Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ssh (Системные службы)

Синтаксис

Уровень иерархии

Описание

Разрешить доступ к локальному устройству SSH-запросам от удаленных систем.

Параметры

authentication-order [method1 method2...]

Настройте порядок, в котором программное обеспечение пробует использовать различные методы аутентификации пользователя при попытке аутентификации пользователя. Для каждой попытки входа программное обеспечение пробует использовать методы аутентификации, начиная с первой, до тех пор, пока пароль не будет совпадать.

  • По умолчанию: Если вы не включили authentication-order утверждение, пользователи проверяются на основе настроенных паролей.

  • Синтаксис: Укажите один или несколько следующих методов аутентификации, перечисленных в порядке, в котором они должны быть используются:

    • ldaps-Используйте службы аутентификации LDAP.

    • password-Используйте пароль, настроенный для пользователя с authentication утверждением на [edit system login user] уровне иерархии.

    • radius— Используйте RADIUS аутентификации.

    • tacplus-Используйте службы аутентификации TACACS+.

авторизованная команда keys-

Укажите строку команды, которая будет использоваться для использования открытых ключей пользователя.

авторизованный пользователь-keys-command-user

Укажите пользователя, под учетной записью которого работает авторизованная команда keys-keys.

ciphers [ cipher-1 cipher-2 cipher-3...]

Укажите набор шифров, которые сервер SSH может использовать для выполнения функций шифрования и расшифровки.

Прим.:

Шифровка представляет набор. Для настройки шифров SSH используйте set команду, как показано в следующем примере:

  • Значения: Укажите один или несколько следующих шифров:

    • 3des-cbc— Стандарт шифрования тройных данных (DES) в режиме cipher Block Chaining (CBC).

    • aes128-cbc- 128-битный расширенный стандарт шифрования (AES) в режиме CBC.

    • aes128-ctr—128-битный AES в режиме счетчика.

    • aes128-gcm@openssh.com128-битный AES в режиме счетчика

    • aes192-cbc-192-битный AES в режиме CBC.

    • aes192-ctr-192-битный AES в режиме счетчика.

    • aes256-cbc-256-битный AES в режиме CBC.

    • aes256-ctr—256-битный AES в режиме счетчика.

    • aes256-gcm@openssh.com-256-битный AES в режиме счетчика

    • arcfour-128-битный RC4-поток шифр в режиме CBC.

    • arcfour128-128-битный RC4-поток шифр в режиме CBC.

    • arcfour256- 256-битный RC4-поток шифр в режиме CBC.

    • blowfish-cbc- 128-битный рычаг-симметричный блок шифруется в режиме CBC.

    • cast128-cbc- 128-битный бросок в режиме CBC.

    • chacha20-poly1305@openssh.com- Шифр потока ChaCha20 и Poly1305 MAC.

client-alive-count-max number

Настройте количество клиентских сообщений, которые можно отправить без получения сообщений sshd от клиента. Если при отправлении клиентских сообщений достигается данное пороговое значение, sshd отключает клиента, завершая сеанс. Клиентские сообщения, оживая, отправляются по зашифрованному каналу. Используйте вместе с утверждением client-alive-interval для отключения неотвеченных SSH-клиентов.

  • По умолчанию: 3 сообщения

  • Диапазон: От 0 до 255 сообщений

клиент-alive-interval seconds

Настройте интервал времени в секундах, после которого, если данные не были получены от клиента, sshd отправит сообщение по зашифрованному каналу для запроса ответа от клиента. Этот параметр применим только к протоколу SSH версии 2. Используйте в сочетании с утверждением client-alive-count-max для отключения неотвеченных клиентов SSH.

  • По умолчанию: 0 секунд

  • Диапазон: От 1 до 65535 секунд

тока-hash (md5 | sha2-256)

Укажите алгоритм геширования, используемый сервером SSH, когда он отображает основные алгоритмы шифрования.

Прим.:

Образ FIPS не разрешает использование документации MD5. На системах в режиме FIPS sha2-256 доступен только один доступный параметр.

  • Значения: Укажите один из следующих ок.

    • md5— в том, чтобы SSH-сервер использовали алгоритм MD5.

    • sha2-256— позволяет SSH-серверу использовать алгоритм sha2-256.

  • По умолчанию: sha2-256

log-key-changes log-key-changes

В Junos OS регистрации авторизованных SSH-ключей. Если утверждение настроено и утверждено, Junos OS в журнале изменения в наборе авторизованных SSH-ключей для каждого пользователя (включая добавленные или log-key-changes удаленые ключи). Junos OS записи в журнале отличий, которые были сконфигурированы при log-key-changes последней настройке утверждения. Если утверждение log-key-changes никогда не было настроено, Junos OS в журнале все авторизованные SSH-ключи.

  • По умолчанию: Junos OS в журнале все авторизованные SSH-ключи.

macs [algorithm1 algorithm2...]

Укажите набор алгоритмов аутентификации сообщений (MAC), которые сервер SSH может использовать для аутентификации сообщений.

Прим.:

Утверждение конфигурации macs представляет набор. Поэтому его необходимо настроить следующим образом:

  • Значения: Укажите один или несколько из следующих алгоритмов MAC-аутентификации:

    • hmac-md5- MAC на основе hash-based using Message-Digest 5 (MD5)

    • hmac-md5-96- 96-бит MAC на основе hash-based с помощью MD5

    • hmac-md5-96-etm@openssh.com- 96-битов шифруемого MAC-сообщения на основе hash-then-MAC с использованием MD5

    • hmac-md5-etm@openssh.com- Шифровка-после MAC-сообщения на основе hash-с помощью MMD5

    • hmac-ripemd160- MAC-mac на основе hash с использованиемММDМD

    • hmac-ripemd160-etm@openssh.com- Шифровка-после MAC-шифрования на основе hash-mac с помощью ДЕИВТОД

    • hmac-sha1- MAC-точка с использованием безопасного алгоритма hash-1 (SHA-1)

    • hmac-sha1-96- 96-бит MAC на основе hash-based, использующий SHA-1

    • hmac-sha1-96-etm@openssh.com- 96-битов шифрования-then-MAC на основе hash-битов, использующих SHA-1

    • hmac-sha1-etm@openssh.com- Шифровка-после MAC-шифрования на основе hash-файлов с помощью SHA-1

    • hmac-sha2-256- 256-бит MAC-мас с использованием безопасного алгоритма hash-2 (SHA-2)

    • hmac-sha2-256-etm@openssh.com- Шифровка-после mac-сообщения на основе hash-с помощью SHA-2

    • hmac-sha2-512- 512-бит MAC на основе hash-based, использующий SHA-2

    • hmac-sha2-512-etm@openssh.com- Шифровка-после mac-сообщения на основе hash-с помощью SHA-2

    • umac-128-etm@openssh.com- Шифрование mac-кодов с использованием алгоритма UMAC-128, заданного в RFC4418

    • umac-128@openssh.com— алгоритм UMAC-128, заданный в RFC4418

    • umac-64-etm@openssh.com— Алгоритм шифрования MAC-данных с использованием алгоритма UMAC-64, заданного в RFC4418

    • umac-64@openssh.com— Алгоритм UMAC-64, заданный в RFC4418

max-pre-authentication-packets number

Определите максимальное число предварительно аутентификацичных SSH-пакетов, которое будет принимать сервер SSH до аутентификации пользователя.

  • Диапазон: От 20 до 2147483647 пакетов

  • По умолчанию: 128 пакетов

максимальное количество сеансов на соединение

Укажите максимальное количество сеансов SSH, допустимых для одного SSH-соединения.

  • Диапазон: От 1 до 65535 сеансов

  • По умолчанию: 10 сеансов

no-challenge-response

Отключите методы аутентификации на основе SSH-ответа на запросы.

Прим.:

Настройка этого утверждения в иерархии влияет как на службу входа, так [edit system services ssh]SSH и на NETCONF службу over SSH.

аутентификация без пароля

Отключать методы аутентификации на основе пароля SSH.

Прим.:

Настройка этого утверждения в иерархии влияет как на службу входа, так [edit system services ssh]SSH и на NETCONF службу over SSH.

no-passwords

Отключите для SSH и проверку на основе пароля, и аутентификацию на основе ответа на вызов.

Прим.:

Настройка этого утверждения в иерархии влияет как на службу входа, так [edit system services ssh]SSH и на NETCONF службу over SSH.

no-public-keys

Отключение широкой системы аутентификации с открытым ключом. Если на уровне иерархии имени пользователя [edit system login user-name authentication] указать условие no-public-keys, то аутентификацию открытого ключа для конкретного пользователя отключать.

no-tcp-forwarding

Запретить пользователю создавать SSH-туннель через интерфейс командной строки с устройством через SSH. Этот тип туннеля можно использовать для перенаад доступа к TCP-трафику, минуя все фильтры межсетевых экранов или ALS, разрешая доступ к ресурсам за пределами устройства.

Прим.:

Данное утверждение применимо только к новым SSH-сеансам и не влияет на существующие сессии SSH.

port-number

Укажите номер порта, на котором можно принимать входящие SSH-соединения.

  • По умолчанию: 22

  • Диапазон: от 1 до 65535

версия протокола [v2]

Укажите версию протокола Secure Shell (SSH).

Начиная с Junos OS выпусков 19.3R1 и Junos OS 18.3R3, на всех серия SRX устройствах мы удалили незасвещенный протокол SSH версии 1 () параметр v1edit system services ssh protocol-version [] иерархии. Можно использовать протокол SSH версии 2 () в качестве параметра по умолчанию для удаленного управления v2 системами и приложениями. С помощью параметра, который не Junos OS, он совместим с v1 OpenSSH 7.4 и более поздними версиями.

Junos OS выпусков до 19.3R1 и 18.3R3 по-прежнему поддерживать возможность удаленного управления v1 системами и приложениями.

  • По умолчанию: v2 — протокол SSH версии 2 является протоколом по умолчанию, введенным Junos OS версии 11.4.

номер предела скорости

Настройте максимальное число попыток подключения в минуту на протокол (IPv6 или IPv4) на службе доступа. Например, предел скорости 10 разрешает 10 попыток сеанса SSH IPv6 в минуту и 10 попыток сеанса SSH IPv4 в минуту.

  • Диапазон: от 1 до 250 соединений

  • По умолчанию: 150 соединений

повторное нажатие на себя

Укажите ограничения до повторного указания ключей сеанса.

bytes-limit data-limit bytes (ограничение данных)

Укажите предел данных перед повторной обработкой ключей сеанса.

минут, ограничивающих время

Укажите ограничение по времени перед повторной выбором ключей сеанса.

  • Диапазон: От 1 до 1440 минут

корневой вход (разрешить | отказ |-пароль)

Управление доступом пользователя через SSH.

  • allow — позволяет пользователям входить на устройство как корневое через SSH.

  • deny — отключает пользователя от входа на устройство как корневого через SSH.

  • deny-password— позволяет пользователям входить на устройство в качестве корневого через SSH, если метод аутентификации (например, аутентификация RSA) не требует пароля.

  • По умолчанию: deny-password по умолчанию для большинства систем.

    Начиная с Junos, 17.4R1 для серия MX маршрутизаторов по умолчанию для корневого входа является deny . В предыдущих Junos OS, по умолчанию для MX240, MX480, MX960, MX2010 и MX2020 был allow .

sftp-сервер

Глобальное подключение входящих протоколов передачи файлов SSH (SFTP). Настройка этого утверждения позволяет авторизованному устройству подключаться к sftp-server устройству через SFTP. Если утверждение не присутствует в конфигурации, то SFTP глобально отключен и никакие устройства не могут подключиться к устройству sftp-server через SFTP.

tcp-forwarding

В этом примере пользователь может создать SSH-туннель через интерфейс командной строки дезагрегированной платформе Junos OS с помощью SSH.

Остальные утверждения объяснены отдельно. Найдите утверждение в интерфейс командной строки Explorer или щелкните ссылку в разделе Синтаксис для получения подробных сведений.

Необходимый уровень привилегий

system — для просмотра этого утверждения в конфигурации.

system-control — добавление этого утверждения в конфигурацию.

Сведения о выпуске

Утверждение, представленная Junos OS версии 7.4.

ciphers, hostkey-algorithmkey-exchange и macs утверждения, введенные в Junos OS версии 11.2.

max-sessions-per-connection и no-tcp-forwarding утверждения, введенные Junos OS версии 11.4.

Параметры SHA-2, Junos OS выпуске 12.1.

Поддержка параметра 25519-sha256 в добавлении в Junos OS key-exchange release 12.1X47-D10.

client-alive-interval и client-alive-count-max утверждения, введенные Junos OS версии 12.2.

max-pre-authentication-packets вводится в Junos OS версии 12.3X48-D10.

no-passwords вводится в Junos OS 13.3.

no-public-keys утверждение, представленная Junos OS версии 15.1.

tcp-forwarding вводится в Junos OS версии 15.1X53-D50 для платформы NFX250 сетевых сервисов.

fingerprint-hash вводится в Junos OS версии 16.1.

log-key-changes вводится в Junos OS release 17.4R1.

sftp-server вводится в Junos OS release 19.1R1.

no-challenge-response и no-password-authentication утверждения, введенные в Junos OS release 19.4R1.

Параметр, ldaps который Junos OS в 20.2R1.