안전한 데이터 복사를 위해 SSH 식별 호스트 키 구성
SSH(Secure Shell)는 암호화 알고리즘을 사용하여 안전한 데이터 전송을 보장하는 호스트, 서버 및 세션 키 시스템을 생성합니다. SSH 호스트 키를 구성하여 구성 아카이브 및 이벤트 로그와 같은 데이터의 백그라운드 전송을 위한 FTP 대안으로 안전한 사본(SCP)을 지원할 수 있습니다. SCP에 대한 SSH 지원을 구성하려면 다음 작업을 완료해야 합니다.
-
라우팅 엔진 구성 계층에 호스트 이름 및 호스트 키 정보를 포함하여 SSH 식별 호스트를 지정합니다.
-
SCP URL을 설정하여 데이터를 수신할 호스트를 지정합니다. 이 속성을 설정하면 SCP 서버에서 SSH 호스트 키 정보를 자동으로 검색합니다.
-
호스트 키가 정품인지 확인합니다.
-
보안 연결을 수락합니다. 이 연결을 수락하면 호스트 키 정보가 로컬 호스트 키 데이터베이스에 자동으로 저장됩니다. 구성 계층에 호스트 키 정보를 저장하면 보안 핸드셰이크가 자동화되고 SCP를 사용한 백그라운드 데이터 전송이 허용됩니다.
데이터의 안전한 복사를 위해 SSH 호스트 키를 구성하는 작업은 다음과 같습니다.
SSH 식별 호스트 구성
SSH 식별 호스트를 구성하려면 문을 포함하고 host 계층 수준에서 신뢰할 수 있는 서버에 대한 호스트 이름 및 호스트 키 옵션을 지정합니다.[edit security ssh-known-hosts]
[edit security ssh-known-hosts]
host corporate-archive-server {
dsa-key key;
}
host archive-server-url {
rsa-key key;
}
host server-with-ssh-version-1 {
rsa1-key key;
}
호스트 키는 다음 중 하나입니다.
-
dsa-key key—SSH 버전 2에 대한 Base64 인코딩 DSA(Digital Signature Algorithm) 키입니다. -
ecdsa-sha2-nistp256-keykey- Base64 인코딩 ECDSA-SHA2-NIST256 키입니다. -
ecdsa-sha2-nistp384-keykey- Base64 인코딩 ECDSA-SHA2-NIST384 키. -
ecdsa-sha2-nistp521-keykey- Base64 인코딩 ECDSA-SHA2-NIST521 키입니다. -
ed25519-keykey- Base64로 인코딩된 ED25519 키입니다. -
rsa-key key—SSH 버전 1 및 SSH 버전 2에 대한 암호화 및 디지털 서명을 지원하는 Base64 인코딩 공개 키 알고리즘. -
rsa1-key key- SSH 버전 1에 대한 암호화 및 디지털 서명을 지원하는 Base64 인코딩 RSA 공개 키 알고리즘.
SCP 파일 전송에 대한 구성 지원
알려진 호스트를 구성하여 배경 SCP 파일 전송을 지원하려면 계층 수준에서 문을 [edit system archival configuration] 포함합니다archive-sites.
[edit system archival configuration]
archive-sites {
scp://username<:password>@host<:port>/url-path;
}
IPv6 호스트 주소를 사용하여 Junos OS 문에 URL을 지정할 때 전체 URL을 따옴표(" ")로 묶고 IPv6 호스트 주소를 괄호([ ])로 묶어야 합니다. 예: "scp://username<:password>@[host]<:port>/url-path";
SCP URL을 archive-sites 가리키도록 문을 설정하면 자동 호스트 키 검색이 트리거됩니다. 이 시점에서, Junos OS 는 SCP 호스트에 연결하여 SSH 공개 키를 가져오고, 호스트 키 메시지 다이제스트 또는 지문을 콘솔의 출력으로 표시하며, 서버에 대한 연결을 종료합니다.
user@host# set system archival configuration archive-sites “<scp-url-path>” The authenticity of host <my-archive-server (<server-ip-address>)> can’t be established. RSA key fingerprint is <ascii-text key>. Are you sure you want to continue connecting (yes/no)?
호스트 키가 진짜인지 확인하려면 이 지문을 신뢰할 수 있는 소스를 사용하여 동일한 호스트에서 얻은 지문과 비교하십시오. 지문이 동일할 경우, 프롬프트에 을(를) 입력하여 yes 호스트 키를 수락합니다. 그런 다음 호스트 키 정보가 라우팅 엔진 구성에 저장되며 SCP를 사용하여 백그라운드 데이터 전송을 지원합니다.
SSH 호스트 키 정보 업데이트
일반적으로 SSH 호스트 키 정보는 계층 수준에서 문을 사용하여 archival configuration archive-sites SCP에 대한 URL 속성을 설정할 때 자동으로 검색됩니다 [edit system] . 그러나 호스트 키 데이터베이스를 수동으로 업데이트해야 하는 경우 다음 방법 중 하나를 사용합니다.
호스트 키 정보 수동 검색
SSH 공개 호스트 키 정보를 수동으로 검색하려면 계층 수준에서 [edit security ssh-known-hosts] 옵션을 구성합니다fetch-from-server. SSH 공개 키를 검색할 호스트를 지정해야 합니다.
user@host# set security ssh-known-hosts fetch-from-server <hostname>
파일에서 호스트 키 정보 가져오기
known_hosts 파일에서 SSH 호스트 키 정보를 수동으로 가져오려면 계층 수준에서 옵션을 [edit security ssh-known-hosts] 포함합니다load-key-file. 호스트 키 정보를 가져올 파일의 경로를 지정해야 합니다.
user@host# set security ssh-known-hosts load-key-file /var/tmp/known-hosts
변경 내역 테이블
기능 지원은 사용 중인 플랫폼 및 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인합니다.
ssh-dss 및
ssh-dsa 호스트 키 알고리즘은 이전 버전과의 호환성을 제공하고 구성이 새로운 구성과 호환되도록 기회를 제공하기 위해 즉시 제거되지 않고 더 이상 사용되지 않습니다.