Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

Configuración del servicio SSH para el acceso remoto al enrutador o conmutador

 

Para configurar el enrutador o conmutador de modo que acepte SSH como servicio de ssh acceso, incluya [edit system services] la instrucción en el nivel de jerarquía:

De forma predeterminada, el enrutador o conmutador admite un número limitado de sesiones SSH simultáneas y de intentos de conexión por minuto. Utilice las siguientes instrucciones para cambiar los valores predeterminados:

  • connection-limit limit—Número máximo de conexiones simultáneas por protocolo (IPv4 e IPv6). El rango es un valor comprendido entre 1 y 250. El valor predeterminado es 75. Cuando se configura un límite de conexión, el límite se aplica al número de sesiones SSH por protocolo (IPv4 e IPv6). Por ejemplo, un límite de conexión de 10 permite 10 sesiones de SSH de IPv6 y 10 sesiones de SSH de IPv4.

  • max-sessions-per-connection number—Incluye esta instrucción para especificar el número máximo de sesiones SSH permitidas por conexión SSH única. Esto le permite limitar el número de sesiones clonadas canalizadas en una sola conexión SSH. El valor predeterminado es 10.

  • rate-limit limit—Número máximo de intentos de conexión aceptados por minuto (valor entre 1 y 250). El valor predeterminado es 150. Cuando se configura un límite de velocidad, el límite se aplica al número de intentos de conexión por protocolo (IPv4 e IPv6). Por ejemplo, un límite de velocidad de 10 permite 10 intentos de conexión de sesión de SSH de IPv6 por minuto y 10 intentos de conexión de sesión de SSH de IPv4 por minuto.

  • data-limit—Límite de datos antes de renegociar claves de sesión (bytes)

  • time-limit—Límite de tiempo antes de renegociar claves de sesión (minutos)

A partir de Junos OS versión 19.4 R1, puede desactivar la contraseña de inicio de sesión SSH o la autenticación Challenge-Response mediante las no-password-authentication opciones y no-challenge-response en el nivel de jerarquía [edit system services ssh].

De forma predeterminada, un usuario puede crear un túnel SSH a través de una sesión de la CLI para un enrutador que ejecute Junos os a través de SSH. Este tipo de túnel podría utilizarse para reenviar el tráfico TCP, evitando los filtros de firewall o las listas de control de acceso que permitan tener acceso a recursos más allá del enrutador. Utilice la no-tcp-forwarding opción para evitar que un usuario cree un túnel SSH para un enrutador a través de SSH.

Para obtener más información sobre otras opciones de configuración, consulte los temas siguientes:

Configuración del inicio de sesión raíz a través de SSH

De forma predeterminada, los usuarios pueden iniciar sesión en el enrutador o root cambiar como a través de SSH Cuando el método de autenticación no requiere contraseña. Para controlar el acceso de los usuarios a través root-login de SSH, [edit systems services ssh] incluya la instrucción en el nivel de jerarquía:

allow—Permite a los usuarios iniciar sesión en el enrutador o conmutador como raíz a través de SSH.

deny—Deshabilita a los usuarios para que no inicien sesión en el enrutador o conmutadores como root a través de SSH.

deny-password—Permite a los usuarios iniciar sesión en el enrutador o conmutador como root a través de ssh cuando el método de autenticación (por ejemplo, RSA) no requiere contraseña.

El valor predeterminado deny-passwordes.

Configuración de la versión del protocolo SSH

De forma predeterminada, solo está habilitada la versión 2 del protocolo SSH.

Para configurar el enrutador o conmutador de tal que utilice la versión 2 del protocolo protocol-version SSH, incluya v2 la instrucción [edit system services ssh] y especifique en el nivel de jerarquía:

Los sistemas del modo FIPS siempre utilizan la versión v2del protocolo SSH.

Configuración del mecanismo del cliente activo

El mecanismo de cliente activo es muy útil cuando el cliente o el servidor dependen de si una conexión se ha vuelto inactiva. Difiere del mecanismo de KeepAlive estándar, ya que los mensajes del cliente activo se envían a través del canal cifrado. El mecanismo de cliente activo no está habilitado de forma predeterminada. Para habilitarla, configure client-alive-count-max las client-alive-interval instrucciones and. Esta opción solo se aplica a la versión 2 del protocolo SSH.

En el siguiente ejemplo, se desconectarán clientes SSH que no responden después de unos 100 segundos (20 x 5).

Consulte también

Configuración del algoritmo de hash de huellas dactilares de SSH

Para configurar el algoritmo hash que utiliza el servidor SSH cuando muestra huellas digitales fingerprint-hash , incluya la instrucción y especifique md5 o sha2-256 en el nivel de [edit system services ssh] jerarquía:

El md5 algoritmo hash no está disponible en los sistemas en el modo FIPS.

Consulte también

Release History Table
Publicación
Descripción
A partir de Junos OS versión 19.4 R1, puede desactivar la contraseña de inicio de sesión SSH o la autenticación Challenge-Response mediante las no-password-authentication opciones y no-challenge-response en el nivel de jerarquía [edit system services ssh].