ssh (System Services)
Syntaxe
ssh { authentication-order [method 1 method2...]; authorized-keys-command authorized-keys-command; authorized-keys-command-user authorized-keys-command-user; (authorized-principals principal-names | authorized-principals-command program-path) authorized-principals-file filename ciphers [ cipher-1 cipher-2 cipher-3 ...]; client-alive-count-max number; client-alive-interval seconds; connection-limit limit; fingerprint-hash (md5 | sha2-256); host-certificate-file filename hostkey-algorithm (algorithm | no-algorithm); key-exchange [algorithm1 algorithm2...]; log-key-changes log-key-changes; macs [algorithm1 algorithm2...]; max-pre-authentication-packets number; max-sessions-per-connection number; no-challenge-response; no-password-authentication; no-passwords; no-public-keys; allow-tcp-forwarding; port port-number; protocol-version [v2]; rate-limit number; rekey { data-limit bytes; time-limit minutes; } root-login (allow | deny | deny-password); sftp-server; trusted-user-ca-key-file filename }
Niveau hiérarchique
[edit system services]
Description
Autorisez les requêtes SSH des systèmes distants à accéder à l’appareil local.
Options
allow-tcp-forwarding | Permettre à un utilisateur de créer un tunnel SSH sur une session CLI vers une plate-forme Junos OS désagrégée à l’aide de SSH. À partir de Junos OS version 22.2R1, nous avons désactivé la fonctionnalité de transfert TCP par défaut pour renforcer la sécurité. Pour activer la fonctionnalité de transfert TCP, vous pouvez configurer l’instruction |
||||
authentication-order [method1 method2...] | Configurez l’ordre dans lequel le logiciel essaie différentes méthodes d’authentification de l’utilisateur lors de la tentative d’authentification d’un utilisateur. Pour chaque tentative de connexion, le logiciel essaie les méthodes d’authentification dans l’ordre, en commençant par la première, jusqu’à ce que le mot de passe corresponde.
|
||||
authorized-keys-command | Spécifiez une chaîne de commande à utiliser pour rechercher les clés publiques de l'utilisateur. |
||||
authorized-keys-command-user | Spécifiez l’utilisateur sous le compte duquel la commande authorized-keys-command est exécutée. |
||||
authorized-principals principal-names | Spécifiez une liste de principaux qui peuvent être acceptés pour l’authentification. Les identités ajoutées à l’aide de cette commande s’ajoutent aux identités ajoutées à l’aide de la
Note:
Les |
||||
authorized-principals-file filename | Configurez le fichier dans /var/etc pour l’authentification SSH basée sur les |
||||
authorized-principals-command program-path | Spécifiez un programme à utiliser pour générer la liste des principaux de certificat autorisés trouvés dans le fichier pour l’authentification basée sur les
Note:
Les |
||||
ciphers [ cipher-1 cipher-2 cipher-3 ...] | Spécifiez l’ensemble de chiffrements que le serveur SSH peut utiliser pour exécuter des fonctions de chiffrement et de déchiffrement.
Note:
Les chiffrements représentent un ensemble. Pour configurer les chiffrements SSH, utilisez la user@host#set system services ssh ciphers [ aes256-cbc aes192-cbc ]
|
||||
client-alive-count-max number | Configurez le nombre de messages actifs du client qui peuvent être envoyés sans que sshd ne reçoive de messages en retour du client. Si ce seuil est atteint pendant l’envoi de messages client alive, sshd déconnectera le client, mettant fin à la session. Les messages du client actif sont envoyés via le canal chiffré. À utiliser en conjonction avec l’instruction client-alive-interval pour déconnecter les clients SSH qui ne répondent pas.
|
||||
client-alive-interval seconds | Configurez un intervalle de délai d’attente en secondes, après quoi si aucune donnée n’a été reçue du client, sshd enverra un message via le canal crypté pour demander une réponse au client. Cette option ne s’applique qu’à la version 2 du protocole SSH. À utiliser en conjonction avec l’instruction client-alive-count-max pour déconnecter les clients SSH qui ne répondent pas.
|
||||
fingerprint-hash (md5 | sha2-256) | Spécifiez l’algorithme de hachage utilisé par le serveur SSH lorsqu’il affiche les empreintes digitales des clés.
Note:
L’image FIPS ne permet pas l’utilisation d’empreintes MD5. Sur les systèmes en mode FIPS,
|
||||
host-certificate-file filename | Configurez le fichier dans /etc/ssh/sshd_config pour l’authentification SSH basée sur un |
||||
log-key-changes log-key-changes | Activez Junos OS pour consigner les clés SSH autorisées. Lorsque l’instruction
|
||||
macs [algorithm1 algorithm2...] | Spécifiez l’ensemble d’algorithmes de code d’authentification des messages (MAC) que le serveur SSH peut utiliser pour authentifier les messages.
Note:
L’instruction macs de configuration représente un ensemble. Par conséquent, il doit être configuré comme suit : user@host#set system services ssh macs [hmac-md5 hmac-sha1]
|
||||
max-pre-authentication-packets number | Définissez le nombre maximal de paquets SSH de pré-authentification que le serveur SSH acceptera avant l’authentification de l’utilisateur.
|
||||
max-sessions-per-connection number | Spécifiez le nombre maximal de sessions SSH autorisées par connexion SSH.
|
||||
no-challenge-response | Désactivez les méthodes d’authentification SSH basées sur les défis-réponses.
Note:
La configuration de cette instruction sous la hiérarchie affecte à la |
||||
no-password-authentication | Désactivez les méthodes d’authentification par mot de passe SSH.
Note:
La configuration de cette instruction sous la hiérarchie affecte à la |
||||
no-passwords | Désactivez l’authentification basée sur le mot de passe et l’authentification basée sur la réponse au défi pour SSH.
Note:
La configuration de cette instruction sous la hiérarchie affecte à la |
||||
no-public-keys | Désactivez l’authentification par clé publique à l’échelle du système. Si vous spécifiez l’instruction no-public-keys au niveau de la hiérarchie [modifier l’authentification de l’utilisateur de connexion système], vous désactivez l’authentification user-name par clé publique pour un utilisateur spécifique. |
||||
port port-number | Spécifiez le numéro de port sur lequel accepter les connexions SSH entrantes.
|
||||
protocol-version [v2] | Spécifiez la version du protocole Secure Shell (SSH). À partir de Junos OS version 19.3R1 et Junos OS version 18.3R3, sur tous les équipements SRX Series, nous avons supprimé l’option protocole SSH non sécurisé version 1 ( Les versions de Junos OS antérieures aux versions 19.3R1 et 18.3R3 continuent de prendre en charge la
|
||||
rate-limit number | Configurez le nombre maximal de tentatives de connexion par minute et par protocole (IPv6 ou IPv4) sur un service d’accès. Par exemple, une limite de débit de 10 autorise 10 tentatives de connexion de session SSH IPv6 par minute et 10 tentatives de connexion de session SSH IPv4 par minute.
|
||||
rekey | Spécifiez des limites avant que les clés de session ne soient renégociées.
|
||||
root-login (allow | deny | deny-password) | Contrôlez l’accès des utilisateurs via SSH.
|
||||
sftp-server | Activez globalement les connexions entrantes SFTP (SSH File Transfer Protocol). En configurant l’instruction, vous autorisez les périphériques autorisés à se connecter à l’appareil |
||||
trusted-user-ca-key-file filename | Configurez le fichier dans /etc/ssh/sshd_config pour l’authentification SSH basée sur un |
Les autres énoncés sont expliqués séparément. Recherchez une instruction dans l’Explorateur CLI ou cliquez sur une instruction liée dans la section Syntaxe pour plus de détails.
Niveau de privilège requis
system : permet d’afficher cette instruction dans la configuration.
system-control : permet d’ajouter cette instruction à la configuration.
Informations sur la version
Déclaration introduite avant Junos OS version 7.4.
ciphers
, hostkey-algorithm
, key-exchange
et macs
les déclarations introduites dans Junos OS version 11.2.
max-sessions-per-connection
et no-tcp-forwarding
les déclarations introduites dans Junos OS version 11.4.
Options SHA-2 introduites dans Junos OS version 12.1.
Prise en charge de l’option curve25519-sha256 sur l’instruction key-exchange
ajoutée dans Junos OS version 12.1X47-D10.
client-alive-interval
et client-alive-count-max
les déclarations introduites dans Junos OS version 12.2.
max-pre-authentication-packets
introduite dans Junos OS version 12.3X48-D10.
no-passwords
introduite dans Junos OS version 13.3.
no-public-keys
introduite dans Junos OS version 15.1.
tcp-forwarding
Déclaration introduite dans Junos OS version 15.1X53-D50 pour la plate-forme de services réseau NFX250.
fingerprint-hash
introduite dans Junos OS version 16.1.
log-key-changes
introduite dans Junos OS version 17.4R1.
sftp-server
introduite dans Junos OS version 19.1R1.
no-challenge-response
et no-password-authentication
les déclarations introduites dans Junos OS version 19.4R1.
Option ldaps
introduite dans Junos OS version 20.2R1.
allow-tcp-forwarding
option ajoutée dans Junos OS version 22.2R1.
Le athorized-prinicpals
, authorized-principals-command
et les authorized-principals-file
options ajoutées dans Junos OS version 22.3R1.