Προηγουμένως, είχα γράψει για το πώς μπορείτε να ενεργοποιήσετε την πρόσβαση SSH στον μεταγωγέα Cisco ενεργοποιώντας^{(how you can enable SSH access to your Cisco switch)} τη ρύθμιση στη διεπαφή GUI . Αυτό είναι υπέροχο εάν θέλετε να αποκτήσετε πρόσβαση στο διακόπτη CLI μέσω μιας κρυπτογραφημένης σύνδεσης, αλλά εξακολουθεί να βασίζεται μόνο σε ένα όνομα χρήστη και έναν κωδικό πρόσβασης.

Εάν χρησιμοποιείτε αυτόν τον διακόπτη σε ένα εξαιρετικά ευαίσθητο δίκτυο που πρέπει να είναι πολύ ασφαλές, τότε ίσως θελήσετε να ενεργοποιήσετε τον έλεγχο ταυτότητας δημόσιου κλειδιού για τη σύνδεσή σας SSH . Στην πραγματικότητα, για μέγιστη ασφάλεια, μπορείτε να ενεργοποιήσετε ένα όνομα χρήστη/κωδικό πρόσβασης και έλεγχο ταυτότητας δημόσιου κλειδιού για πρόσβαση στον διακόπτη σας.

Σε αυτό το άρθρο, θα σας δείξω πώς μπορείτε να ενεργοποιήσετε τον έλεγχο ταυτότητας δημόσιου κλειδιού σε έναν μεταγωγέα SG300 Cisco^{(SG300 Cisco)} και πώς να δημιουργήσετε τα ζεύγη δημόσιου και ιδιωτικού κλειδιού χρησιμοποιώντας το puTTYGen. Στη συνέχεια, θα σας δείξω πώς να συνδεθείτε χρησιμοποιώντας τα νέα κλειδιά. Επιπλέον, θα σας δείξω πώς να το διαμορφώσετε έτσι ώστε να μπορείτε είτε να χρησιμοποιήσετε μόνο το κλειδί για να συνδεθείτε είτε να αναγκάσετε τον χρήστη να πληκτρολογήσει ένα όνομα χρήστη/κωδικό μαζί με τη χρήση του ιδιωτικού κλειδιού.

Σημείωση: Πριν ξεκινήσετε με αυτό το σεμινάριο, βεβαιωθείτε ότι έχετε ήδη ενεργοποιήσει την υπηρεσία SSH στον διακόπτη, την οποία ανέφερα στο προηγούμενο άρθρο μου που αναφέρεται παραπάνω. ^{(Note: Before you get started on this tutorial, make sure you have already enabled the SSH service on the switch, which I mentioned in my previous article linked above. )}

Ενεργοποιήστε τον έλεγχο ταυτότητας χρήστη SSH^{(SSH User Authentication)} με δημόσιο κλειδί^{(Public Key)}

Συνολικά, η διαδικασία για να λειτουργήσει ο έλεγχος ταυτότητας δημόσιου κλειδιού για SSH είναι απλή. Στο παράδειγμά μου, θα σας δείξω πώς μπορείτε να ενεργοποιήσετε τις δυνατότητες χρησιμοποιώντας το γραφικό περιβάλλον εργασίας^(GUI) που βασίζεται στον ιστό . Προσπάθησα να χρησιμοποιήσω τη διεπαφή CLI για να ενεργοποιήσω τον έλεγχο ταυτότητας με δημόσιο κλειδί, αλλά δεν δεχόταν τη μορφή για το ιδιωτικό κλειδί RSA μου.^(RSA)

Μόλις το πετύχω αυτό, θα ενημερώσω αυτήν την ανάρτηση με τις εντολές CLI που θα ολοκληρώσουν αυτό που θα κάνουμε μέσω του GUI προς το παρόν. Πρώτα^(First) , κάντε κλικ στο Security , μετά στο SSH Server και τέλος στο SSH User Authentication .

Στο δεξιό τμήμα του παραθύρου, προχωρήστε και επιλέξτε το πλαίσιο Ενεργοποίηση δίπλα στο στοιχείο Έλεγχος ταυτότητας χρήστη SSH με δημόσιο κλειδί^{( Enable box next to SSH User Authentication by Public Key)} . Κάντε κλικ στο κουμπί Εφαρμογή^(Apply) για να αποθηκεύσετε τις αλλαγές. Μην^(Don) τσεκάρετε ακόμα το κουμπί Ενεργοποίηση^(Enable) δίπλα στην Αυτόματη σύνδεση^{(Automatic login)} , καθώς θα το εξηγήσω παρακάτω.

Τώρα πρέπει να προσθέσουμε ένα όνομα χρήστη SSH . Πριν προχωρήσουμε στην προσθήκη του χρήστη, πρέπει πρώτα να δημιουργήσουμε ένα δημόσιο και ιδιωτικό κλειδί. Σε αυτό το παράδειγμα, θα χρησιμοποιήσουμε το puTTYGen, το οποίο είναι ένα πρόγραμμα που συνοδεύεται από το puTTY.

Δημιουργήστε ιδιωτικά και δημόσια κλειδιά

Για να δημιουργήσετε τα κλειδιά, προχωρήστε και ανοίξτε πρώτα το PuTTYGen. Θα δείτε μια κενή οθόνη και πραγματικά δεν χρειάζεται να αλλάξετε καμία από τις ρυθμίσεις από τις προεπιλογές που εμφανίζονται παρακάτω.

Κάντε κλικ στο κουμπί Δημιουργία^(Generate) και, στη συνέχεια, μετακινήστε το ποντίκι σας γύρω από την κενή περιοχή έως ότου η γραμμή προόδου φτάσει μέχρι το τέλος.

Μόλις δημιουργηθούν τα κλειδιά, πρέπει να πληκτρολογήσετε μια φράση πρόσβασης, η οποία είναι βασικά σαν κωδικός πρόσβασης για να ξεκλειδώσετε το κλειδί.

Είναι καλή ιδέα να χρησιμοποιήσετε μια μεγάλη φράση πρόσβασης για να προστατεύσετε το κλειδί από επιθέσεις ωμής βίας. Αφού πληκτρολογήσετε τη φράση πρόσβασης δύο φορές, θα πρέπει να κάνετε κλικ στα κουμπιά Αποθήκευση δημόσιου κλειδιού^{(Save public key)} και Αποθήκευση ιδιωτικού κλειδιού . ^{(Save private key)}Βεβαιωθείτε ότι αυτά τα αρχεία είναι αποθηκευμένα σε ασφαλή τοποθεσία, κατά προτίμηση σε κρυπτογραφημένο κοντέινερ κάποιου είδους που απαιτεί κωδικό πρόσβασης για να ανοίξει. Δείτε την ανάρτησή μου σχετικά με τη χρήση του VeraCrypt για τη δημιουργία κρυπτογραφημένου τόμου^{(VeraCrypt to create an encrypted volume)} .

Προσθήκη χρήστη & κλειδιού

Τώρα επιστρέψτε στην οθόνη  ελέγχου ταυτότητας χρήστη SSH^{( SSH User Authentication)} στην οποία βρισκόμασταν νωρίτερα. Εδώ μπορείτε να επιλέξετε από δύο διαφορετικές επιλογές. Αρχικά, μεταβείτε στη Διαχείριση^{(Administration)} – Λογαριασμοί χρηστών^{( User Accounts)} για να δείτε ποιους λογαριασμούς έχετε αυτήν τη στιγμή για σύνδεση.

Όπως μπορείτε να δείτε, έχω έναν λογαριασμό που ονομάζεται akishore για πρόσβαση στον διακόπτη μου. Αυτήν^(Currently) τη στιγμή , μπορώ να χρησιμοποιήσω αυτόν τον λογαριασμό για να αποκτήσω πρόσβαση στο γραφικό περιβάλλον^(GUI) χρήσης που βασίζεται στον ιστό και στο CLI . Πίσω^(Back) στη σελίδα Έλεγχος ταυτότητας χρήστη SSH^{(SSH User Authentication)} , ο χρήστης που πρέπει να προσθέσετε στον Πίνακα ελέγχου ταυτότητας χρήστη SSH (με δημόσιο κλειδί)^{(SSH User Authentication Table (by Public Key))}  μπορεί είτε να είναι ίδιος με αυτόν που έχετε στην ενότητα Διαχείριση – Λογαριασμοί χρήστη^{(Administration – User Accounts)} είτε διαφορετικός.

Εάν επιλέξετε το ίδιο όνομα χρήστη, τότε μπορείτε να ελέγξετε το κουμπί Ενεργοποίηση κάτω από την ^(Enable)Αυτόματη σύνδεση^{(Automatic Login)} και όταν μεταβείτε για να συνδεθείτε στο διακόπτη, θα πρέπει απλώς να πληκτρολογήσετε το όνομα χρήστη και τον κωδικό πρόσβασης για το ιδιωτικό κλειδί και θα συνδεθείτε .

Εάν αποφασίσετε να επιλέξετε διαφορετικό όνομα χρήστη εδώ, τότε θα λάβετε ένα μήνυμα προτροπής όπου πρέπει να εισαγάγετε το όνομα χρήστη και τον κωδικό πρόσβασης του ιδιωτικού κλειδιού SSH και, στη συνέχεια, θα πρέπει να εισαγάγετε το κανονικό όνομα χρήστη και τον κωδικό πρόσβασής σας (αναφέρονται στην ενότητα Διαχειριστής – Λογαριασμοί χρήστη^{(Admin – User Accounts)} ) . Εάν θέλετε την επιπλέον ασφάλεια, χρησιμοποιήστε διαφορετικό όνομα χρήστη, διαφορετικά απλώς ονομάστε το ίδιο με το τρέχον σας.

Κάντε κλικ^(Click) στο κουμπί Προσθήκη^(Add) και θα εμφανιστεί το παράθυρο Προσθήκη χρήστη SSH .^{(Add SSH User)}

Βεβαιωθείτε ότι ο Τύπος κλειδιού^{(Key Type)} έχει οριστεί σε RSA και, στη συνέχεια, ανοίξτε το δημόσιο αρχείο κλειδιού SSH που αποθηκεύσατε νωρίτερα χρησιμοποιώντας ένα πρόγραμμα όπως το Σημειωματάριο^(Notepad) . Αντιγράψτε ολόκληρο το περιεχόμενο και επικολλήστε το στο παράθυρο Δημόσιο Κλειδί . ^{(Public Key)}Κάντε κλικ στην Εφαρμογή^(Apply) και, στη συνέχεια, κάντε κλικ στο Κλείσιμο^(Close) εάν λάβετε ένα μήνυμα επιτυχίας^(Success) στο επάνω μέρος.

Είσοδος με χρήση ιδιωτικού κλειδιού

Τώρα το μόνο που έχουμε να κάνουμε είναι να συνδεθούμε χρησιμοποιώντας το ιδιωτικό μας κλειδί και τον κωδικό πρόσβασής μας. Σε αυτό το σημείο, όταν προσπαθείτε να συνδεθείτε, θα χρειαστεί να εισαγάγετε τα διαπιστευτήρια σύνδεσης δύο φορές: μία για το ιδιωτικό κλειδί και μία για τον κανονικό λογαριασμό χρήστη. Μόλις ενεργοποιήσουμε την αυτόματη σύνδεση, θα πρέπει απλώς να εισαγάγετε το όνομα χρήστη και τον κωδικό πρόσβασης για το ιδιωτικό κλειδί και θα εισέλθετε.

Ανοίξτε το PuTTY και εισαγάγετε τη διεύθυνση IP του διακόπτη σας στο πλαίσιο Όνομα κεντρικού υπολογιστή^{( Host Name)} ως συνήθως. Ωστόσο, αυτή τη φορά, θα χρειαστεί να φορτώσουμε και το ιδιωτικό κλειδί στο puTTY. Για να το κάνετε αυτό, αναπτύξτε το Connection , μετά αναπτύξτε το SSH και μετά κάντε κλικ στο Auth .

Κάντε κλικ στο κουμπί Αναζήτηση στην περιοχή ^(Browse)Αρχείο ιδιωτικού κλειδιού για έλεγχο ταυτότητας^{(Private key file for authentication)} και επιλέξτε το αρχείο ιδιωτικού κλειδιού που αποθηκεύσατε νωρίτερα από το puTTY. Τώρα κάντε κλικ στο κουμπί Άνοιγμα^(Open) για να συνδεθείτε.

Η πρώτη ερώτηση θα είναι η σύνδεση ως^{(login as)} και αυτό θα πρέπει να είναι το όνομα χρήστη που προσθέσατε στους χρήστες SSH . Εάν χρησιμοποιήσατε το ίδιο όνομα χρήστη με τον κύριο λογαριασμό χρήστη σας, τότε δεν θα έχει σημασία.

Στην περίπτωσή μου, χρησιμοποίησα το akishore και για τους δύο λογαριασμούς χρηστών, αλλά χρησιμοποίησα διαφορετικούς κωδικούς πρόσβασης για το ιδιωτικό κλειδί και για τον κύριο λογαριασμό χρήστη μου. Εάν θέλετε, μπορείτε επίσης να κάνετε τους κωδικούς πρόσβασης ίδιους, αλλά δεν έχει νόημα να το κάνετε πραγματικά, ειδικά εάν ενεργοποιήσετε την αυτόματη σύνδεση.

Τώρα, αν δεν θέλετε να χρειαστεί να κάνετε διπλή σύνδεση για να μπείτε στο διακόπτη, επιλέξτε το πλαίσιο Ενεργοποίηση^(Enable) δίπλα στην Αυτόματη σύνδεση^{( Automatic login)} στη σελίδα Έλεγχος ταυτότητας χρήστη SSH^{(SSH User Authentication)} .

Όταν αυτό είναι ενεργοποιημένο, θα πρέπει τώρα απλώς να πληκτρολογήσετε τα διαπιστευτήρια για τον χρήστη SSH και θα συνδεθείτε.

Είναι λίγο περίπλοκο, αλλά είναι λογικό μόλις το παίξετε. Όπως ανέφερα προηγουμένως, θα γράψω επίσης τις εντολές CLI μόλις μπορέσω να αποκτήσω το ιδιωτικό κλειδί στη σωστή μορφή. Ακολουθώντας τις οδηγίες εδώ, η πρόσβαση στον διακόπτη σας μέσω SSH θα πρέπει να είναι πολύ πιο ασφαλής τώρα. Εάν αντιμετωπίζετε προβλήματα ή έχετε ερωτήσεις, δημοσιεύστε στα σχόλια. Απολαμβάνω!

Enable Public Key Authentication for SSH on Cisco SG300 Switches

Previously, I wrote аbout how you can enable SSH access to your Cisco switch by enabling the setting in the GUI interface. This is great if you want to access your switch CLI over an encrypted connection, but it still relies on just a username and password.

If you are using this switch in a highly sensitive network that needs to be very secure, then you might want to consider enabling public key authentication for your SSH connection. Actually, for maximum security, you can enable a username/password and public key authentication for access to your switch.

In this article, I’ll show you how to enable public key authentication on an SG300 Cisco switch and how to generate the public and private key pairs using puTTYGen. I’ll then show you how to login using the new keys. In addition, I’ll show you how to configure it so that you can either use just the key to login or force the user to type in a username/password along with using the private key.

Note: Before you get started on this tutorial, make sure you have already enabled the SSH service on the switch, which I mentioned in my previous article linked above. 

Enable SSH User Authentication by Public Key

Overall, the process for getting public key authentication to work for SSH is straightforward. In my example, I’ll show you how to enable the features using the web-based GUI. I tried to use the CLI interface to enable public key authentication, but it would not accept the format for my private RSA key.

Once I get that working, I’ll update this post with the CLI commands that will accomplish what we will do through the GUI for now. First, click on Security, then SSH Server and finally SSH User Authentication.

In the right-hand pane, go ahead and check the Enable box next to SSH User Authentication by Public Key. Click the Apply button to save the changes. Don’t check the Enable button next to Automatic login just yet as I’ll explain that further down.

Now we have to add a SSH user name. Before we get into adding the user, we first have to generate a public and private key. In this example, we’ll be using puTTYGen, which is a program that comes with puTTY.

Generate Private and Public Keys

To generate the keys, go ahead and open puTTYGen first. You’ll see a blank screen and you really shouldn’t have to change any of the settings from the defaults shown below.

Click on the Generate button and then move your mouse around the blank area until the progress bar go all the way across.

Once the keys have been generated, you need to type in a passphrase, which is basically like a password to unlock the key.

It’s a good idea to use a long passphrase to protect the key from brute-force attacks. Once you have typed in the passphrase twice, you should click the Save public key and Save private key buttons. Make sure these files are saved in a secure location, preferably in an encrypted container of some sort that requires a password to open. Check out my post on using VeraCrypt to create an encrypted volume.

Add User & Key

Now back to the SSH User Authentication screen we were on earlier. Here’s where you can choose from two different options. Firstly, go to Administration – User Accounts to see what accounts you currently have for login.

As you can see, I have one account called akishore for accessing my switch. Currently, I can use this account to access the web-based GUI and the CLI. Back on the SSH User Authentication page, the user you need to add to the SSH User Authentication Table (by Public Key) can either be the same as what you have under Administration – User Accounts or different.

If you choose the same user name, then you can check the Enable button under Automatic Login and when you go to log into the switch, you’ll simply have to type the username and password for the private key and you’ll be logged in.

If you decide to choose a different username here, then you will get a prompt where you have to enter the SSH private key user name and password and then you’ll have to enter your normal username and password (listed under Admin – User Accounts). If you want the extra security, use a different username, otherwise just name it the same as your current one.

Click the Add button and you’ll get the Add SSH User window pop up.

Make sure the Key Type is set to RSA and then go ahead and open your public SSH key file that you saved earlier using a program like Notepad. Copy the entire contents and paste it into the Public Key window. Click Apply and then click Close if you get a Success message at the top.

Login Using Private Key

Now all we have to do is login using our private key and password. At this point, when you try to login, you’ll need to enter login credentials twice: once for the private key and once for the normal user account. Once we enable automatic login, you’ll just have to enter the username and password for the private key and you’ll be in.

Open puTTY and enter in the IP address of your switch in the Host Name box as usual. However, this time, we’ll need to load up the private key into puTTY also. To do this, expand Connection, then expand SSH and then click on Auth.

Click on the Browse button under Private key file for authentication and select the private key file you saved out of puTTY earlier. Now click the Open button to connect.

The first prompt will be login as and that should be the username you added under SSH users. If you used the same username as your main user account, then it won’t matter.

In my case, I used akishore for both user accounts, but I used different passwords for the private key and for my main user account. If you like, you can make the passwords the same too, but there’s no point in really doing that, especially if you enable automatic login.

Now if you don’t want to have to double login to get into the switch, check the Enable box next to Automatic login on the SSH User Authentication page.

When this is enabled, you’ll now just have to type in the credentials for the SSH user and you’ll be logged in.

It’s a bit complicated, but makes sense once you play around with it. Like I mentioned earlier, I’ll also write out the CLI commands once I can get the private key in the proper format. Following the instructions here, accessing your switch via SSH should be a lot more secure now. If you run into problems or have questions, post in the comments. Enjoy!

Related posts

• Πώς να ενεργοποιήσετε την πρόσβαση SSH για διακόπτες Cisco SG300

• Πώς να απενεργοποιήσετε το κλειδί των Windows

• Πώς να κάνετε SSH ή SFTP στο Raspberry Pi σας

• Πώς να ενεργοποιήσετε τον έλεγχο ταυτότητας Steam Guard

• Ανακτήστε το κλειδί ασφαλείας ασύρματου δικτύου στα Windows

• Πώς να διατηρείτε το λογισμικό του υπολογιστή σας ενημερωμένο αυτόματα

• Πώς να κρατήσετε τον υπολογιστή σας με Windows ξύπνιο χωρίς να αγγίξετε το ποντίκι

• Πώς να ενημερώσετε το Raspberry Pi

• Review Book - The How-To Geek Guide στα Windows 8

• Δημιουργήστε μια εφαρμογή Gmail Desktop με αυτούς τους 3 πελάτες email

• Περιορίστε την πρόσβαση στο Cisco Switch με βάση τη διεύθυνση IP

• 6 καλύτερες ρυθμίσεις κάμερας για φωτογραφίες σελήνης

• Πώς να μετατρέψετε εικόνες WEBP σε JPG, GIF ή PNG

• Πώς να πετάξετε ένα drone για αρχάριους

• Πώς να επαναφέρετε τις εργοστασιακές ρυθμίσεις ενός Xbox One ή Xbox Series X

• 7 Τεχνικές συμβουλές βελτιστοποίησης SEO για οποιονδήποτε ιστότοπο

• Πώς να αλλάξετε το χρώμα φόντου στα Έγγραφα Google

• Πώς να ανοίξετε ένα κλειδωμένο αρχείο όταν το χρησιμοποιεί άλλο πρόγραμμα

• Πώς να κατεβάσετε ένα βίντεο από οποιονδήποτε ιστότοπο

• Πώς να τραβήξετε στιγμιότυπα οθόνης στο Nintendo Switch