ssh (System Services)

Permettre à un utilisateur de créer un tunnel SSH sur une session CLI vers une plate-forme Junos OS désagrégée à l’aide de SSH.

À partir de Junos OS version 22.2R1, nous avons désactivé la fonctionnalité de transfert TCP par défaut pour renforcer la sécurité. Pour activer la fonctionnalité de transfert TCP, vous pouvez configurer l’instruction allow-tcp-forwarding au niveau de la hiérarchie [edit system services ssh]. De plus, nous avons déprécié les tcp-forwarding instructions et no-tcp-forwarding au niveau de la hiérarchie [edit system services ssh].

Configurez l’ordre dans lequel le logiciel essaie différentes méthodes d’authentification de l’utilisateur lors de la tentative d’authentification d’un utilisateur. Pour chaque tentative de connexion, le logiciel essaie les méthodes d’authentification dans l’ordre, en commençant par la première, jusqu’à ce que le mot de passe corresponde.

• Par défaut: Si vous n’incluez pas l’instruction authentication-order , les utilisateurs sont vérifiés en fonction de leurs mots de passe configurés.

• Syntaxe: Spécifiez une ou plusieurs des méthodes d’authentification suivantes répertoriées dans l’ordre dans lequel elles doivent être essayées :

  • ldaps: utiliser les services d’authentification LDAP.

  • password: utilisez le mot de passe configuré pour l’utilisateur avec l’instruction authentication au niveau de la [edit system login user] hiérarchie.

  • radius: utiliser les services d’authentification RADIUS.

  • tacplus—Utilisez les services d’authentification TACACS+.

Spécifiez une chaîne de commande à utiliser pour rechercher les clés publiques de l'utilisateur.

Spécifiez l’utilisateur sous le compte duquel la commande authorized-keys-command est exécutée.

Spécifiez une liste de principaux qui peuvent être acceptés pour l’authentification. Les identités ajoutées à l’aide de cette commande s’ajoutent aux identités ajoutées à l’aide de la authorized-principals-file commande.

Configurez le fichier dans /var/etc pour l’authentification SSH basée sur les AuthorizedPrincipals certificats. Ce fichier contient une liste de noms, dont l’un doit apparaître dans le certificat pour qu’il soit accepté pour authentification.

Spécifiez un programme à utiliser pour générer la liste des principaux de certificat autorisés trouvés dans le fichier pour l’authentification basée sur les AuthorizedPrincipals certificats SSH.

Spécifiez l’ensemble de chiffrements que le serveur SSH peut utiliser pour exécuter des fonctions de chiffrement et de déchiffrement.

• Valeurs: Spécifiez un ou plusieurs des chiffrements suivants :

  • 3des-cbc—Triple Data Encryption Standard (DES) en mode Cipher Block Chaining (CBC).

  • aes128-cbc—Advanced Encryption Standard (AES) 128 bits en mode CBC.

  • aes128-ctr—AES 128 bits en mode compteur.

  • aes128-gcm@openssh.com—AES 128 bits en mode Galois/Counter.

  • aes192-cbc—AES 192 bits en mode CBC.

  • aes192-ctr—AES 192 bits en mode compteur.

  • aes256-cbc—AES 256 bits en mode CBC.

  • aes256-ctr—AES 256 bits en mode compteur.

  • aes256-gcm@openssh.com—AES 256 bits en mode Galois/Counter.

  • chacha20-poly1305@openssh.com—Chiffrement de flux ChaCha20 et MAC Poly1305.

Configurez le nombre de messages actifs du client qui peuvent être envoyés sans que sshd ne reçoive de messages en retour du client. Si ce seuil est atteint pendant l’envoi de messages client alive, sshd déconnectera le client, mettant fin à la session. Les messages du client actif sont envoyés via le canal chiffré. À utiliser en conjonction avec l’instruction client-alive-interval pour déconnecter les clients SSH qui ne répondent pas.

• Valeur par défaut : 3 messages

• Plage : 0 à 255 messages

Configurez un intervalle de délai d’attente en secondes, après quoi si aucune donnée n’a été reçue du client, sshd enverra un message via le canal crypté pour demander une réponse au client. Cette option ne s’applique qu’à la version 2 du protocole SSH. À utiliser en conjonction avec l’instruction client-alive-count-max pour déconnecter les clients SSH qui ne répondent pas.

• Valeur par défaut : 0 seconde

• Plage : 1 à 65535 secondes

Spécifiez l’algorithme de hachage utilisé par le serveur SSH lorsqu’il affiche les empreintes digitales des clés.

• Valeurs: Spécifiez l’une des options suivantes :

  • md5 : permet au serveur SSH d’utiliser l’algorithme MD5.

  • sha2-256 : permet au serveur SSH d’utiliser l’algorithme sha2-256.

• Valeur par défaut : sha2-256

Configurez le fichier dans /etc/ssh/sshd_config pour l’authentification SSH basée sur un HostCertificate certificat. Ce fichier contient le certificat d’hôte signé.

Activez Junos OS pour consigner les clés SSH autorisées. Lorsque l’instruction log-key-changes est configurée et validée, Junos OS consigne les modifications apportées au jeu de clés SSH autorisées pour chaque utilisateur (y compris les clés ajoutées ou supprimées). Junos OS consigne les différences depuis la dernière configuration de l’instruction log-key-changes . Si l’instruction n’a log-key-changes jamais été configurée, Junos OS consigne toutes les clés SSH autorisées.

• Par défaut: Junos OS enregistre toutes les clés SSH autorisées.

Spécifiez l’ensemble d’algorithmes de code d’authentification des messages (MAC) que le serveur SSH peut utiliser pour authentifier les messages.

• Valeurs: Spécifiez un ou plusieurs des algorithmes MAC suivants pour authentifier les messages :

  • hmac-md5: MAC basé sur le hachage à l’aide de Message-Digest 5 (MD5)

  • hmac-md5-96—96 bits de MAC basé sur le hachage utilisant MD5

  • hmac-md5-96-etm@openssh.com—96 bits de chiffrement puis MAC basé sur le hachage à l’aide de MD5

  • hmac-md5-etm@openssh.com—Chiffrement basé sur le hachage puis MAC à l’aide de MMD5

  • hmac-sha1—MAC basé sur le hachage à l’aide de l’algorithme de hachage sécurisé-1 (SHA-1)

  • hmac-sha1-96—96 bits de MAC basé sur le hachage utilisant SHA-1

  • hmac-sha1-96-etm@openssh.com—96 bits d’Encrypt-then-MAC basé sur le hachage en utilisant SHA-1

  • hmac-sha1-etm@openssh.com—Chiffrement basé sur le hachage puis MAC à l’aide de SHA-1

  • hmac-sha2-256—256 bits de MAC basé sur le hachage à l’aide de l’algorithme de hachage sécurisé-2 (SHA-2)

  • hmac-sha2-256-etm@openssh.com—Chiffrement basé sur le hachage puis Mac à l’aide de SHA-2

  • hmac-sha2-512—512 bits de MAC basé sur le hachage utilisant SHA-2

  • hmac-sha2-512-etm@openssh.com—Chiffrement basé sur le hachage puis Mac à l’aide de SHA-2

  • umac-128-etm@openssh.com—Chiffrer puis MAC à l’aide de l’algorithme UMAC-128 spécifié dans RFC4418

  • umac-128@openssh.com—Algorithme UMAC-128 spécifié dans RFC4418

  • umac-64-etm@openssh.com—Chiffrer puis MAC à l’aide de l’algorithme UMAC-64 spécifié dans RFC4418

  • umac-64@openssh.com—Algorithme UMAC-64 spécifié dans RFC4418

Définissez le nombre maximal de paquets SSH de pré-authentification que le serveur SSH acceptera avant l’authentification de l’utilisateur.

• Portée : 20 à 2147483647 paquets

• Valeur par défaut : 128 paquets

Spécifiez le nombre maximal de sessions SSH autorisées par connexion SSH.

• Plage : 1 à 65535 séances

• Valeur par défaut : 10 sessions

Désactivez les méthodes d’authentification SSH basées sur les défis-réponses.

Désactivez les méthodes d’authentification par mot de passe SSH.

Désactivez l’authentification basée sur le mot de passe et l’authentification basée sur la réponse au défi pour SSH.

Désactivez l’authentification par clé publique à l’échelle du système. Si vous spécifiez l’instruction no-public-keys au niveau de la hiérarchie [modifier l’authentification de l’utilisateur de connexion système], vous désactivez l’authentification user-name par clé publique pour un utilisateur spécifique.

Spécifiez le numéro de port sur lequel accepter les connexions SSH entrantes.

• Valeur par défaut : 22

• Plage : 1 à 65535

Spécifiez la version du protocole Secure Shell (SSH).

À partir de Junos OS version 19.3R1 et Junos OS version 18.3R3, sur tous les équipements SRX Series, nous avons supprimé l’option protocole SSH non sécurisé version 1 (v1) du niveau hiérarchique [edit system services ssh protocol-version]. Vous pouvez utiliser le protocole SSH version 2 (v2) comme option par défaut pour gérer à distance les systèmes et les applications. Avec l’option v1 déconseillée, Junos OS est compatible avec OpenSSH 7.4 et versions ultérieures.

Les versions de Junos OS antérieures aux versions 19.3R1 et 18.3R3 continuent de prendre en charge la v1 possibilité de gérer les systèmes et les applications à distance.

• Valeur par défaut : v2—La version 2 du protocole SSH est la valeur par défaut, introduite dans Junos OS version 11.4.

Configurez le nombre maximal de tentatives de connexion par minute et par protocole (IPv6 ou IPv4) sur un service d’accès. Par exemple, une limite de débit de 10 autorise 10 tentatives de connexion de session SSH IPv6 par minute et 10 tentatives de connexion de session SSH IPv4 par minute.

• Portée : 1 à 250 connexions

• Valeur par défaut : 150 connexions

Spécifiez des limites avant que les clés de session ne soient renégociées.

Contrôlez l’accès des utilisateurs via SSH.

• allow : permet aux utilisateurs de se connecter à l’appareil en tant qu’utilisateur root via SSH.

• refuser : empêche les utilisateurs de se connecter à l’appareil en tant qu’utilisateur root via SSH.

• deny-password : autorise les utilisateurs à se connecter à l’appareil en tant qu’utilisateur root via SSH lorsque la méthode d’authentification (par exemple, l’authentification RSA) ne nécessite pas de mot de passe.

• Par défaut: deny-password est l’option par défaut pour la plupart des systèmes.

  À partir de la version 17.4R1 de Junos pour les routeurs MX Series, la valeur par défaut de root-login est deny. Dans les versions précédentes de Junos OS, le paramètre par défaut pour les MX240, MX480, MX960, MX2010 et MX2020 était allow.

Activez globalement les connexions entrantes SFTP (SSH File Transfer Protocol). En configurant l’instruction, vous autorisez les périphériques autorisés à se connecter à l’appareil sftp-server via SFTP. Si l’instruction n’est pas présente dans la configuration, SFTP est globalement désactivé et aucun périphérique ne peut se connecter à l’appareil sftp-server via SFTP.

Configurez le fichier dans /etc/ssh/sshd_config pour l’authentification SSH basée sur un TrustedUserCAKey certificat. Ce fichier contient les clés publiques d’un certificat SSH.