Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ssh (servicios del sistema)

Sintaxis

Nivel de jerarquía

Descripción

Permitir que las solicitudes SSH de sistemas remotos accedan al dispositivo local.

Opciones

orden de autenticación [method1 method2...]

Configure el orden en el que el software prueba distintos métodos de autenticación de los usuarios cuando intenta autenticar a un usuario. Para cada intento de inicio de sesión, el software prueba los métodos de autenticación en orden, comenzando por el primero, hasta que la contraseña coincida.

  • Predeterminada Si no incluye la authentication-order instrucción, los usuarios se comprueban en función de sus contraseñas configuradas.

  • Sintaxis Especifique uno o más de los siguientes métodos de autenticación enumerados en el orden en el que se deben probar:

    • ldaps: utilice servicios de autenticación LDAP.

    • password: utilice la contraseña configurada para el usuario con la authentication instrucción en el nivel [edit system login user] jerárquido.

    • radius: utilice RADIUS de autenticación de red.

    • tacplus: utilice servicios de autenticación TACACS+.

authorized-keys-command

Especifique una cadena de comando que se utilizará para buscar las claves públicas del usuario.

authorized-keys-command-user

Especifique el usuario en cuya cuenta se ejecuta el comando authorized-keys-command.

cifrados [ cipher-1 cipher-2 cipher-3 ...]

Especifica el conjunto de cifrados que puede utilizar el servidor SSH para realizar las funciones de cifrado y descifrado.

Nota:

Los cifrados representan un conjunto. Para configurar los cifrados SSH, set utilice el comando como se muestra en el siguiente ejemplo:

  • Valores Especifique uno o más de los siguientes cifrados:

    • 3des-cbc: triple estándar de cifrado de datos (DES) en modo de encadenamiento de bloques de cifrado (CBC).

    • aes128-cbc— Estándar de cifrado avanzado (AES) de 128 bits en modo CBC.

    • aes128-ctr— AES de 128 bits en modo de contador.

    • aes128-gcm@openssh.com— AES de 128 bits en modo Galois/Contador.

    • aes192-cbc— AES de 192 bits en modo CBC.

    • aes192-ctr— AES de 192 bits en modo de contador.

    • aes256-cbc— AES de 256 bits en modo CBC.

    • aes256-ctr— AES de 256 bits en modo de contador.

    • aes256-gcm@openssh.com— AES de 256 bits en modo Galois/Contador.

    • arcfour— Cifrado de transmisión RC4 de 128 bits en modo CBC.

    • arcfour128— Cifrado de transmisión RC4 de 128 bits en modo CBC.

    • arcfour256— Cifrado de transmisión RC4 de 256 bits en modo CBC.

    • blowfish-cbc— Cifrado de bloque blowfish-simétrico de 128 bits en modo CBC.

    • cast128-cbc— 128 bits emitidos en modo CBC.

    • chacha20-poly1305@openssh.com— Cifrado de transmisión ChaCha20 y MAC Poly1305.

número de cliente vivo-cuenta máxima

Configure el número de mensajes de cliente activo que se pueden enviar sin sshd a recibir cualquier mensaje del cliente. Si se alcanza este umbral mientras se envían mensajes del cliente activo, sshd desconectará al cliente y finalizará la sesión. Los mensajes de cliente activo se envían a través del canal cifrado. Utilice junto con la instrucción intervalo del cliente activo para desconectar los clientes SSH no responde.

  • Predeterminada 3 mensajes

  • Varían De 0 a 255 mensajes

segundos de intervalo de vida del cliente

Configure un intervalo de tiempo de espera en segundos, tras lo cual si no se han recibido datos del cliente, sshd enviará un mensaje a través del canal cifrado para solicitar una respuesta del cliente. Esta opción solo se aplica a la versión 2 del protocolo SSH. Utilice junto con la instrucción client-alive-count-max para desconectar clientes SSH no responde.

  • Predeterminada 0 segundos

  • Varían 1 a 65535 segundos

hash de huellas digitales (md5 | sha2-256)

Especifique el algoritmo hash que utiliza el servidor SSH cuando muestra huellas digitales clave.

Nota:

La imagen de FIPS no permite el uso de rastros digitales MD5. En los sistemas en modo FIPS sha2-256 , es la única opción disponible.

  • Valores Especifique uno de los siguientes:

    • md5: habilite el servidor SSH para usar el algoritmo MD5.

    • sha2-256: habilite el servidor SSH para usar el algoritmo sha2-256.

  • Predeterminada sha2-256

log-key-changes log-key-changes

Habilite Junos OS para registrar las claves SSH autorizadas. Cuando la instrucción está configurada y comprometida, Junos OS registra los cambios en el conjunto de claves SSH autorizadas para cada usuario (incluidas las claves que se log-key-changes agregaron o quitaron). Junos OS registra las diferencias desde la última vez que se log-key-changes configuró la instrucción. Si la log-key-changes instrucción nunca se configuró, Junos OS todas las claves SSH autorizadas.

  • Predeterminada Junos OS registra todas las claves SSH autorizadas.

macs [algorithm1 algorithm2...]

Especifique el conjunto de algoritmos de código de autenticación de mensajes (MAC) que el servidor SSH puede usar para autenticar mensajes.

Nota:

La instrucción de configuración macs representa un conjunto. Por lo tanto, debe configurarse de la siguiente manera:

  • Valores Especifique uno o más de los siguientes algoritmos MAC para autenticar mensajes:

    • hmac-md5— MAC basada en hash mediante síntesis de mensajes 5 (MD5)

    • hmac-md5-96— 96 bits de MAC basado en hash mediante MD5

    • hmac-md5-96-etm@openssh.com— 96 bits de Encrypt-then-MAC basado en hash mediante MD5

    • hmac-md5-etm@openssh.com— Cifrado basado en hash y, luego, MAC mediante MMD5

    • hmac-ripemd160— MAC basada en hash que usa RIPEMD

    • hmac-ripemd160-etm@openssh.com— Cifrar y mac basado en hash mediante RIPEMD

    • hmac-sha1— MAC basada en hash que usa algoritmo de hash seguro 1 (SHA-1)

    • hmac-sha1-96— 96 bits de MAC basado en hash mediante SHA-1

    • hmac-sha1-96-etm@openssh.com— 96 bits de Encrypt-then-MAC basado en hash con SHA-1

    • hmac-sha1-etm@openssh.com— Cifrado basado en hash y, luego, MAC mediante SHA-1

    • hmac-sha2-256— 256 bits de MAC basado en hash mediante algoritmo de hash seguro 2 (SHA-2)

    • hmac-sha2-256-etm@openssh.com— Cifrado basado en hash y mac mediante SHA-2

    • hmac-sha2-512— 512 bits de MAC basado en hash mediante SHA-2

    • hmac-sha2-512-etm@openssh.com— Cifrado basado en hash y mac mediante SHA-2

    • umac-128-etm@openssh.com— Cifrar entonces-MAC mediante el algoritmo UMAC-128 especificado en la RFC4418

    • umac-128@openssh.com— Algoritmo UMAC-128 especificado en la RFC4418

    • umac-64-etm@openssh.com: cifrar entonces-MAC mediante el algoritmo UMAC-64 especificado en la RFC4418

    • umac-64@openssh.com— Algoritmo UMAC-64 especificado en la RFC4418

número máximo de paquetes de preatentificación

Defina la cantidad máxima de paquetes SSH previamente autenticados que el servidor SSH aceptará antes de la autenticación del usuario.

  • Varían de 20 a 2147483647 paquetes

  • Predeterminada 128 paquetes

número máximo de sesiones por conexión

Especifica el número máximo de sesiones SSH permitidas por conexión SSH única.

  • Varían de 1 a 65535 sesiones

  • Predeterminada 10 sesiones

respuesta sin desafíos

Desactive los métodos de autenticación basados en desafíos de SSH.

Nota:

La configuración de esta instrucción en la jerarquía afecta tanto al servicio de inicio de [edit system services ssh] sesión como al servicio over SSHNETCONF SSH.

sin autenticación de contraseña

Desactive los métodos de autenticación basados en contraseñas SSH.

Nota:

La configuración de esta instrucción en la jerarquía afecta tanto al servicio de inicio de [edit system services ssh] sesión como al servicio over SSHNETCONF SSH.

sin contraseña

Desactive la autenticación basada en contraseñas y basada en desafíos para SSH.

Nota:

La configuración de esta instrucción en la jerarquía afecta tanto al servicio de inicio de [edit system services ssh] sesión como al servicio over SSHNETCONF SSH.

claves no públicas

Deshabilitar la autenticación de clave pública en todo el sistema. Si especifica la instrucción no-public-keys en el nivel de jerarquía [edit system login user-name authentication], desactive la autenticación de clave pública para un usuario específico.

no TCP-reenvío

Impedir que un usuario cree un túnel SSH a través CLI sesión a un dispositivo mediante SSH. Este tipo de túnel se podría utilizar para reenviar tráfico TCP, mediante la omisión de filtros o ACL de firewall, lo que permite el acceso a recursos más allá del dispositivo.

Nota:

Esta instrucción se aplica solo a las nuevas sesiones SSH y no tiene efecto en las sesiones SSH existentes.

número de puerto de puertos

Especifique el número de puerto en el que se aceptan conexiones SSH entrantes.

  • Predeterminada 22

  • Varían 1 a 65535

versión de protocolo [v2]

Especifique la versión del Protocolo Secure Shell (SSH).

A partir de Junos OS versión 19.3R1 y Junos OS versión 18.3R3, en todos los dispositivos de la serie SRX, hemos eliminado la opción del protocolo SSH no seguro versión 1 ( ) del nivel de jerarquía v1 [ edit system services ssh protocol-version ]. Puede usar el protocolo SSH versión 2 (v2) como opción predeterminada para administrar sistemas y aplicaciones de forma remota. Con la v1 opción desusada, Junos os es compatible con OpenSSH 7,4 y versiones posteriores.

Junos OS versiones anteriores 19.3R1 y 18.3R3 admiten la opción de administrar sistemas y aplicaciones de v1 forma remota.

  • Predeterminada v2: el protocolo SSH versión 2 es el valor predeterminado que se introduce en Junos OS versión 11.4.

número de límite de velocidad

Configure la cantidad máxima de intentos de conexión por minuto, por protocolo (IPv6 o IPv4) en un servicio de acceso. Por ejemplo, un límite de velocidad de 10 permite 10 intentos de conexión de sesión de SSH de IPv6 por minuto y 10 intentos de conexión de sesión de SSH de IPv4 por minuto.

  • Varían de 1 a 250 conexiones

  • Predeterminada 150 conexiones

Reintroducir

Especifique los límites antes de que se renegocien las claves de sesión.

bytes de límite de datos

Especifique el límite de datos antes de volver a renegociar las claves de sesión.

minutos de límite de tiempo

Especifique el límite de tiempo antes de volver a renegociar las claves de sesión.

  • Varían de 1 a 1440 minutos

inicio de sesión raíz (permitir | denegación | denegación de contraseña)

Controlar el acceso de los usuarios a través de SSH.

  • permitir: permita que los usuarios inicien sesión en el dispositivo como raíz mediante SSH.

  • deny: desactive que los usuarios no inician sesión en el dispositivo como raíz mediante SSH.

  • deny-password: permita que los usuarios inicien sesión en el dispositivo como raíz mediante SSH cuando el método de autenticación (por ejemplo, la autenticación RSA) no requiera una contraseña.

  • Predeterminada deny-password es el valor predeterminado para la mayoría de los sistemas.

    A partir de la versión 17.4R1 Junos para enrutadores serie MX, el valor predeterminado para el inicio de sesión raíz es deny . En las Junos OS anteriores, la configuración predeterminada de los MX240, MX480, MX960, MX2010 y MX2020 era allow .

servidor SFTP

Active globalmente las conexiones entrantes del Protocolo de transferencia de archivos (SFTP). Mediante la configuración de la sftp-server instrucción, se habilitan los dispositivos autorizados para que se conecten al dispositivo mediante EL PROTOCOLO STP. Si la instrucción no está presente en la configuración, EL PROTOCOLOSSPTP está desactivado globalmente y ningún dispositivo puede conectarse con el dispositivo mediante sftp-server LASTP.

reenvío de TCP

Permite a un usuario crear un túnel SSH sobre una sesión de la CLI para una plataforma desJunos OS agregada mediante SSH.

Las sentencias restantes se explican por separado. Busque una instrucción en el Explorador de la CLI o haga clic en una instrucción vinculada de la sección sintaxis para obtener más detalles.

Nivel de privilegios necesario

sistema: para ver esta instrucción en la configuración.

sistema-control: para agregar esta instrucción a la configuración.

Información de versión

Declaración presentada antes Junos OS versión 7,4.

ciphers, hostkey-algorithm y las instrucciones key-exchangemacs introducidas en Junos OS versión 11.2.

max-sessions-per-connection e no-tcp-forwarding instrucciones introducidas en Junos OS versión 11.4.

Las opciones de SHA-2 se introdujeron por Junos OS versión 12,1.

Compatibilidad con la opción curve25519-sha256 en la instrucción agregada en la Junos OS key-exchange versión 12.1X47-D10.

client-alive-interval y client-alive-count-max las sentencias que se introdujeron en Junos OS versión 12,2.

max-pre-authentication-packets que se introduce en la Junos OS versión 12.3X48-D10.

no-passwordsinstrucción introducida en Junos OS versión 13,3.

no-public-keysinstrucción introducida en Junos OS versión 15,1.

tcp-forwardingla declaración introducida en Junos OS versión 15.1 X53-D50 para la plataforma de servicios de red NFX250.

fingerprint-hashinstrucción introducida en Junos OS versión 16,1.

log-key-changesDeclaración introducida en Junos OS versión 17.4 R1.

sftp-serverinstrucción introducida en la versión de Junos OS 19.1 R1.

no-challenge-response y no-password-authentication las declaraciones introducidas en Junos OS versión 19.4R1.

Opción ldaps introducida en el Junos OS versión 20.2R1.