, lần này, chúng tôi cũng cần tải khóa riêng vào puTTY. Để thực hiện việc này, mở rộng Kết nối, sau đó mở rộng SSH và sau đó nhấp vào Xác thực.
Nhấp vào nút Duyệt bên dưới tệp Khóa riêng để xác thực và chọn tệp khóa riêng bạn đã lưu khỏi puTTY trước đó. Bây giờ bấm vào nút Mở để kết nối.
Lời nhắc đầu tiên sẽ được đăng nhập và đó phải là tên người dùng bạn đã thêm trong người dùng SSH. Nếu bạn đã sử dụng cùng tên người dùng với tài khoản người dùng chính của mình thì điều đó sẽ không thành vấn đề.
Trong trường hợp của tôi, tôi đã sử dụng akishore cho cả tài khoản người dùng, nhưng tôi đã sử dụng các mật khẩu khác nhau cho khóa riêng và cho tài khoản người dùng chính của mình. Nếu bạn thích, bạn cũng có thể tạo mật khẩu giống nhau, nhưng thực sự không có lý do gì để làm điều đó, đặc biệt nếu bạn bật đăng nhập tự động.
Bây giờ nếu bạn không muốn phải đăng nhập gấp đôi để vào công tắc, hãy chọn hộp Bật bên cạnh Đăng nhập tự động trên trang Xác thực người dùng SSH .
Khi điều này được bật, bây giờ bạn sẽ chỉ cần nhập thông tin đăng nhập cho người dùng SSH và bạn sẽ đăng nhập.
Nó hơi phức tạp, nhưng có ý nghĩa khi bạn chơi xung quanh nó. Giống như tôi đã đề cập trước đó, tôi cũng sẽ viết ra các lệnh CLI khi tôi có thể nhận được khóa riêng ở định dạng phù hợp. Làm theo các hướng dẫn ở đây, truy cập vào công tắc của bạn thông qua SSH sẽ an toàn hơn rất nhiều bây giờ. Nếu bạn gặp vấn đề hoặc có câu hỏi, hãy đăng trong các bình luận. Thưởng thức!