Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ssh (System Services)

Syntax

Hierarchy Level

Description

Autoriser les requêtes SSH provenant de systèmes distants pour accéder à l’équipement local.

Options

ordre d’authentification [méthode1 méthode2...]

Configurez l’ordre dans lequel le logiciel tente d’essayer différentes méthodes d’authentification de l’utilisateur pour tenter d’authentifier un utilisateur. Pour chaque tentative de connexion, le logiciel tente d’utiliser les méthodes d’authentification dans l’ordre, en commençant par la première, jusqu’à ce que le mot de passe soit correspondance.

  • Par défaut: Si vous n’inclut pas l’instruction, les utilisateurs sont vérifiés en fonction de leurs mots de passe authentication-order configurés.

  • Syntaxe: Indiquez une ou plusieurs des méthodes d’authentification suivantes énumérées dans l’ordre dans lequel elles doivent être essayées:

    • ldaps—Utiliser des services d’authentification LDAP.

    • password—Utilisez le mot de passe configuré pour l’utilisateur avec authentication l’instruction au niveau de la [edit system login user] hiérarchie.

    • radius—Utiliser des services RADIUS authentification.

    • tacplus—Utiliser les services d’authentification TACACS+.

commande clés autorisées

Indiquez une chaîne de commandes pour rechercher les clés publiques de l’utilisateur.

clés autorisées- utilisateur de commande

Indiquez l’utilisateur sous qui exécute la commande des clés autorisées.

chiffrements [cipher-1 cipher-2 cipher-3 ...]

Indiquez l’ensemble de chiffrements que le serveur SSH peut utiliser pour exécuter des fonctions de chiffrement et de déchiffrement.

Remarque :

Les chiffres représentent un ensemble. Pour configurer les chiffrements SSH, utilisez la commande set comme indiqué dans l’exemple suivant:

  • Valeurs: Indiquez un ou plusieurs des chiffres suivants:

    • 3des-cbc—Triple Data Encryption Standard (DES) en mode CRYPTOGRAPH (Cipher Block Chaining) (CRYPTOGRAPH).

    • aes128-cbc—Norme de chiffrement avancée (AES) 128 bits en mode CRYPTOGRAPH.

    • aes128-ctr—AES 128 bits en mode compteur.

    • aes128-gcm@openssh.com—128 bits AES en mode galoise/contre.

    • aes192-cbc—AES 192 bits en mode INSERRE.

    • aes192-ctr—AES 192 bits en mode compteur.

    • aes256-cbc—AES 256 bits en mode INSERRE.

    • aes256-ctr—AES 256 bits en mode compteur.

    • aes256-gcm@openssh.com—256 bits AES en mode Galois/Compteur.

    • arcfour—Chiffrement à 128 bits RC4-stream en mode THESE.

    • arcfour128—Chiffrement à 128 bits RC4-stream en mode THESE.

    • arcfour256—Chiffrement à 256 bits RC4-stream en mode THESE.

    • blowfish-cbc—Chiffrement de bloc 128 bits à 128 bits 2002, en mode THERE.

    • cast128-cbc—128 bits en mode PASS (128 bits) en mode THERE.

    • chacha20-poly1305@openssh.com—Chiffrement de flux ChaCha20 et MAC Poly1305.

n° client-count-max.

Configurez le nombre de messages clients en vie, qui peuvent être envoyés sans recevoir de messages de sa part. Si ce seuil est atteint alors que les messages clients en cours d’envoi sont envoyés, le sshd déconnecte le client et termine la session. Les messages clients sont envoyés via le canal chiffré. Utilisez en conjonction avec l’énoncé de l’intervalle entre clients pour déconnexer les clients SSH non réponsens.

  • Par défaut: 3 messages

  • Gamme: Entre 0 et 255 messages

secondes d’intervalle client-vie

Configurez un intervalle d’interruption de service en quelques secondes, après quoi, si aucune donnée n’a été reçue du client, sshd envoie un message via le canal chiffré pour demander une réponse au client. Cette option s’applique uniquement au protocole SSH version 2. Utilisez en conjonction avec l’instruction client-alive count-max pour déconnexer les clients SSH non réponsens.

  • Par défaut: 0 secondes

  • Gamme: 1 à 65535 secondes

hachage d’empreinte (md5 | sha2-256)

Indiquez l’algorithme de hachage utilisé par le serveur SSH lorsqu’il affiche les empreintes clés.

Remarque :

L’image FIPS ne permet pas l’utilisation d’empreintes MD5. Sur les systèmes en mode FIPS, sha2-256 est la seule option disponible.

  • Valeurs: Indiquez l’une des questions suivantes:

    • md5: permet au serveur SSH d’utiliser l’algorithme MD5.

    • sha2-256: permet au serveur SSH d’utiliser l’algorithme sha2-256.

  • Par défaut: sha2-256

clé de journal- changements de clé de journal

Activez Junos OS pour connecter les clés SSH autorisées. Lorsque l’énoncé est configuré et Junos OS enregistre les modifications dans l’ensemble de clés SSH autorisées pour chaque utilisateur (y compris les clés qui ont été ajoutées ou log-key-changes supprimées). Junos OS enregistre les différences depuis la dernière configuration log-key-changes de l’instruction. Si log-key-changes l’instruction n’a jamais été configurée, Junos OS toutes les clés SSH autorisées.

  • Par défaut: Junos OS enregistre toutes les clés SSH autorisées.

macs [algorithm1 algorithm2...]

Indiquez l’ensemble d’algorithmes MAC (message authentication code) que le serveur SSH peut utiliser pour authentifier les messages.

Remarque :

L’énoncé de configuration macs représente un ensemble. Il doit donc être configuré comme suit:

  • Valeurs: Indiquez un ou plusieurs des algorithmes MAC suivants pour authentifier les messages:

    • hmac-md5— Mac basée sur le hachage utilisant Message-Digest 5 (MD5)

    • hmac-md5-96—MAC à 96 bits basée sur le hachage avec MD5

    • hmac-md5-96-etm@openssh.com—96 bits de code ENCRYPT-then-MAC basé sur le hachage avec MD5

    • hmac-md5-etm@openssh.com— Encrypt-then-MAC basé sur le hachage à l’aide de MMD5

    • hmac-ripemd160— MAC basée sur le hachage à l’aide de RIPEMD

    • hmac-ripemd160-etm@openssh.com— Encrypt-then-MAC basé sur le hachage à l’aide de RIPEMD

    • hmac-sha1—Mac basée sur le hachage utilisant l’algorithme de hachage sécurisé -1 (SHA-1)

    • hmac-sha1-96—MAC à 96 bits basée sur le hachage avec SHA-1

    • hmac-sha1-96-etm@openssh.com—96 bits de code Encrypt-then-MAC basé sur le hachage avec SHA-1

    • hmac-sha1-etm@openssh.com—Basé sur le hachage Encrypt-then-MAC à l’aide de SHA-1

    • hmac-sha2-256—256 bits d’mac basé sur le hachage utilisant l’algorithme de hachage sécurisé -2 (SHA-2)

    • hmac-sha2-256-etm@openssh.com— Encrypt-then-Mac basé sur le hachage à l’aide de SHA-2

    • hmac-sha2-512—512 bits d’MAC basée sur le hachage avec SHA-2

    • hmac-sha2-512-etm@openssh.com— Encrypt-then-Mac basé sur le hachage à l’aide de SHA-2

    • umac-128-etm@openssh.com—Encrypt-then-MAC à l’aide de l’algorithme UMAC-128 spécifié dans le RFC4418

    • umac-128@openssh.com—Algorithme UMAC-128 spécifié dans le RFC4418

    • umac-64-etm@openssh.com—Encrypt-then-MAC à l’aide de l’algorithme UMAC-64 spécifié dans le RFC4418

    • umac-64@openssh.com—Algorithme UMAC-64 spécifié dans le RFC4418

nombre max. de paquets avant authentification

Définissez le nombre maximum de paquets SSH de pré-authentification que le serveur SSH acceptera avant l’authentification de l’utilisateur.

  • Gamme: 20 à 2147483647 paquets

  • Par défaut: 128 paquets

nombre max. de sessions par connexion

Indiquez le nombre maximal de sessions ssh autorisées par connexion SSH unique.

  • Gamme: 1 à 65535 sessions

  • Par défaut: 10 sessions

réponse sans problème

Désactivez les méthodes d’authentification basées sur les réponses aux défis SSH.

Remarque :

La configuration de cette instruction sous la hiérarchie affecte à la fois le [edit system services ssh] service de connexion et le service over SSHNETCONF SSH.

authentification sans mot de passe

Désactivez les méthodes d’authentification basées sur un mot de passe SSH.

Remarque :

La configuration de cette instruction sous la hiérarchie affecte à la fois le [edit system services ssh] service de connexion et le service over SSHNETCONF SSH.

aucun mot de passe

Désactivez l’authentification SSH basée sur un mot de passe et sur la réponse de problème.

Remarque :

La configuration de cette instruction sous la hiérarchie affecte à la fois le [edit system services ssh] service de connexion et le service over SSHNETCONF SSH.

pas de clés publiques

Désactivez le système d’authentification à clé publique sur l’ensemble du réseau. Si vous spécifiez l’énoncé de clés publiques au niveau hiérarchique [edit system login user-name authentication], vous désactivez l’authentification des clés publiques pour un utilisateur spécifique.

non-tcp-forwarding

Empêchez un utilisateur de créer un tunnel SSH via une session CLI’un équipement via SSH. Ce type de tunnel peut servir à avancer le trafic TCP en contournant n’importe quel filtre de pare-feu ou APC, permettant ainsi l’accès à des ressources au-delà de l’équipement.

Remarque :

Cette instruction s’applique uniquement aux nouvelles sessions SSH et n’a aucun effet sur les sessions SSH existantes.

numéro de port

Indiquez le numéro de port sur lequel accepter les connexions SSH entrantes.

  • Par défaut: 22

  • Gamme: Entre 1 et 65535

version de protocole [v2]

Indiquez la version du protocole Secure Shell (SSH).

Depuis Junos OS release 19.3R1 et Junos OS Release 18.3R3, sur tous les équipements SRX Series, nous avons supprimé l’option de [ ] niveau hiérarchique du protocole SSH non-ecure version 1 ( v1 ) edit system services ssh protocol-version Vous pouvez utiliser le protocole SSH version 2 ( ) comme option par défaut pour gérer à distance les systèmes v2 et les applications. Si v1 l’option est dépréciée, Junos OS compatible avec OpenSSH 7.4 et les versions ultérieures.

Junos OS les nouvelles 19.3R1 et 18.3R3 la prise en charge de la gestion à distance des systèmes v1 et des applications.

  • Par défaut: v2— Le protocole SSH version 2 est le protocole par défaut Junos OS version 11.4.

numéro de limite de taux

Configurez le nombre maximal de tentatives de connexion par minute, par protocole (IPv6 ou IPv4) sur un service d’accès. Par exemple, une limite de débit de 10 permet 10 tentatives de connexion SSH IPv6 par minute et 10 tentatives de connexion SSH IPv4 par minute.

  • Gamme: Entre 1 et 250 connexions

  • Par défaut: 150 connexions

re-clés

Spécifiez les limites avant que les clés de session soient ré-négociations.

octets de limite de données

Indiquez la limite des données avant de renégocier les clés de session.

minutes limitées dans le temps

Indiquez le délai limite avant de renégocier les clés de session.

  • Gamme: Entre 1 et 1 440 minutes

root-login (autoriser | refuser |'accès au mot de passe)

Contrôlez l’accès des utilisateurs via SSH.

  • permettent aux utilisateurs de se connecter à l’équipement en tant que root via SSH.

  • refus: désactive la connexion de l’utilisateur à l’équipement en tant que root via SSH.

  • deny-password: permet aux utilisateurs de se connecter à l’équipement en tant que root via SSH lorsque la méthode d’authentification (par exemple, l’authentification RSA) ne nécessite pas de mot de passe.

  • Par défaut: deny-password est le paramètre par défaut de la plupart des systèmes.

    À partir de la version Junos 17.4R1 les routeurs MX Series, la connexion racine par défaut est deny . Dans les versions Junos OS précédentes, le paramètre par défaut pour les versions MX240, MX480, MX960, MX2010 et MX2020 était allow .

serveur sftp

Activez globalement les connexions SSH File Transfer Protocol (SFTP) entrantes. En configurant l’instruction, vous autorisez les équipements autorisés à se connecter à sftp-server l’équipement via SFTP. Si l’énoncé de configuration n’est pas présent dans la configuration, le SFTP est désactivé de manière globale et aucun équipement ne peut se connecter à l’équipement sftp-server via SFTP.

tcp-forwarding

Permet à un utilisateur de créer un tunnel SSH via une session CLI vers une plate-forme Junos OS désagrégée à l’aide de SSH.

Les autres énoncés sont expliqués séparément. Recherchez une déclaration dans CLI Explorer ou cliquez sur une instruction associée dans la section Syntaxe pour plus de détails.

Required Privilege Level

système: pour afficher cet énoncé dans la configuration.

contrôle du système: pour ajouter cette instruction à la configuration.

Release Information

Déclaration introduite avant Junos OS version 7.4.

ciphershostkey-algorithm, key-exchange et macs les déclarations introduites Junos OS version 11.2.

max-sessions-per-connection et no-tcp-forwarding les déclarations publiées dans Junos OS version 11.4.

Options SHA-2 introduites dans Junos OS version 12.1.

Prise en charge de l’option curve25519-sha256 sur l’instruction ajoutée key-exchange dans Junos OS version 12.1X47-D10.

client-alive-interval et client-alive-count-max les déclarations publiées Junos OS version 12.2.

max-pre-authentication-packets publiée dans Junos OS Version 12.3X48-D10.

no-passwords publiée dans Junos OS version 13.3.

no-public-keys introduite dans Junos OS version 15.1.

tcp-forwarding introduite dans la Junos OS version 15.1X53-D50 pour le NFX250 Plate-forme de services réseau.

fingerprint-hash introduite dans Junos OS version 16.1.

log-key-changes publiée dans Junos OS Version 17.4R1.

sftp-server publiée dans Junos OS Version 19.1R1.

no-challenge-response et no-password-authentication les déclarations publiées dans Junos OS Version 19.4R1.

Option ldaps disponible dans la version Junos OS Version 20.2R1.