ssh (System Services)

Habilite a un usuario para crear un túnel SSH a través de una sesión de CLI a una plataforma Junos OS descompuesta mediante ssh.

A partir de Junos OS versión 22.2R1, deshabilitamos la función de reenvío TCP de forma predeterminada para mejorar la seguridad. Para habilitar la función de reenvío TCP, puede configurar la allow-tcp-forwarding instrucción en el nivel de jerarquía [edit system services ssh]. Además, hemos desusado las tcp-forwarding instrucciones y no-tcp-forwarding en el nivel de jerarquía [edit system services ssh].

Configure el orden en el que el software intenta diferentes métodos de autenticación de usuario cuando intenta autenticar a un usuario. Para cada intento de inicio de sesión, el software intenta los métodos de autenticación en orden, a partir del primero, hasta que la contraseña coincida.

• Predeterminado: Si no incluye la authentication-order instrucción, los usuarios se verifican según sus contraseñas configuradas.

• Sintaxis: Especifique uno o más de los siguientes métodos de autenticación enumerados en el orden en que se deben probar:

  • ldaps— Utilice los servicios de autenticación LDAP.

  • password— Utilice la contraseña configurada para el usuario con la authentication instrucción en el [edit system login user] nivel jerárquico.

  • radius: utilice los servicios de autenticación RADIUS.

  • tacplus—Utilice servicios de autenticación TACACS+.

Especifique una cadena de comandos que se utilizará para buscar las claves públicas del usuario.

Especifique el usuario en cuya cuenta se ejecuta el comando authorized-keys-command.

Especifique una lista de entidades de seguridad que se pueden aceptar para autenticación. Las entidades de seguridad agregadas a través de este comando son complementarias a las entidades de seguridad agregadas con el authorized-principals-file comando.

Configure el AuthorizedPrincipals archivo en /var/etc, para autenticación basada en certificados SSH. Este archivo contiene una lista de nombres, uno de los cuales debe aparecer en el certificado para que se acepte para la autenticación.

Especifique un programa que se utilizará para generar la lista de entidades de seguridad de certificado permitidas que se encuentran en el archivo para la AuthorizedPrincipals autenticación basada en certificados SSH.

Especifique el conjunto de cifrados que el servidor SSH puede usar para realizar funciones de cifrado y descifrado.

• Valores: Especifique uno o más de los siguientes cifrados:

  • 3des-cbc—Estándar de cifrado triple de datos (DES) en modo de encadenamiento de bloques de cifrado (CBC).

  • aes128-cbc—Estándar de cifrado avanzado (AES) de 128 bits en modo CBC.

  • aes128-ctr—AES de 128 bits en modo de contador.

  • aes128-gcm@openssh.com—AES de 128 bits en modo Galois/Contador.

  • aes192-cbc—AES de 192 bits en modo CBC.

  • aes192-ctr—AES de 192 bits en modo de contador.

  • aes256-cbc—AES de 256 bits en modo CBC.

  • aes256-ctr—AES de 256 bits en modo de contador.

  • aes256-gcm@openssh.com—AES de 256 bits en modo Galois/Contador.

  • chacha20-poly1305@openssh.com— Cifrado de transmisión ChaCha20 y Poly1305 MAC.

Configure la cantidad de mensajes vivos del cliente que se pueden enviar sin que sshd reciba ningún mensaje del cliente. Si se alcanza este umbral mientras se envían mensajes vivos del cliente, sshd desconectará al cliente y dará por terminado la sesión. Los mensajes vivos del cliente se envían a través del canal cifrado. Use junto con la instrucción client-alive-interval para desconectar clientes SSH que no responden.

• Predeterminado: 3 mensajes

• Gama: De 0 a 255 mensajes

Configure un intervalo de tiempo de espera en segundos, después de lo cual, si no se han recibido datos del cliente, sshd enviará un mensaje a través del canal cifrado para solicitar una respuesta del cliente. Esta opción solo se aplica al protocolo SSH versión 2. Use junto con la instrucción client-alive-count-max para desconectar clientes SSH que no responden.

• Predeterminado: 0 segundos

• Gama: 1 a 65535 segundos

Especifique el algoritmo hash que usa el servidor SSH cuando muestra las huellas digitales de la clave.

• Valores: Especifique uno de los siguientes elementos:

  • md5: habilite el servidor SSH para usar el algoritmo MD5.

  • sha2-256: habilite el servidor SSH para usar el algoritmo sha2-256.

• Predeterminado: sha2-256

Configure el HostCertificate archivo en /etc/ssh/sshd_config para la autenticación basada en certificados SSH. Este archivo contiene el certificado de host firmado.

Habilite Junos OS para registrar las claves SSH autorizadas. Cuando la log-key-changes instrucción está configurada y confirmada, Junos OS registra los cambios en el conjunto de claves SSH autorizadas para cada usuario (incluidas las claves que se agregaron o quitaron). Junos OS registra las diferencias desde la última vez que se configuró la log-key-changes instrucción. Si la log-key-changes instrucción nunca se configuró, Junos OS registra todas las claves SSH autorizadas.

• Predeterminado: Junos OS registra todas las claves SSH autorizadas.

Especifique el conjunto de algoritmos de código de autenticación de mensajes (MAC) que el servidor SSH puede usar para autenticar mensajes.

• Valores: Especifique uno o más de los siguientes algoritmos MAC para autenticar mensajes:

  • hmac-md5—MAC basada en hash mediante message-digest 5 (MD5)

  • hmac-md5-96—96 bits de MAC basado en hash con MD5

  • hmac-md5-96-etm@openssh.com—96 bits de encrypt-then-MAC basado en hash usando MD5

  • hmac-md5-etm@openssh.com—Cifrar y luego MAC basado en hash mediante MMD5

  • hmac-sha1—MAC basada en hash mediante algoritmo de hash seguro 1 (SHA-1)

  • hmac-sha1-96—96 bits de MAC basado en hash mediante SHA-1

  • hmac-sha1-96-etm@openssh.com—96 bits de encrypt-then-MAC basado en hash mediante SHA-1

  • hmac-sha1-etm@openssh.com—Cifrar y luego MAC basado en hash mediante SHA-1

  • hmac-sha2-256—256 bits de MAC basado en hash mediante algoritmo de hash seguro 2 (SHA-2)

  • hmac-sha2-256-etm@openssh.com—Cifrar y luego Mac basado en hash mediante SHA-2

  • hmac-sha2-512—512 bits de MAC basado en hash mediante SHA-2

  • hmac-sha2-512-etm@openssh.com—Cifrar y luego Mac basado en hash mediante SHA-2

  • umac-128-etm@openssh.com—Cifrar mac con algoritmo UMAC-128 especificado en RFC4418

  • umac-128@openssh.com—Algoritmo UMAC-128 especificado en RFC4418

  • umac-64-etm@openssh.com—Cifrar mac mediante el algoritmo UMAC-64 especificado en RFC4418

  • umac-64@openssh.com—Algoritmo UMAC-64 especificado en RFC4418

Defina la cantidad máxima de paquetes SSH previos a la autenticación que el servidor SSH aceptará antes de la autenticación del usuario.

• Gama: Paquetes de 20 a 2147483647

• Predeterminado: 128 paquetes

Especifique la cantidad máxima de sesiones ssh permitidas por una sola conexión SSH.

• Gama: Sesiones de 1 a 65535

• Predeterminado: 10 sesiones

Desactive los métodos de autenticación basados en desafíos y respuestas SSH.

Desactive los métodos de autenticación basados en contraseñas SSH.

Desactive la autenticación basada en contraseñas y en respuesta a desafíos para SSH.

Desactive la autenticación de clave pública en todo el sistema. Si especifica la instrucción no-public-keys en el nivel de jerarquía de [editar autenticación de usuario user-name de inicio de sesión del sistema], desactive la autenticación de clave pública para un usuario específico.

Especifique el número de puerto en el que aceptar conexiones SSH entrantes.

• Predeterminado: 22

• Gama: 1 a 65535

Especifique la versión del protocolo Secure Shell (SSH).

A partir de Junos OS versión 19.3R1 y Junos OS versión 18.3R3, en todos los dispositivos de la serie SRX, eliminamos la opción del protocolo SSH no seguro versión 1 (v1) del nivel jerárquico [edit system services ssh protocol-version]. Puede usar el protocolo SSH versión 2 (v2) como opción predeterminada para administrar sistemas y aplicaciones de forma remota. Con la v1 opción en desuso, Junos OS es compatible con OpenSSH 7.4 y versiones posteriores.

Las versiones de Junos OS anteriores a 19.3R1 y 18.3R3 siguen admitiendo la v1 opción de administrar sistemas y aplicaciones de forma remota.

• Predeterminado: v2: el protocolo SSH versión 2 es el predeterminado, introducido en Junos OS versión 11.4.

Configure la cantidad máxima de intentos de conexión por minuto, por protocolo (ya sea IPv6 o IPv4) en un servicio de acceso. Por ejemplo, un límite de velocidad de 10 permite 10 intentos de conexión de sesión SSH IPv6 por minuto y 10 intentos de conexión de sesión SSH IPv4 por minuto.

• Gama: 1 a 250 conexiones

• Predeterminado: 150 conexiones

Especifique límites antes de que se renegocian las claves de sesión.

Controle el acceso de los usuarios a través de SSH.

• permitir: permite que los usuarios inicien sesión en el dispositivo como raíz a través de SSH.

• deny: desactive que los usuarios inicien sesión en el dispositivo como raíz a través de SSH.

• deny-password: permite a los usuarios iniciar sesión en el dispositivo como raíz mediante SSH cuando el método de autenticación (por ejemplo, autenticación RSA) no requiere una contraseña.

• Predeterminado: deny-password es el valor predeterminado para la mayoría de los sistemas.

  A partir de Junos versión 17.4R1 para enrutadores serie MX, el valor predeterminado para el inicio de sesión de raíz es deny. En versiones anteriores de Junos OS, la configuración predeterminada para MX240, MX480, MX960, MX2010 y MX2020 era allow.

Habilite globalmente las conexiones entrantes del protocolo de transferencia de archivos SSH (SFTP). Al configurar la sftp-server instrucción, permite que los dispositivos autorizados se conecten al dispositivo mediante SFTP. Si la sftp-server instrucción no está presente en la configuración, SFTP se deshabilita globalmente y ningún dispositivo puede conectarse al dispositivo mediante SFTP.

Configure el TrustedUserCAKey archivo en /etc/ssh/sshd_config para la autenticación basada en certificados SSH. Este archivo contiene las claves públicas de un certificado SSH.