所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级
E600 V200R010C00 配置指南-基础配置

本文档介绍了如何使用命令行接口、如何登录设备,以及文件操作、系统启动等功能的配置。

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置SSH服务器功能

配置SSH服务器功能

用户终端通过SSH登录设备之前,必须通过其它方式登录设备,开启设备的SSH服务器功能。

背景信息

设备作为SSH服务器,须生成与客户端密钥同类型的密钥对,用于数据加密,也可用于客户端对服务器的认证。设备还支持配置多种SSH服务器属性,用于更灵活地控制SSH登录。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令stelnet server enable,使能设备的SSH服务器功能。

    缺省情况下,设备的SSH服务器功能没有使能。

  3. (可选)执行命令ssh server key-exchange { dh_group_exchange_sha1 | dh_group14_sha1 | dh_group1_sha1 } *,配置SSH服务器上的密钥交换算法列表。

    缺省情况下,SSH服务器支持所有的密钥交换算法。

    说明:

    其中dh_group14_sha1dh_group1_sha1为弱安全的密钥交换算法,建议不配置到密钥交换算法列表中。

  4. (可选)执行命令ssh server cipher { 3des_cbc | aes128_cbc | aes128_ctr | aes256_cbc | aes256_ctr | des_cbc } *,配置SSH服务器上的加密算法列表。

    缺省情况下,SSH服务器支持的加密算法为3DES_CBC、AES128_CBC、AES256_CBC、AES128_CTR和AES256_CTR。

    说明:

    其中des_cbc3des_cbc为弱安全的加密算法,建议不配置到加密算法列表中。

  5. (可选)执行命令ssh server hmac { md5 | md5_96 | sha1 | sha1_96 | sha2_256 | sha2_256_96 } *,配置SSH服务器上的校验算法列表。

    缺省情况下,SSH服务器支持所有的校验算法。

    说明:

    其中md5、sha1、md5_96、sha1_96和sha2_256_96为弱安全的HMAC算法,建议不配置到校验算法列表中。

  6. (可选)执行命令ssh server dh-exchange min-len min-len,配置与SSH客户端进行Diffie-hellman-group-exchange密钥交换时,支持的最小密钥长度。

    长度为1024字节的Diffie-hellman-group-exchange密钥存在安全风险。当SSH客户端支持大于1024字节的Diffie-hellman-group-exchange密钥交换算法时,建议执行ssh server dh-exchange min-len命令配置最小密钥长度为2048字节,以提高安全性。

  7. (可选)执行命令rsa local-key-pair createdsa local-key-pair createecc local-key-pair create,生成本地RSA、DSA或ECC密钥对。

    说明:

    根据生成的密钥对类型,三选一。密钥对长度越大,密钥对安全性就越好,建议使用最大的密钥对长度。

  8. (可选)执行命令ssh server port port-number,配置SSH服务器端口号。

    缺省情况下,SSH服务器端的端口号是22。

    为SSH服务器配置新的端口号,可以有效防止攻击者对SSH服务标准端口的恶意访问,确保安全性。

  9. (可选)执行命令ssh server rekey-interval hours,配置密钥对更新时间。

    缺省情况下,SSH服务器密钥对的更新时间间隔是0,表示永不更新。

    配置服务器密钥对更新时间,使得当SSH服务器的更新周期到达时,自动更新服务器密钥对,从而可以保证安全性。

    该命令只在SSH1.X版本生效。SSH1.X的安全性较低,不推荐使用。

  10. (可选)执行命令ssh server timeout seconds,配置SSH认证超时时间。

    缺省情况下,SSH连接认证超时时间是60秒。

    当设置的SSH认证超时时间到达后,如果用户还未登录成功,则终止当前连接,确保了安全性。

  11. (可选)执行命令ssh server authentication-retries times,配置SSH认证重试次数。

    缺省情况下,SSH连接的认证重试次数是3。

    配置SSH认证重试次数用来设置SSH用户请求连接的认证重试次数,防止非法用户登录。

  12. (可选)执行命令ssh server compatible-ssh1x enable,使能兼容低版本SSH协议。

    缺省情况下,空配置设备SSH服务器兼容低版本功能处于未使能状态;由低版本升级到高版本的设备,SSH服务器兼容低版本功能与配置文件中的配置保持一致。
    说明:

    如果SSH服务器使能兼容低版本功能,系统会提示存在安全风险。

  13. (可选)执行命令ssh server-source -i loopback interface-number,配置SSH服务器的源接口。

    缺省情况下,未指定SSH服务器端的源接口。

    配置SSH服务器的源接口可以屏蔽设备的管理IP地址,从而保护设备安全。

    说明:

    指定SSH服务器端的源接口前,必须已经成功创建LoopBack接口,并且需保证客户端到LoopBack接口地址路由可达,否则会导致本配置无法成功执行。

下载文档
更新时间:2018-10-24

文档编号:EDOC1000141359

浏览量:22167

下载量:49

平均得分:
本文档适用于这些产品

相关版本

相关文档

Share
上一页 下一页