zoukankan      html  css  js  c++  java
  • 网络基础配置--开启SSH,关闭Telnet

    1、Telnet和SSH对比

    1.1、TELNET  

      使用Telnet这个用来访问远程计算机的TCP/IP协议以控制你的网络设备相当于在离开某个建筑时大喊你的用户名和口令。很快会有人进行监听,并且他们会利用你安全意识的缺乏。传统的网络服务程序如:ftp、pop和telnet在本质上都是不安全的,因为它们在网络上用明文传送口令和数据,别有用心的人非常容易就可以截获这些口令和数据。而且,这些服务程序的安全验证方式也是有其弱点的,就是很容易受到“中间人”(man-in-the-middle)这种方式的攻击。所谓“中间人”的攻击方式,就是“中间人”冒充真正的服务器接收你的传给服务器的数据,然后再冒充你把数据传给真正的服务器。服务器和你之间的数据传送被“中间人”一转手做了手脚之后,就会出现很严重的问题。

    1.2、SSH 

      SSH是替代Telnet和其他远程控制台管理应用程序的行业标准。SSH命令是加密的并以几种方式进行保密。SSH有很多功能,它既可以代替telnet,又可以为ftp、pop、甚至ppp提供一个安全的“通道”。SSH(Secure SHell)到目前为止有两个不兼容的版本——SSH1和SSH2。
      SSH1又分为1.3和1.5两个版本。SSH1采用DES、3DES、Blowfish和RC4等对称加密算法保护数据安全传输,而对称加密算法的密钥是通过非对称加密算法(RSA)来完成交换的。SSH1使用循环冗余校验码(CRC)来保证数据的完整性,但是后来发现这种方法有缺陷。
      SSH2避免了RSA的专利问题,并修补了CRC的缺陷。SSH2用数字签名算法(DSA)和Diffie-Hellman(DH)算法代替RSA来完成对称密钥的交换,用消息证实代码(HMAC)来代替CRC。同时SSH2增加了AES和Twofish等对称加密算法。

    2、开启SSH认证登录

    2.1、H3C

    authentication-mode 常见的配置参数有三种
    user-interface vty 0 14
    1、authentication-mode aaa或authentication-mode    scheme
    创建本地用户并启用AAA验证。

    2、authentication-mode password  
    直接在user-interface vty 下用passrod设置密码

    3、authentication-mode none
    远程维护登陆不需要密码

    scheme是组合的意思.就是组合认证方式,即输入:用户名+密码认证..
    1.进入用户界面:user-interface 0 4  (和思科里面的VTY一样,0 4是指可以有5个用户会话同时连接,0,1,2,3,4 )
    2.设置认证模式为组合模式(用户名加密码):Authenticate-mode scheme
    3.建立本地用户名:local-user 用户名,
    4.设置用户密码:password simple 密码...
    5.设置访问服务类型为telnet:service-type ssh
    6.设置授权访问级别:level 3
    7.退出:quit

    system-view
    #生成RSA和DSA密钥对(一些老设备一定要设置,否则ssh无法登陆)
    public-key local create rsa
    
    public-key local create dsa
    
    #设置telnet客户端登录用户界面的认证方式为AAA认证。 ssh server enable user
    -interface vty 0 4 authentication-mode scheme protocol inbound ssh quit
    #创建本地用户petrochina,密码为123456,服务类型为SSH
    local
    -user petrochina password simple 123456 #使用明文 service-type ssh authorization-attribute level 3
    #有的直接设置:level 0-3,不用加authorization-attribute
    quit undo telnet server enable
    quit
    save
    [PeiXun]local-user admin
    #下面这种情况是ssh和Telnet并存。应取消Telnet。
    [PeiXun-luser-admin]dis this
    #
    local-user admin
     password cipher &(AB]<R)5O<,]A!!
     service-type ssh telnet terminal
    #
    [PeiXun-luser-admin]undo service-type telnet

    2.2、Quitway

    #创建本地密钥对
    rsa local-key-pair create
    #配置VTY用户,只能用SSH进入
    user-interface vty 0 4
    authentication-mode aaa
    protocol inbound ssh
    #创建SSH用户及密码
    aaa
    local-user petrochina password cipher 123456  #使用密文
    local-user petrochina service-type ssh  #支持的协议类型
    local-user petrochina level 3  #管理级别
    quit
    #配置ssh用户的认证方式和服务方式
    ssh user petrochina authentication-type password  #认证方式为密码认证
    ssh user petrochina service-type stelnet
    stelnet server enable 
    quit
    save

     华为S3900

    由于华为S3900为早期设备,且vrp版本也过老,其配置命令与h3c一样,故:

    #
    local-user client001
     password simple/ciper abc@123
     service-type ssh
     level 3
    #
    interface Vlan-interface1
     ip address 192.168.0.1 255.255.255.0
    #
     ssh user client001 authentication-type password
     ssh user client001 service-type stelnet
    #
    user-interface vty 0 4
     authentication-mode scheme
     protocol inbound ssh

     配置超级密码

    华为

    aaa
    dis this
    local-user petrochina level 0
    quit
    super password level 3 cipher @0631

    华三

    sys
    local-user petrochina
    dis this

    authorization-attribute level 0
    password cipher SDXS1110)%#!)%#!
    quit
    super password level 3 cipher @0530
    local-user petrochina
    dis this




  • 相关阅读:
    第二章 金字塔内部的结构
    第一章 为什么要用金字塔结构
    考研级《计算机网络》知识梳理——第二期
    考研级《计算机网络》知识梳理——第一期
    leetcode常规算法题复盘(科普短文篇)——为何哈希表的容量一般是质数
    leetcode常规算法题复盘(第十六期)——数据流中的第 K 大元素
    leetcode常规算法题复盘(第十四期)——最后一块石头的重量
    leetcode常规算法题复盘(第十三期)——最大矩形&柱状图中最大的矩形
    leetcode常规算法题复盘(第十二期)——摆动序列&买卖股票的最佳时机含手续费
    leetcode常规算法题复盘(基础篇)——线性表java实现
  • 原文地址:https://www.cnblogs.com/daynote/p/9008641.html
Copyright © 2011-2022 走看看