ssh (System Services)
Sintaxe
ssh { authentication-order [method 1 method2...]; authorized-keys-command authorized-keys-command; authorized-keys-command-user authorized-keys-command-user; (authorized-principals principal-names | authorized-principals-command program-path) authorized-principals-file filename ciphers [ cipher-1 cipher-2 cipher-3 ...]; client-alive-count-max number; client-alive-interval seconds; connection-limit limit; fingerprint-hash (md5 | sha2-256); host-certificate-file filename hostkey-algorithm (algorithm | no-algorithm); key-exchange [algorithm1 algorithm2...]; log-key-changes log-key-changes; macs [algorithm1 algorithm2...]; max-pre-authentication-packets number; max-sessions-per-connection number; no-challenge-response; no-password-authentication; no-passwords; no-public-keys; allow-tcp-forwarding; port port-number; protocol-version [v2]; rate-limit number; rekey { data-limit bytes; time-limit minutes; } root-login (allow | deny | deny-password); sftp-server; trusted-user-ca-key-file filename }
Nível de hierarquia
[edit system services]
Descrição
Permita que as solicitações de SSH de sistemas remotos acessem o dispositivo local.
Opções
allow-tcp-forwarding | Permita que um usuário crie um túnel SSH em uma sessão de CLI para uma plataforma Junos OS desagregada usando SSH. A partir do Junos OS Release 22.2R1, desabilitamos o recurso de encaminhamento de TCP por padrão para aumentar a segurança. Para habilitar o recurso de encaminhamento de TCP, você pode configurar a |
||||
authentication-order [method1 method2...] | Configure a ordem em que o software tenta diferentes métodos de autenticação de usuários ao tentar autenticar um usuário. Para cada tentativa de login, o software tenta os métodos de autenticação em ordem, começando pelo primeiro, até que a senha corresponda.
|
||||
authorized-keys-command | Especifique uma string de comando a ser usada para procurar as chaves públicas do usuário. |
||||
authorized-keys-command-user | Especifique o usuário em cuja conta o comando de chaves autorizado é executado. |
||||
authorized-principals principal-names | Especifique uma lista de diretores que podem ser aceitos para autenticaaiton. Os diretores adicionados por este comando são suplementares aos diretores adicionados com o
Nota:
As |
||||
authorized-principals-file filename | Configure o |
||||
authorized-principals-command program-path | Especifique um programa a ser usado para gerar a lista de diretores de certificados permitidos encontrados no arquivo para autenticação baseada em
Nota:
As |
||||
ciphers [ cipher-1 cipher-2 cipher-3 ...] | Especifique o conjunto de cifras que o servidor SSH pode usar para executar funções de criptografia e descriptografia.
Nota:
Cifras representam um conjunto. Para configurar cifras de SSH, use o user@host#set system services ssh ciphers [ aes256-cbc aes192-cbc ]
|
||||
client-alive-count-max number | Configure o número de mensagens vivas do cliente que podem ser enviadas sem que o sshd receba mensagens de volta do cliente. Se esse limite for atingido enquanto as mensagens vivas do cliente estiverem sendo enviadas, o sshd desconectará o cliente, encerrando a sessão. As mensagens de cliente vivo são enviadas pelo canal criptografado. Use em conjunto com a declaração de intervalo vivo do cliente para desconectar clientes SSH sem resposta.
|
||||
client-alive-interval seconds | Configure um intervalo de tempo limite em segundos, após o qual, se nenhum dados tiver sido recebido do cliente, o sshd enviará uma mensagem pelo canal criptografado para solicitar uma resposta do cliente. Essa opção se aplica apenas ao protocolo SSH versão 2. Use em conjunto com a declaração máxima de contagem viva do cliente para desconectar clientes SSH sem resposta.
|
||||
fingerprint-hash (md5 | sha2-256) | Especifique o algoritmo de hash usado pelo servidor SSH quando ele exibe as principais impressões digitais.
Nota:
A imagem da FIPS não permite o uso de impressões digitais MD5. Em sistemas no modo FIPS,
|
||||
host-certificate-file filename | Configure o |
||||
log-key-changes log-key-changes | Habilite o Junos OS para registrar as chaves SSH autorizadas. Quando a
|
||||
macs [algorithm1 algorithm2...] | Especifique o conjunto de algoritmos de código de autenticação de mensagem (MAC) que o servidor SSH pode usar para autenticar mensagens.
Nota:
A macs declaração de configuração representa um conjunto. Portanto, ela deve ser configurada da seguinte forma: user@host#set system services ssh macs [hmac-md5 hmac-sha1]
|
||||
max-pre-authentication-packets number | Defina o número máximo de pacotes SSH de pré-autenticação que o servidor SSH aceitará antes da autenticação do usuário.
|
||||
max-sessions-per-connection number | Especifique o número máximo de sessões de ssh permitidas por uma única conexão SSH.
|
||||
no-challenge-response | Desativar métodos de autenticação baseados em desafio de SSH.
Nota:
A configuração dessa declaração sob a |
||||
no-password-authentication | Desativar métodos de autenticação baseados em senha SSH.
Nota:
A configuração dessa declaração sob a |
||||
no-passwords | Desativar a autenticação baseada em senha e baseada em desafios para SSH.
Nota:
A configuração dessa declaração sob a |
||||
no-public-keys | Desativar o sistema de autenticação de chave pública em todo o sistema. Se você especificar a declaração sem chaves públicas no nível de hierarquia [editar login do sistema user-name ] hierarquia, você desativa a autenticação de chave pública para um usuário específico. |
||||
port port-number | Especifique o número de porta para aceitar conexões SSH de entrada.
|
||||
protocol-version [v2] | Especifique a versão de protocolo Secure Shell (SSH). A partir do Junos OS Release 19.3R1 e Junos OS Release 18.3R3, em todos os dispositivos da Série SRX, removemos a opção de protocolo SSH não seguro versão 1 ( Os lançamentos do Junos OS antes do 19.3R1 e 18.3R3 continuam a oferecer suporte à opção
|
||||
rate-limit number | Configure o número máximo de tentativas de conexão por minuto, por protocolo (IPv6 ou IPv4) em um serviço de acesso. Por exemplo, um limite de taxa de 10 permite 10 tentativas de conexão de sessão SSH IPv6 por minuto e 10 tentativas de conexão de sessão SSH IPv4 por minuto.
|
||||
rekey | Especifique os limites antes que as chaves da sessão sejam desafinadas.
|
||||
root-login (allow | deny | deny-password) | Controle o acesso do usuário através do SSH.
|
||||
sftp-server | Habilite conexões de SSH File Transfer Protocol (SFTP) de entrada em todo o mundo. Ao configurar a |
||||
trusted-user-ca-key-file filename | Configure o |
As declarações restantes são explicadas separadamente. Procure por uma declaração no CLI Explorer ou clique em uma declaração vinculada na seção Syntax para obter detalhes.
Nível de privilégio exigido
sistema — Para visualizar essa declaração na configuração.
controle do sistema — para adicionar essa declaração à configuração.
Informações de versão
Declaração introduzida antes do Junos OS Release 7.4.
ciphers
, hostkey-algorithm
e key-exchange
macs
declarações introduzidas no Junos OS Release 11.2.
max-sessions-per-connection
e no-tcp-forwarding
declarações introduzidas no Junos OS Release 11.4.
Opções de SHA-2 introduzidas no Junos OS Release 12.1.
Suporte para a opção curva25519-sha256 na key-exchange
declaração adicionada no Junos OS Release 12.1X47-D10.
client-alive-interval
e client-alive-count-max
declarações introduzidas no Junos OS Release 12.2.
max-pre-authentication-packets
declaração introduzida no Junos OS Release 12.3X48-D10.
no-passwords
declaração introduzida no Junos OS Release 13.3.
no-public-keys
declaração introduzida na versão 15.1 do Junos OS.
tcp-forwarding
declaração introduzida no Junos OS Release 15.1X53-D50 para a plataforma de serviços de rede NFX250.
fingerprint-hash
declaração introduzida no Junos OS Release 16.1.
log-key-changes
declaração introduzida no Junos OS Release 17.4R1.
sftp-server
declaração introduzida no Junos OS Release 19.1R1.
no-challenge-response
e no-password-authentication
declarações introduzidas no Junos OS Release 19.4R1.
Opção ldaps
introduzida no Junos OS Release 20.2R1.
allow-tcp-forwarding
opção adicionada no Junos OS Release 22.2R1.
authorized-principals-command
E athorized-prinicpals
as authorized-principals-file
opções adicionadas no Junos OS Release 22.3R1.