SSH登录的两种方式
- 口令认证:直接输入密码确定身份
- 公钥认证:
- 客户端生成一个公私密钥对,手动给服务器公钥
- 客户端发送给服务器的消息都使用私钥生成一段加密信息
- 服务器只有用客户端给的公钥才能解密这段消息,由此确认客户端的身份
SSH建立通信过程
在我的理解中,SSH通信相比Telnet更加安全主要是因为
1、加密SSH会话消息(确保其他人获取SSH报文也没办法解密消息)
2、用户的身份认证
1、加密SSH会话
既然是速通,图片细节只需要简单了解即可,关键看文字
客户端和服务器之间首先协商SSH的版本
之后协商SSH加密的算法
协商SSH会话加密的密钥(仅用于SSH会话加密)
2、用户身份认证
口令认证:直接发送密码确认身份
公钥认证:服务端使用客户端的公钥解密客户端的数据确认身份。
实践1:网络设备(交换机SSH认证)
设备:华为CE12800(需要镜像的同学可以私信我)
SSH登录软件:MobaXterm
最速实践:省略多余配置,需要了解更多可以查看CE12800产品手册
1、CE交换机配置接口IP地址
interface GE1/0/0
undo portswitch
undo shutdown
ip address 192.168.123.10 255.255.255.02、开启SSH登录
stelnet server enable 3、指定SSH客户端的IP地址范围(项目实践中一般都配置)
acl number 2000
rule 5 permit source 192.168.123.0 0.0.0.2554、在本地用户数据库创建一个用户
aaa
local-user user01 password irreversible-cipher Huawei@123
local-user user01 service-type ssh
local-user user01 level 35、指定SSH登录的用户(华为设备在数据库中有一个用户还需要全局视图下再指定一个SSH用户)
ssh user user01
ssh user user01 service-type stelnet
ssh user user01 authentication-type password
ssh server acl 20006、进入虚拟终端接口,指定认证方式为SSH
user-interface vty 0 4
authentication-mode aaa
user privilege level 3
protocol inbound ssh首次登录需要修改密码
如果不想修改可以修改AAA策略
aaa
undo local-user policy security-enhance //删除密码安全策略
undo local-user policy password change //删除首次登录要改密码
实践2:天翼云服务器SSH认证
1、在云服务器创建密钥对,会产生一个私钥,需要将这个私钥保存到本地电脑(只能下载一次)
2、云主机绑定密钥对的公钥
3、创建SSH连接时,导入私钥文件
4、登录成功
