Konfigurieren von SSH-Schlüsseln für bekannte Hosts zum sicheren Kopieren von Daten
Secure Shell (SSH) verwendet Verschlüsselungsalgorithmen , um ein Host-, Server- und Sitzungsschlüsselsystem zu generieren, das eine sichere Datenübertragung gewährleistet. Sie können SSH-Hostschlüssel so konfigurieren, dass sie Secure Copy (SCP) als Alternative zu FTP für die Hintergrundübertragung von Daten wie Konfigurationsarchiven und Ereignisprotokollen unterstützen. Um die SSH-Unterstützung für SCP zu konfigurieren, müssen Sie die folgenden Aufgaben ausführen:
-
Geben Sie bekannte SSH-Hosts an, indem Sie Hostnamen und Hostschlüsselinformationen in die Routing-Engine-Konfigurationshierarchie aufnehmen.
-
Legen Sie eine SCP-URL fest, um den Host anzugeben, von dem Daten empfangen werden sollen. Durch Festlegen dieses Attributs werden automatisch SSH-Hostschlüsselinformationen vom SCP-Server abgerufen.
-
Stellen Sie sicher, dass der Hostschlüssel authentisch ist.
-
Akzeptieren Sie die sichere Verbindung. Wenn Sie diese Verbindung akzeptieren, werden Hostschlüsselinformationen automatisch in der lokalen Hostschlüsseldatenbank gespeichert. Das Speichern von Hostschlüsselinformationen in der Konfigurationshierarchie automatisiert den sicheren Handshake und ermöglicht die Datenübertragung im Hintergrund mit SCP.
Aufgaben zum Konfigurieren von SSH-Hostschlüsseln für das sichere Kopieren von Daten sind:
Konfigurieren bekannter SSH-Hosts
Um bekannte SSH-Hosts zu konfigurieren, fügen Sie die host Anweisung ein, und geben Sie Hostname- und Hostschlüsseloptionen für vertrauenswürdige Server auf Hierarchieebene [edit security ssh-known-hosts] an:
[edit security ssh-known-hosts]
host corporate-archive-server {
dsa-key key;
}
host archive-server-url {
rsa-key key;
}
host server-with-ssh-version-1 {
rsa1-key key;
}
Hostschlüssel sind einer der folgenden:
-
dsa-key key– Base64-codierter DSA-Schlüssel (Digital Signature Algorithm) für SSH Version 2. -
ecdsa-sha2-nistp256-keykey– Base64-codierter ECDSA-SHA2-NIST256-Schlüssel. -
ecdsa-sha2-nistp384-keykey– Base64-kodierter ECDSA-SHA2-NIST384-Schlüssel. -
ecdsa-sha2-nistp521-keykey– Base64-kodierter ECDSA-SHA2-NIST521-Schlüssel. -
ed25519-keykey– Base64-kodierter ED25519-Schlüssel. -
rsa-key key– Base64-codierter Public-Key-Algorithmus, der Verschlüsselung und digitale Signaturen für SSH Version 1 und SSH Version 2 unterstützt. -
rsa1-key key– Base64-codierter RSA-Algorithmus für öffentliche Schlüssel, der Verschlüsselung und digitale Signaturen für SSH Version 1 unterstützt.
Konfigurieren der Unterstützung für die SCP-Dateiübertragung
Um einen bekannten Host so zu konfigurieren, dass er SCP-Dateiübertragungen im Hintergrund unterstützt, fügen Sie die archive-sites Anweisung auf Hierarchieebene [edit system archival configuration] ein.
[edit system archival configuration]
archive-sites {
scp://username<:password>@host<:port>/url-path;
}
Wenn Sie eine URL in einer Junos OS-Anweisung unter Verwendung einer IPv6-Hostadresse angeben, müssen Sie die gesamte URL in Anführungszeichen (" ") und die IPv6-Hostadresse in eckige Klammern ([ ]) einschließen. Beispiel: "scp://username<:password>@[host]<:port>/url-path";
Wenn Sie die Anweisung so festlegen, dass sie archive-sites auf eine SCP-URL verweist, wird der automatische Abruf des Hostschlüssels ausgelöst. An diesem Punkt stellt Junos OS eine Verbindung mit dem SCP-Host her, um den öffentlichen SSH-Schlüssel abzurufen, zeigt den Message Digest des Hostschlüssels oder den Fingerabdruck als Ausgabe an die Konsole an und beendet die Verbindung zum Server.
user@host# set system archival configuration archive-sites “<scp-url-path>” The authenticity of host <my-archive-server (<server-ip-address>)> can’t be established. RSA key fingerprint is <ascii-text key>. Are you sure you want to continue connecting (yes/no)?
Um zu überprüfen, ob der Hostschlüssel authentisch ist, vergleichen Sie diesen Fingerabdruck mit einem Fingerabdruck, den Sie vom selben Host über eine vertrauenswürdige Quelle erhalten. Wenn die Fingerabdrücke identisch sind, akzeptieren Sie den Hostschlüssel, indem Sie ihn an der Eingabeaufforderung eingeben yes . Die Hostschlüsselinformationen werden dann in der Routing-Engine-Konfiguration gespeichert und unterstützen Hintergrunddatenübertragungen mithilfe von SCP.
Aktualisieren der SSH-Hostschlüsselinformationen
In der Regel werden SSH-Hostschlüsselinformationen automatisch abgerufen, wenn Sie ein URL-Attribut für SCP mithilfe der archival configuration archive-sites Anweisung auf Hierarchieebene [edit system] festlegen. Wenn Sie die Hostschlüsseldatenbank jedoch manuell aktualisieren müssen, verwenden Sie eine der folgenden Methoden.
- Manuelles Abrufen von Hostschlüsselinformationen
- Importieren von Hostschlüsselinformationen aus einer Datei
Manuelles Abrufen von Hostschlüsselinformationen
Um die Schlüsselinformationen für den öffentlichen SSH-Host manuell abzurufen, konfigurieren Sie die fetch-from-server Option auf Hierarchieebene [edit security ssh-known-hosts] . Sie müssen den Host angeben, von dem der öffentliche SSH-Schlüssel abgerufen werden soll.
user@host# set security ssh-known-hosts fetch-from-server <hostname>
Importieren von Hostschlüsselinformationen aus einer Datei
Um SSH-Hostschlüsselinformationen manuell aus einer known_hosts Datei zu importieren, schließen Sie die load-key-file Option auf Hierarchieebene [edit security ssh-known-hosts] ein. Sie müssen den Pfad zu der Datei angeben, aus der Hostschlüsselinformationen importiert werden sollen.
user@host# set security ssh-known-hosts load-key-file /var/tmp/known-hosts
Tabelle "Änderungshistorie"
Die Funktionsunterstützung hängt von der Plattform und der Version ab, die Sie verwenden. Verwenden Sie den Feature-Explorer , um festzustellen, ob ein Feature auf Ihrer Plattform unterstützt wird.
ssh-dss Algorithmen und
ssh-dsa hostkey veraltet und werden nicht sofort entfernt, sondern als veraltet, um Abwärtskompatibilität zu gewährleisten und die Möglichkeit zu bieten, Ihre Konfiguration mit der neuen Konfiguration in Einklang zu bringen.