1、Telnet和SSH对比
1.1、TELNET
使用Telnet这个用来访问远程计算机的TCP/IP协议以控制你的网络设备相当于在离开某个建筑时大喊你的用户名和口令。很快会有人进行监听,并且他们会利用你安全意识的缺乏。传统的网络服务程序如:ftp、pop和telnet在本质上都是不安全的,因为它们在网络上用明文传送口令和数据,别有用心的人非常容易就可以截获这些口令和数据。而且,这些服务程序的安全验证方式也是有其弱点的,就是很容易受到“中间人”(man-in-the-middle)这种方式的攻击。所谓“中间人”的攻击方式,就是“中间人”冒充真正的服务器接收你的传给服务器的数据,然后再冒充你把数据传给真正的服务器。服务器和你之间的数据传送被“中间人”一转手做了手脚之后,就会出现很严重的问题。
1.2、SSH
SSH是替代Telnet和其他远程控制台管理应用程序的行业标准。SSH命令是加密的并以几种方式进行保密。SSH有很多功能,它既可以代替telnet,又可以为ftp、pop、甚至ppp提供一个安全的“通道”。SSH(Secure SHell)到目前为止有两个不兼容的版本——SSH1和SSH2。
SSH1又分为1.3和1.5两个版本。SSH1采用DES、3DES、Blowfish和RC4等对称加密算法保护数据安全传输,而对称加密算法的密钥是通过非对称加密算法(RSA)来完成交换的。SSH1使用循环冗余校验码(CRC)来保证数据的完整性,但是后来发现这种方法有缺陷。
SSH2避免了RSA的专利问题,并修补了CRC的缺陷。SSH2用数字签名算法(DSA)和Diffie-Hellman(DH)算法代替RSA来完成对称密钥的交换,用消息证实代码(HMAC)来代替CRC。同时SSH2增加了AES和Twofish等对称加密算法。
2、开启SSH认证登录
2.1、H3C
authentication-mode 常见的配置参数有三种
user-interface vty 0 14
1、authentication-mode aaa或authentication-mode scheme
创建本地用户并启用AAA验证。
2、authentication-mode password
直接在user-interface vty 下用passrod设置密码
3、authentication-mode none
远程维护登陆不需要密码
scheme是组合的意思.就是组合认证方式,即输入:用户名+密码认证..
1.进入用户界面:user-interface 0 4 (和思科里面的VTY一样,0 4是指可以有5个用户会话同时连接,0,1,2,3,4 )
2.设置认证模式为组合模式(用户名加密码):Authenticate-mode scheme
3.建立本地用户名:local-user 用户名,
4.设置用户密码:password simple 密码...
5.设置访问服务类型为telnet:service-type ssh
6.设置授权访问级别:level 3
7.退出:quit
system-view #生成RSA和DSA密钥对(一些老设备一定要设置,否则ssh无法登陆) public-key local create rsa public-key local create dsa
#设置telnet客户端登录用户界面的认证方式为AAA认证。 ssh server enable user-interface vty 0 4 authentication-mode scheme protocol inbound ssh quit
#创建本地用户petrochina,密码为123456,服务类型为SSH
local-user petrochina password simple 123456 #使用明文 service-type ssh authorization-attribute level 3
#有的直接设置:level 0-3,不用加authorization-attribute quit undo telnet server enable
quit
save
[PeiXun]local-user admin
#下面这种情况是ssh和Telnet并存。应取消Telnet。
[PeiXun-luser-admin]dis this
#
local-user admin
password cipher &(AB]<R)5O<,]A!!
service-type ssh telnet terminal
#
[PeiXun-luser-admin]undo service-type telnet
2.2、Quitway
#创建本地密钥对 rsa local-key-pair create #配置VTY用户,只能用SSH进入 user-interface vty 0 4 authentication-mode aaa protocol inbound ssh #创建SSH用户及密码 aaa local-user petrochina password cipher 123456 #使用密文 local-user petrochina service-type ssh #支持的协议类型 local-user petrochina level 3 #管理级别 quit #配置ssh用户的认证方式和服务方式 ssh user petrochina authentication-type password #认证方式为密码认证 ssh user petrochina service-type stelnet stelnet server enable
quit
save
华为S3900
由于华为S3900为早期设备,且vrp版本也过老,其配置命令与h3c一样,故:
# local-user client001 password simple/ciper abc@123 service-type ssh level 3 # interface Vlan-interface1 ip address 192.168.0.1 255.255.255.0 # ssh user client001 authentication-type password ssh user client001 service-type stelnet # user-interface vty 0 4 authentication-mode scheme protocol inbound ssh
配置超级密码
华为
aaa
dis this
local-user petrochina level 0
quit
super password level 3 cipher @0631
华三
sys
local-user petrochina
dis this
authorization-attribute level 0
password cipher SDXS1110)%#!)%#!
quit
super password level 3 cipher @0530
local-user petrochina
dis this