Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ssh (System Services)

Syntax

Hierarchy Level

Description

允许来自远程系统的 SSH 请求访问本地设备。

Options

认证顺序 [方法1 方法2...]

配置在尝试对用户进行身份验证时,软件尝试不同用户身份验证方法的顺序。对于每次登录尝试,软件都会按顺序尝试身份验证方法,从第一个开始,直到密码匹配。

  • 本币如果不包含该authentication-order语句,用户将根据其配置的密码进行验证。

  • 语法指定按必须尝试的顺序列出的一种或多种认证方法:

    • ldaps—使用 LDAP 身份验证服务。

    • password—使用在层次结构级别使用语句 authentication 为用户配置 [edit system login user] 的密码。

    • radius— 使用RADIUS服务。

    • tacplus— 使用 TACACS+ 认证服务。

授权键命令

指定用于查找用户公钥的命令字符串。

授权键-命令-用户

指定用户,在用户帐户下运行授权键命令。

密码 [ 密码-1 密码-2 密码-3 ...]

指定 SSH 服务器可用于执行加密和解密功能的一组密码。

注:

密码代表一组。要配置 SSH 密码,请set使用以下示例中所示的命令:

  • 数值指定以下一个或多个密码:

    • 3des-cbc—密码组链接 (CBC) 模式下的三重数据加密标准 (DES)。

    • aes128-cbc—CBC 模式下的 128 位高级加密标准 (AES)。

    • aes128-ctr—计数器模式下的 128 位 AES。

    • aes128-gcm@openssh.com—Galois/Counter 模式下的 128 位 AES。

    • aes192-cbc—CBC 模式下的 192 位 AES。

    • aes192-ctr—计数器模式下的 192 位 AES。

    • aes256-cbc—CBC 模式下的 256 位 AES。

    • aes256-ctr—计数器模式下的 256 位 AES。

    • aes256-gcm@openssh.com—Galois/Counter 模式下的 256 位 AES。

    • arcfour—CBC 模式下的 128 位 RC4 流密码。

    • arcfour128—CBC 模式下的 128 位 RC4 流密码。

    • arcfour256—CBC 模式下的 256 位 RC4 流密码。

    • blowfish-cbc—CBC 模式下的 128 位鼓风机对称块密码。

    • cast128-cbc—在 CBC 模式下为 128 位。

    • chacha20-poly1305@openssh.com—ChaCha20 stream 密码和 Poly1305 MAC。

客户端活动计数-最大 编号

配置在不 sshd 接收从客户端返回的任何消息的情况下,可以发送的客户端活消息数。如果在发送客户端活动消息时达到此阈值,sshd 将断开客户端连接,从而终止会话。客户端活消息通过加密通道发送。与客户端活动间隔语句配合使用,以断开无响应 SSH 客户端。

  • 本币3条消息

  • 区间0 到 255 条消息

客户端活动间隔 秒数

配置超时间隔(秒),在这段时间之后,如果没有从客户端收到数据,sshd 将通过加密通道发送消息,以请求客户端响应。此选项仅适用于 SSH 协议版本2。与客户端-生存计数-max 语句配合使用,以断开无响应 SSH 客户端。

  • 本币0秒

  • 区间1到65535秒

指纹散列 (md5 | sha2-256)

指定 SSH 服务器显示密钥指纹时使用的散列算法。

注:

FIPS 映像不允许使用 MD5 指纹。在 FIPS 模式的系统上sha2-256 ,是唯一可用选项。

  • 数值指定以下各项之一:

    • md5— 启用 SSH 服务器以使用 MD5 算法。

    • sha2-256— 使 SSH 服务器能够使用 sha2-256 算法。

  • 本币sha2-256

log-key-changes log-key-changes

启用Junos OS记录授权 SSH 密钥。配置并提交语句时,Junos OS记录对每个用户的授权 SSH 密钥集(包括添加或移除的 log-key-changes 密钥)的更改。Junos OS次配置语句以来的差异 log-key-changes ,如果 log-key-changes 从未配置语句,Junos OS记录所有授权的 SSH 密钥。

  • 本币Junos OS记录所有授权 SSH 密钥。

macs [算法1 算法2...]

指定 SSH 服务器可用于对消息进行身份验证的消息身份验证代码(MAC)算法集。

注:

macs配置语句表示一组。因此,必须按如下方式配置:

  • 数值指定以下一个或多个 MAC 算法以验证消息:

    • hmac-md5—使用消息摘要 5 (MD5) 的基于散列的 MAC

    • hmac-md5-96—使用 MD5 的 96 位散列 MAC

    • hmac-md5-96-etm@openssh.com—使用 MD5 的 96 位基于散列的加密-then-MAC

    • hmac-md5-etm@openssh.com—使用 MMD5 基于散列的加密-then-MAC

    • hmac-ripemd160—使用 RIPEMD 的基于散列的 MAC

    • hmac-ripemd160-etm@openssh.com—使用 RIPEMD 基于散列的加密-then-MAC

    • hmac-sha1—使用安全散列算法-1 (SHA-1) 的基于散列的 MAC

    • hmac-sha1-96—使用 SHA-1 的 96 位基于散列的 MAC

    • hmac-sha1-96-etm@openssh.com—使用 SHA-1 的 96 位基于散列的加密-then-MAC

    • hmac-sha1-etm@openssh.com—使用 SHA-1 基于散列的加密-then-MAC

    • hmac-sha2-256—使用安全散列算法-2 (SHA-2) 的 256 位基于散列的 MAC

    • hmac-sha2-256-etm@openssh.com—使用 SHA-2 的基于散列的加密-then-Mac

    • hmac-sha2-512—使用 SHA-2 的 512 位基于散列的 MAC

    • hmac-sha2-512-etm@openssh.com—使用 SHA-2 的基于散列的加密-then-Mac

    • umac-128-etm@openssh.com—使用 RFC4418 中指定的 UMAC-128 算法加密然后 MAC

    • umac-128@openssh.com—在 RFC4418 中指定的 UMAC-128 算法

    • umac-64-etm@openssh.com—使用 RFC4418 中指定的 UMAC-64 算法加密然后 MAC

    • umac-64@openssh.com—在 RFC4418 中指定的 UMAC-64 算法

最大预身份验证数据包 编号

定义 SSH 服务器在用户认证之前接受的最大预认证 SSH 数据包数。

  • 区间20 到 2147483647 数据包

  • 本币128 个数据包

最大会话数(每个连接 数)

指定每个单一 SSH 连接允许的最大 ssh 会话数。

  • 区间1 到 65535 个会话

  • 本币10 个会话

无挑战响应

禁用基于 SSH 质询响应的身份验证方法。

注:

在 层次结构下配置此 [edit system services ssh] 语句将同时影响登录 SSH 服务和 NETCONF 通过 SSH 服务。

无密码认证

禁用基于 SSH 密码的认证方法。

注:

在 层次结构下配置此 [edit system services ssh] 语句将同时影响登录 SSH 服务和 NETCONF 通过 SSH 服务。

无密码

禁用 SSH 基于密码和基于质询响应的身份验证。

注:

在 层次结构下配置此 [edit system services ssh] 语句将同时影响登录 SSH 服务和 NETCONF 通过 SSH 服务。

非公共键

禁用公钥身份验证系统宽。 如果在 [edit system login user-name authentication] 层次结构级别指定无公钥语句,则禁用特定用户的公钥认证。

无 tcp 转发

防止用户通过安全会话或 SSH CLI设备创建 SSH 隧道。这种类型的隧道可用于转发 TCP 流量,绕过任何防火墙过滤器或 ACL,从而允许访问设备以外的资源。

注:

此语句仅适用于新 SSH 会话,对现有 SSH 会话没有影响。

端口 端口号

指定接受传入 SSH 连接的端口号。

  • 本币22

  • 区间1到65535

协议版本 [v2]

指定安全外壳(SSH)协议版本。

从 Junos OS 19.3R1 和 Junos OS 版 18.3R3 开始,我们从 [ ] 层次结构级别中删除了非安全 SSH 协议版本 1 ( ) 选项。 v1edit system services ssh protocol-version 您可以将 SSH 协议版本2(v2)用作默认选项,以远程管理系统和应用程序。如果该v1选项已弃用,Junos OS 将与 OpenSSH 7.4 和更高版本兼容。

Junos OS应用程序和19.3R1之前18.3R3继续支持 v1 远程管理系统和应用程序的选项。

  • 本币v2— SSH 协议版本 2 为默认设置,Junos OS 11.4 版中引入。

速率限制 编号

配置接入服务上按协议(IPv6 或 IPv4)每分钟的最大连接尝试次数。例如,速率限制10每分钟允许10个 IPv6 SSH 会话连接尝试次数每分钟10次 IPv4 SSH 会话连接尝试次数。

  • 区间1 到 250 个连接

  • 本币150连接

重新密钥

在重新协商会话密钥之前指定限制。

数据限制 字节

重新协商会话密钥之前,请指定数据限制。

限时 时间

重新协商会话密钥之前,请指定时间限制。

  • 区间1 到 1440 分钟

root 登录(允许|拒绝|密码)

通过 SSH 控制用户访问。

  • 允许 - 允许用户以 root 用户状态通过 SSH 登录设备。

  • 拒绝— 禁用用户作为 root 通过 SSH 登录设备。

  • 拒绝密码 — 当认证方法(例如 RSA 认证)不需要密码时,允许用户通过 SSH 以 root 身份登录设备。

  • 本币deny-password 是大多数系统的默认设置。

    从 MX Junos 17.4R1版本开始,root 登录的默认值为 deny 。在Junos OS 版本中,MX240、MX480、MX960、MX2010 和 MX2020 的默认设置为 allow

sftp 服务器

全局启用传入 SSH 文件传输协议(SFTP)连接。通过配置 sftp-server 语句,将允许授权设备通过 SFTP 连接到设备。如果配置中不存在语句,则 SFTP 全局禁用,并且没有设备可通过 sftp-server SFTP 连接到设备。

tcp 转发

允许用户使用 SSH,通过 CLI 会话在分解 Junos OS 平台上创建 SSH 隧道。

其余语句将单独说明。在CLI 资源管理器中搜索语句,或单击语法部分中的链接语句以获取详细信息。

Required Privilege Level

系统 - 要查看配置中的此语句。

系统控制 - 要将此语句添加至配置中。

Release Information

语句在 Junos OS 版本7.4 之前引入。

ciphers、 、 和 在 hostkey-algorithmkey-exchangemacs 11.2 Junos OS中引入的语句。

max-sessions-per-connection 以及 no-tcp-forwarding 第 11.4 Junos OS中引入的语句。

Junos OS 版本12.1 中引入的 SHA-1 选项。

支持在版本和 Junos OS 中添加的语句上的曲线 25519-sha256 key-exchange 12.1X47-D10。

client-alive-interval client-alive-count-max语句 Junos OS 版本12.2 中引入。

max-pre-authentication-packets 语句(在 Junos OS 12.3X48-D10 中引入)。

no-passwordsJunos OS 版本13.3 中引入的语句。

no-public-keysJunos OS 版本15.1 中引入的语句。

tcp-forwarding在 NFX250 网络服务平台的 Junos OS Release 15.1 X53-D50 中引入的语句。

fingerprint-hashJunos OS 版本16.1 中引入的语句。

log-key-changesJunos OS Release 17.4 R1 中引入的语句。

sftp-serverJunos OS Release 19.1 R1 中引入的语句。

no-challenge-responseno-password-authentication 语句( Junos OS版本19.4R1)。

ldaps 更新版本Junos OS中引入20.2R1。