Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

配置 SSH 已知主机密钥,实现数据安全复制

安全 Shell (SSH) 使用 加密 算法生成主机、服务器和会话密钥系统,以确保数据传输安全。您可以将 SSH 主机密钥配置为支持安全复制 (SCP) 作为 FTP 的替代方法,用于在后台传输配置存档和事件日志等数据。要为 SCP 配置 SSH 支持,必须完成以下任务:

  • 通过在路由引擎配置层次结构中包含主机名和主机密钥信息,指定 SSH 已知主机。

  • 设置一个 SCP URL 以指定接收数据的主机。设置此属性会自动从 SCP 服务器检索 SSH 主机密钥信息。

  • 验证主机密钥是否真实。

  • 接受安全连接。接受此连接会自动将主机密钥信息存储在本地主机密钥数据库中。在配置层次结构中存储主机密钥信息可自动进行安全握手,并允许使用 SCP 进行后台数据传输。

配置 SSH 主机密钥以安全复制数据的任务包括:

配置 SSH 已知主机

要配置 SSH 已知主机,请添加语句 host ,并在层次结构级别为可信服务器 [edit security ssh-known-hosts] 指定主机名和主机密钥选项:

主机密钥为以下之一:

  • dsa-key key— Base64 SSH 版本 2 的编码数字签名算法 (DSA) 密钥。

  • ecdsa-sha2-nistp256-keykey-Base64 编码的 ECDSA-SHA2-NIST256 密钥。

  • ecdsa-sha2-nistp384-keykey—Base64 编码的 ECDSA-SHA2-NIST384 密钥。

  • ecdsa-sha2-nistp521-keykey- Base64 编码的 ECDSA-SHA2-NIST521 密钥。

  • ed25519-keykey-Base64 编码的 ED25519 密钥。

  • rsa-key key-Base64 编码公共密钥算法,支持 SSH 版本 1 和 SSH 版本 2 的加密和数字签名。

  • rsa1-key key—Base64 编码 RSA 公共密钥算法,支持 SSH 版本 1 的加密和数字签名。

配置对 SCP 文件传输的支持

要配置已知主机以支持后台 SCP 文件传输,请在 archive-sites 层级添加语句 [edit system archival configuration]

注意:

当使用 IPv6 主机地址在 Junos OS 语句中指定 URL 时,必须用引号 (“ ”) 将整个 URL 括起来,并将 IPv6 主机地址括在括号 ([ ]) 中。例如 ,“scp://username<:password>@[host]<:port>/url-path”;

archive-sites 语句设置为指向一个 SCP URL 会触发自动主机密钥检索。此时, Junos OS 连接到 SCP 主机以获取 SSH 公钥,将主机密钥消息摘要或指纹显示为控制台的输出,并终止与服务器的连接。

要验证主机密钥是否真实,请将此指纹与使用可信来源从同一主机获得的指纹进行比较。如果指纹相同,则通过 yes 输入提示符接受主机密钥。然后,主机密钥信息存储在路由引擎配置中,并支持使用 SCP 进行后台数据传输。

更新 SSH 主机密钥信息

通常,当您使用 archival configuration archive-sites 层级的 [edit system] 语句为 SCP 设置 URL 属性时,会自动检索 SSH 主机密钥信息。但是,如果需要手动更新主机密钥数据库,请使用以下方法之一。

手动检索主机密钥信息

要手动检索 SSH 公共主机密钥信息,请在 fetch-from-server 层次结构级别配置选项 [edit security ssh-known-hosts] 。您必须指定从中检索 SSH 公钥的主机。

从文件导入主机密钥信息

要从 known_hosts 文件中手动导入 SSH 主机密钥信息,请将 load-key-file 选项 [edit security ssh-known-hosts] 添加到层次结构级别。您必须指定要从中导入主机密钥信息的文件的路径。

版本历史记录表
释放
描述
18.3R1
从 Junos OS 18.3R1 版开始, ssh-dss 将弃用和 ssh-dsa 主机密钥算法(而非立即移除)以提供向后兼容性,并使您的配置符合新配置。