Configurer les clés d’hôte connues SSH pour la copie sécurisée des données
Secure Shell (SSH) utilise des algorithmes de chiffrement pour générer un système d’hôte, de serveur et de clé de session qui garantit un transfert de données sécurisé. Vous pouvez configurer les clés d’hôte SSH pour qu’elles prennent en charge la copie sécurisée (SCP) comme alternative au FTP pour le transfert en arrière-plan de données, telles que les archives de configuration et les journaux d’événements. Pour configurer la prise en charge de SSH pour SCP, vous devez effectuer les tâches suivantes :
-
Spécifiez les hôtes connus SSH en incluant les noms d’hôte et les informations de clé d’hôte dans la hiérarchie de configuration du moteur de routage.
-
Définissez une URL SCP pour spécifier l’hôte à partir duquel recevoir les données. La définition de cet attribut récupère automatiquement les informations de clé d’hôte SSH à partir du serveur SCP.
-
Vérifiez que la clé d’hôte est authentique.
-
Acceptez la connexion sécurisée. L’acceptation de cette connexion stocke automatiquement les informations de clé d’hôte dans la base de données de clés d’hôte locale. Le stockage des informations de clé d’hôte dans la hiérarchie de configuration automatise l’établissement de liaison sécurisé et autorise le transfert des données en arrière-plan à l’aide de SCP.
Les tâches permettant de configurer les clés d’hôte SSH pour la copie sécurisée des données sont les suivantes :
Configurer les hôtes connus SSH
Pour configurer des hôtes connus SSH, incluez l’instruction et spécifiez les host options de nom d’hôte et de clé d’hôte pour les serveurs approuvés au niveau de la [edit security ssh-known-hosts] hiérarchie :
[edit security ssh-known-hosts]
host corporate-archive-server {
dsa-key key;
}
host archive-server-url {
rsa-key key;
}
host server-with-ssh-version-1 {
rsa1-key key;
}
Les clés d’hôte sont l’une des suivantes :
-
dsa-key key—Clé DSA (Digital Signature Algorithm) codée en Base64 pour SSH version 2. -
ecdsa-sha2-nistp256-keykey—Clé ECDSA-SHA2-NIST256 codée en Base64. -
ecdsa-sha2-nistp384-keykey—Clé ECDSA-SHA2-NIST384 codée en Base64. -
ecdsa-sha2-nistp521-keykey—Clé ECDSA-SHA2-NIST521 codée en Base64. -
ed25519-keykey—Clé ED25519 encodée en Base64. -
rsa-key key—Algorithme de clé publique codé en Base64 qui prend en charge le chiffrement et les signatures numériques pour SSH version 1 et SSH version 2. -
rsa1-key key—Algorithme de clé publique RSA codé en Base64, qui prend en charge le chiffrement et les signatures numériques pour SSH version 1.
Configurer la prise en charge du transfert de fichiers SCP
Pour configurer un hôte connu afin qu’il prenne en charge les transferts de fichiers SCP en arrière-plan, incluez l’instruction archive-sites au niveau de la [edit system archival configuration] hiérarchie.
[edit system archival configuration]
archive-sites {
scp://username<:password>@host<:port>/url-path;
}
Lorsque vous spécifiez une URL dans une instruction Junos OS à l’aide d’une adresse d’hôte IPv6, vous devez placer l’URL entière entre guillemets ( » « ) et l’adresse d’hôte IPv6 entre crochets ([ ]). Par exemple, « scp://username< :password>@[host]< :port>/url-path » ;
La définition de l’instruction archive-sites pour qu’elle pointe vers une URL SCP déclenche la récupération automatique de la clé d’hôte. À ce stade, Junos OS se connecte à l’hôte SCP pour récupérer la clé publique SSH, affiche le résumé du message de la clé hôte ou l’empreinte digitale en sortie vers la console et met fin à la connexion au serveur.
user@host# set system archival configuration archive-sites “<scp-url-path>” The authenticity of host <my-archive-server (<server-ip-address>)> can’t be established. RSA key fingerprint is <ascii-text key>. Are you sure you want to continue connecting (yes/no)?
Pour vérifier que la clé d’hôte est authentique, comparez cette empreinte avec une empreinte que vous obtenez du même hôte à l’aide d’une source fiable. Si les empreintes sont identiques, acceptez la clé d’hôte en la saisissant yes à l’invite. Les informations de clé hôte sont ensuite stockées dans la configuration du moteur de routage et prennent en charge les transferts de données en arrière-plan à l’aide de SCP.
Mettre à jour les informations de la clé de l’hôte SSH
En règle générale, les informations de clé d’hôte SSH sont automatiquement récupérées lorsque vous définissez un attribut URL pour SCP à l’aide de l’instruction archival configuration archive-sites au niveau de la [edit system] hiérarchie. Toutefois, si vous devez mettre à jour manuellement la base de données de clés d’hôte, utilisez l’une des méthodes suivantes.
- Récupération manuelle des informations sur la clé de l’hôte
- Importer des informations de clé d’hôte à partir d’un fichier
Récupération manuelle des informations sur la clé de l’hôte
Pour récupérer manuellement les informations de la clé d’hôte public SSH, configurez l’option fetch-from-server au niveau de la [edit security ssh-known-hosts] hiérarchie. Vous devez spécifier l’hôte à partir duquel récupérer la clé publique SSH.
user@host# set security ssh-known-hosts fetch-from-server <hostname>
Importer des informations de clé d’hôte à partir d’un fichier
Pour importer manuellement les informations de clé d’hôte SSH à partir d’un fichier known_hosts , incluez l’option load-key-file au niveau de la [edit security ssh-known-hosts] hiérarchie. Vous devez spécifier le chemin d’accès au fichier à partir duquel importer les informations de clé d’hôte.
user@host# set security ssh-known-hosts load-key-file /var/tmp/known-hosts
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plate-forme et la version que vous utilisez. Utilisez l’Explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.
ssh-dss algorithmes et
ssh-dsa hostkey sont déconseillés (plutôt que supprimés immédiatement) afin d’assurer la compatibilité descendante et de mettre votre configuration en conformité avec la nouvelle configuration.