Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ssh(시스템 서비스)

구문

계층 수준

설명

원격 시스템의 SSH 요청을 허용하여 로컬 장비에 액세스할 수 있습니다.

옵션

인증 순서 [method1 method2...]

사용자 인증을 시도할 때 소프트웨어가 서로 다른 사용자 인증 방법을 시도하는 순서를 구성합니다. 로그인 시도 때마다 소프트웨어는 암호가 일치할 때까지 첫 번째 방식에서 시작하여 인증 방법을 순서대로 시도합니다.

  • 기본: 명령문을 포함하지 않는 경우 사용자는 구성된 암호를 기반으로 authentication-order 검증됩니다.

  • 구문: 시도해야 하는 순서로 나열된 다음 인증 방법 중 하나 이상을 지정합니다.

    • ldaps—LDAP 인증 서비스를 사용하십시오.

    • password—계층 수준에서 명령문을 사용하여 사용자를 위해 구성된 암호를 authentication[edit system login user] 사용

    • radius—인증 RADIUS 사용.

    • tacplus—TACACS+ 인증 서비스를 사용하십시오.

인증된 키-명령

사용자의 공용 키를 검색하는 데 사용할 명령어 문자열을 지정합니다.

인증된 키-명령 사용자

해당 계정에서 인증된 키-명령이 실행되는 사용자를 지정합니다.

암호 [ 암호-1 암호-2 암호-3 ...]

SSH 서버가 암호화 및 복호화 기능을 수행하는 데 사용할 수 있는 암호 집합을 지정합니다.

주:

암호는 집합을 나타 내포하고 있습니다. SSH 암호는 다음 예제에서와 같이 명령을 set 사용하도록 구성합니다.

  • 값: 다음 암호 중 하나 이상을 지정합니다.

    • 3des-cbc—CBC(Cipher Block Chaining) 모드에서 DES(Triple Data Encryption Standard)

    • aes128-cbc—CBC 모드에서 128비트 AES(Advanced Encryption Standard)를 사용합니다.

    • aes128-ctr—카운터 모드에서 128비트 AES.

    • aes128-gcm@openssh.com—Galois/Counter 모드의 128비트 AES.

    • aes192-cbc—CBC 모드에서 192비트 AES.

    • aes192-ctr—카운터 모드에서 192비트 AES.

    • aes256-cbc—CBC 모드에서 256비트 AES.

    • aes256-ctr—카운터 모드에서 256비트 AES.

    • aes256-gcm@openssh.com—Galois/Counter 모드의 256비트 AES.

    • arcfour—CBC 모드에서 128비트 RC4 스트림 암호입니다.

    • arcfour128—CBC 모드에서 128비트 RC4 스트림 암호입니다.

    • arcfour256—CBC 모드에서 256비트 RC4 스트림 암호입니다.

    • blowfish-cbc—CBC 모드에서 128비트 블로피시 대칭 블록 암호입니다.

    • cast128-cbc—CBC 모드에서 128비트 캐스트를 사용했습니다.

    • chacha20-poly1305@openssh.com—ChaCha20 스트림 암호 및 Poly1305 MAC.

클라이언트-alive-count-max

클라이언트에서 다시 메시지를 수신하는 sshd 없이도 전송할 수 있는 클라이언트 alive 메시지의 수를 구성합니다. 클라이언트 alive 메시지가 전송되는 동안 이 임계값에 도달하면 sshd는 클라이언트의 연결을 끊고 세션을 종료합니다. 클라이언트 실행 메시지는 암호화된 채널을 통해 전송됩니다. 클라이언트-alive-interval 명령문과 함께 사용하여 응답하지 않는 SSH 클라이언트의 연결을 끊습니다.

  • 기본: 메시지 3개

  • 범위: 0 ~255 메시지

클라이언트-alive-interval

몇 초 만에 타임아웃 간격을 구성하면, 클라이언트로부터 데이터가 수신되지 않은 경우 sshd는 암호화된 채널을 통해 메시지를 전송하여 클라이언트로부터 응답을 요청합니다. 이 옵션은 SSH 프로토콜 버전 2에만 적용됩니다. 클라이언트-alive-count-max 명령문과 함께 사용하여 응답하지 않는 SSH 클라이언트의 연결을 끊습니다.

  • 기본: 0초

  • 범위: 1~65535초

핑거프린트 해시(md5 | sha2-256)

키 핑거프린트가 표시일 때 SSH 서버에서 사용하는 해시 알고리즘을 지정합니다.

주:

FIPS 이미지는 MD5 핑거프린트 사용을 허용하지 않습니다. FIPS 모드의 시스템에서는 유일하게 사용할 sha2-256 수 있는 옵션입니다.

  • 값: 다음 중 하나를 지정합니다.

    • md5—SSH 서버를 통해 MD5 알고리즘을 사용할 수 있습니다.

    • sha2-256—SSH 서버가 sha2-256 알고리즘을 사용할 수 있도록 합니다.

  • 기본: sha2-256

로그 키 변경 로그 키 변경

인증 Junos OS SSH 키를 기록할 수 있습니다. 명령문이 구성되고 커밋되면 Junos OS 사용자(추가되거나 제거된 키 포함)에 대한 인증된 SSH 키 세트에 대한 변경 사항을 로지된다. log-key-changes Junos OS 명령문을 구성한 이후의 차이점을 log-key-changes 로지합니다. 명령문이 구성되지 않은 경우, Junos OS 모든 log-key-changes 인증된 SSH 키를 로 기록합니다.

  • 기본: Junos OS 모든 인증된 SSH 키를 로크합니다.

macs [알고리즘1 알고리즘2...]

SSH 서버가 메시지를 인증하는 데 사용할 수 있는 메시지 인증 코드(MAC) 알고리즘 집합을 지정합니다.

주:

macs 구성 명령문은 집합을 나타 내포합니다. 따라서 다음과 같이 구성해야 합니다.

  • 값: 메시지를 인증하기 위해 다음 MAC 알고리즘을 하나 이상 지정합니다.

    • hmac-md5—MD5(Message-Digest 5)를 사용한 해시 기반 MAC

    • hmac-md5-96—MD5를 사용하는 96비트 해시 기반 MAC

    • hmac-md5-96-etm@openssh.com—MD5를 사용한 96비트 해시 기반 암호화-then-MAC

    • hmac-md5-etm@openssh.com—MMD5를 사용한 해시 기반 암호화-THEN-MAC

    • hmac-ripemd160—RIPEMD를 사용한 해시 기반 MAC

    • hmac-ripemd160-etm@openssh.com—RIPEMD를 사용한 해시 기반 암호화-then-MAC

    • hmac-sha1—보안 해시 알고리즘-1(SHA-1)을 사용한 해시 기반 MAC

    • hmac-sha1-96—SHA-1을 사용한 96비트 해시 기반 MAC

    • hmac-sha1-96-etm@openssh.com—SHA-1을 사용한 96비트 해시 기반 암호화-then-MAC

    • hmac-sha1-etm@openssh.com—SHA-1을 사용한 해시 기반 암호화-then-MAC

    • hmac-sha2-256—보안 해시 알고리즘-2(SHA-2)를 사용한 256비트 해시 기반 MAC

    • hmac-sha2-256-etm@openssh.com—SHA-2를 사용한 해시 기반 암호화-then-Mac

    • hmac-sha2-512—SHA-2를 사용하는 512비트 해시 기반 MAC

    • hmac-sha2-512-etm@openssh.com—SHA-2를 사용한 해시 기반 암호화-then-Mac

    • umac-128-etm@openssh.com—RFC4418에 지정된 UMAC-128 알고리즘을 사용하여 암호화-후 MAC

    • umac-128@openssh.com—RFC4418에 지정된 UMAC-128 알고리즘

    • umac-64-etm@openssh.com—RFC4418에 지정된 UMAC-64 알고리즘을 사용하여 암호화 후 MAC

    • umac-64@openssh.com—RFC4418에 지정된 UMAC-64 알고리즘

최대 인증 전 패킷

사용자 인증에 앞서 SSH 서버가 허용하는 최대 인증 전 SSH 패킷 수를 정의합니다.

  • 범위: 20~2147483647 패킷

  • 기본: 128 패킷

최대 연결당 세션

단일 SSH 연결당 허용되는 최대 ssh 세션 수를 지정합니다.

  • 범위: 1 ~65535 세션

  • 기본: 10개 세션

챌린지 없는 대응

SSH 챌린지 응답 기반 인증 방법을 비활성화합니다.

주:

계층에서 이 진술을 구성하면 로그인 서비스 및 over SSH 서비스에 [edit system services ssh] 모두 SSH 영향을 NETCONF 줍니다.

암호 인증 미지원

SSH 암호 기반 인증 방법을 비활성화합니다.

주:

계층에서 이 진술을 구성하면 로그인 서비스 및 over SSH 서비스에 [edit system services ssh] 모두 SSH 영향을 NETCONF 줍니다.

암호 없음

SSH에 대한 암호 기반 및 챌린지 응답 기반 인증을 모두 비활성화합니다.

주:

계층에서 이 진술을 구성하면 로그인 서비스 및 over SSH 서비스에 [edit system services ssh] 모두 SSH 영향을 NETCONF 줍니다.

공개 키 없음

전체 공개 키 인증 시스템을 비활성화합니다.[편집 시스템 로그인 사용자 이름 인증] 계층 수준에서 no-public 키 명령문을 지정하면 특정 사용자에 대한 공용 키 인증을 비활성화할 수 있습니다.

tcp 포우링 없음

사용자가 SSH를 통해 디바이스에 대한 CLI SSH 터널을 생성하지 못하도록 방지합니다. 이 터널 유형은 TCP 트래픽을 포우링하고 모든 방화벽 필터 또는 ACL을 우회하여 장치 그 이상의 리소스에 대한 액세스를 허용하는 데 사용할 수 있습니다.

주:

이 명령문은 새로운 SSH 세션에만 적용하며 기존 SSH 세션에는 영향을 미치지 않습니다.

포트 포트 번호

수신 SSH 연결을 허용할 포트 번호를 지정합니다.

  • 기본: 22

  • 범위: 1 ~65535

프로토콜 버전 [v2]

Secure Shell(SSH) 프로토콜 버전을 지정합니다.

모든 SRX 시리즈 장치에서 Junos OS Release 19.3R1 Junos OS Release 18.3R3 시작하여, 보안되지 않은 SSH 프로토콜 버전 1 ( ) 옵션을 [ ] 계층 수준에서 v1edit system services ssh protocol-version 제거했습니다. SSH 프로토콜 버전 2 ()를 시스템 및 애플리케이션을 원격으로 관리하는 기본 v2 옵션으로 사용할 수 있습니다. 옵션이 v1 사용되지 Junos OS OpenSSH 7.4 이상 버전과 호환됩니다.

Junos OS 릴리스를 19.3R1 18.3R3 시스템 및 애플리케이션을 원격으로 관리하는 옵션을 계속 v1 지원합니다.

  • 기본: v2—SSH 프로토콜 버전 2는 기본 버전으로, Junos OS Release 11.4에서 소개됩니다.

속도 제한 번호

액세스 서비스에서 프로토콜(IPv6 또는 IPv4)의 분당 최대 연결 시도 횟수를 구성합니다. 예를 들어, 10개 속도 제한으로 분당 10회의 IPv6 SSH 세션 연결 시도와 분당 10회의 IPv4 SSH 세션 연결 시도를 허용합니다.

  • 범위: 1~250개 연결

  • 기본: 150개 연결

리키(rekey)

세션 키가 재계산되기 전에 제한을 지정합니다.

데이터 제한 bytes

세션 키를 재계산하기 전에 데이터 제한을 지정합니다.

시간 제한

세션 키를 재계산하기 전에 시간 제한을 지정합니다.

  • 범위: 1~1440분

루트 로그인(암호 | 허용 | 허용)

SSH를 통해 사용자 액세스를 제어합니다.

  • 허용—사용자가 SSH를 통해 루트로 장치에 로그인할 수 있도록 허용합니다.

  • 거부—SSH를 통해 루트로 장치에 로그인하지 않도록 합니다.

  • 암호 거부—인증 방법(예: RSA 인증)이 암호를 요구하지 않을 때 사용자가 SSH를 통해 루트로 장비에 로그인할 수 있도록 합니다.

  • 기본: deny-password 대부분의 시스템의 기본 설정입니다.

    MX 시리즈 라우터용 Junos 릴리스 17.4R1 루트 로그인의 기본 설정은 deny 입니다. 이전 릴리스에서는 Junos OS, MX240, MX480, MX960, MX2010 및 allow MX2020.

sftp-server

수신 SFTP(File Transfer Protocol) 연결을 전 세계적으로 지원 명령문을 구성하면 인증된 디바이스가 SFTP를 통해 장비에 연결할 sftp-server 수 있도록 지원합니다. 명령문이 구성에 존재하지 않을 경우 SFTP는 전역적으로 비활성화되고 그 어떤 장치도 SFTP를 통해 장비에 연결할 sftp-server 수 없습니다.

tcp 포우링

SSH를 사용하여 세분화된 CLI 세션에서 SSH 터널을 Junos OS 수 있습니다.

남은 진술은 별도로 설명됩니다. CLI Explorer의 명령문을 검색하거나 세부 정보를 위해 Syntax 섹션의 linked statement을 클릭합니다.

필수 권한 수준

시스템—구성에서 이 진술을 볼 수 있습니다.

시스템 제어—이 명령문을 구성에 추가하려면

출시 정보

릴리스 7.Junos OS 전에 선언문 도입

ciphershostkey-algorithm, key-exchangemacs Junos OS Release 11.2에 소개된 명령문을 제공합니다.

max-sessions-per-connectionno-tcp-forwarding및 명령문은 Junos OS 11.4에 도입되었습니다.

JUNOS OS 12.1에 도입된 SHA-2 옵션.

Junos OS Release 버전에 추가된 명령문에 대한 curve25519-sha256 key-exchange 12.1X47-D10.

client-alive-interval client-alive-count-max 명령문은 Junos OS 12.2에 도입되었습니다.

max-pre-authentication-packets Junos OS Release 12.3X48-D10.

no-passwords 릴리스 13.3에 Junos OS 명령문이 도입되었습니다.

no-public-keys 릴리스 15.1에서 Junos OS 명령문이 나타났습니다.

tcp-forwarding 에 대해 Junos OS Release 15.1X53-D50 명령문이 NFX250 네트워크 서비스 플랫폼.

fingerprint-hash 릴리스 16.1에 Junos OS 명령문이 도입되었습니다.

log-key-changes Junos OS Release 17.4R1.

sftp-server Junos OS Release 19.1R1.

no-challenge-response Junos OS 릴리스 에 소개된 no-password-authentication 명령문을 19.4R1.

릴리스 ldaps 날짜에 Junos OS 옵션 20.2R1.