Trước đây, tôi đã viết về cách bạn có thể bật quyền truy cập SSH vào bộ chuyển mạch Cisco của mình^{(how you can enable SSH access to your Cisco switch)} bằng cách bật cài đặt trong giao diện GUI^(GUI) . Điều này thật tuyệt nếu bạn muốn truy cập CLI chuyển đổi của mình qua một kết nối được mã hóa, nhưng nó vẫn chỉ dựa vào tên người dùng và mật khẩu.

Nếu bạn đang sử dụng công tắc này trong một mạng nhạy cảm cao cần được bảo mật rất cao, thì bạn có thể muốn xem xét bật xác thực khóa công khai cho kết nối SSH của mình. ^(SSH)Trên thực tế, để bảo mật tối đa, bạn có thể bật tên người dùng / mật khẩu và xác thực khóa công khai để truy cập vào công tắc của mình.

Trong bài viết này, tôi sẽ chỉ cho bạn cách bật xác thực khóa công khai trên bộ chuyển mạch SG300 của Cisco^{(SG300 Cisco)} và cách tạo các cặp khóa công khai và riêng tư bằng puTTYGen. Sau đó, tôi sẽ chỉ cho bạn cách đăng nhập bằng các khóa mới. Ngoài ra, tôi sẽ chỉ cho bạn cách định cấu hình nó để bạn có thể chỉ sử dụng khóa để đăng nhập hoặc buộc người dùng nhập tên người dùng / mật khẩu cùng với việc sử dụng khóa riêng tư.

Lưu ý: Trước khi bạn bắt đầu hướng dẫn này, hãy đảm bảo rằng bạn đã bật dịch vụ SSH trên switch, mà tôi đã đề cập trong bài viết trước được liên kết ở trên. ^{(Note: Before you get started on this tutorial, make sure you have already enabled the SSH service on the switch, which I mentioned in my previous article linked above. )}

Bật xác thực người dùng SSH^{(SSH User Authentication)} bằng khóa công khai^{(Public Key)}

Nhìn chung, quy trình để xác thực khóa công khai hoạt động cho SSH rất đơn giản. Trong ví dụ của tôi, tôi sẽ chỉ cho bạn cách bật các tính năng bằng GUI dựa trên web . Tôi đã cố gắng sử dụng giao diện CLI để kích hoạt xác thực khóa công khai, nhưng nó không chấp nhận định dạng cho khóa RSA^(RSA) riêng tư của tôi .

Khi tôi làm việc đó, tôi sẽ cập nhật bài đăng này với các lệnh CLI sẽ thực hiện những gì chúng ta sẽ làm thông qua GUI bây giờ. Đầu tiên^(First) , nhấp vào Bảo mật^(Security) , sau đó đến Máy chủ SSH^{( SSH Server)} và cuối cùng là Xác thực người dùng SSH^{( SSH User Authentication)} .

Trong ngăn bên phải, hãy tiếp tục và chọn hộp Bật bên cạnh Xác thực người dùng SSH bằng Khóa công khai^{( Enable box next to SSH User Authentication by Public Key)} . Nhấp vào nút Áp dụng^(Apply) để lưu các thay đổi. Đừng^(Don) chọn nút Bật^(Enable) bên cạnh Đăng nhập tự động^{(Automatic login)} vì tôi sẽ giải thích thêm về điều đó.

Bây giờ chúng ta phải thêm một tên người dùng SSH . Trước khi thêm người dùng, trước tiên chúng ta phải tạo khóa công khai và riêng tư. Trong ví dụ này, chúng ta sẽ sử dụng puTTYGen, một chương trình đi kèm với puTTY.

Tạo khóa riêng tư và khóa công khai

Để tạo khóa, hãy tiếp tục và mở puTTYGen trước. Bạn sẽ thấy một màn hình trống và bạn thực sự không cần phải thay đổi bất kỳ cài đặt nào từ các cài đặt mặc định được hiển thị bên dưới.

Nhấp vào nút Tạo^(Generate) và sau đó di chuyển chuột của bạn xung quanh vùng trống cho đến khi thanh tiến trình đi ngang qua.

Sau khi tạo khóa, bạn cần nhập cụm mật khẩu, về cơ bản, cụm mật khẩu này giống như mật khẩu để mở khóa.

Bạn nên sử dụng một cụm mật khẩu dài để bảo vệ khóa khỏi các cuộc tấn công bạo lực. Khi bạn đã nhập hai lần cụm mật khẩu, bạn nên nhấp vào nút Lưu khóa công khai^{(Save public key)} và Lưu khóa cá nhân^{(Save private key)} . Đảm bảo rằng các tệp này được lưu ở một vị trí an toàn, tốt nhất là trong một vùng chứa được mã hóa thuộc một số loại yêu cầu mật khẩu để mở. Hãy xem bài đăng của tôi về cách sử dụng VeraCrypt để tạo một tập đĩa được mã hóa^{(VeraCrypt to create an encrypted volume)} .

Thêm người dùng và khóa

Bây giờ quay lại màn hình  Xác thực người dùng SSH^{( SSH User Authentication)} mà chúng ta đã ở trước đó. Đây là nơi bạn có thể chọn từ hai tùy chọn khác nhau. Đầu tiên, vào Quản trị^{(Administration)} - Tài khoản Người dùng^{( User Accounts)} để xem bạn hiện có những tài khoản nào để đăng nhập.

Như bạn có thể thấy, tôi có một tài khoản gọi là akishore để truy cập công tắc của tôi. Hiện tại , tôi có thể sử dụng tài khoản này để truy cập ^(Currently)GUI dựa trên web và CLI . Quay lại^(Back) trang Xác thực Người dùng SSH^{(SSH User Authentication)} , người dùng bạn cần thêm vào Bảng Xác thực Người dùng SSH (bằng Khóa Công khai)^{(SSH User Authentication Table (by Public Key))}  có thể giống với những gì bạn có trong Quản trị - Tài khoản Người dùng^{(Administration – User Accounts)} hoặc khác.

Nếu bạn chọn cùng một tên người dùng, thì bạn có thể chọn nút Bật trong ^(Enable)Đăng nhập tự động^{(Automatic Login)} và khi bạn đăng nhập vào công tắc, bạn chỉ cần nhập tên người dùng và mật khẩu cho khóa cá nhân và bạn sẽ đăng nhập .

Nếu bạn quyết định chọn một tên người dùng khác tại đây, thì bạn sẽ nhận được lời nhắc trong đó bạn phải nhập tên người dùng và mật khẩu khóa cá nhân SSH , sau đó bạn sẽ phải nhập tên người dùng và mật khẩu thông thường của mình (được liệt kê trong ^(SSH)Quản trị viên - Tài khoản^{(Admin – User Accounts)} người dùng ) . Nếu bạn muốn tăng cường bảo mật, hãy sử dụng tên người dùng khác, nếu không chỉ cần đặt tên giống với tên hiện tại của bạn.

Nhấp^(Click) vào nút Thêm^(Add) và bạn sẽ thấy cửa sổ Thêm người dùng SSH^{(Add SSH User)} bật lên.

Đảm bảo Loại khóa^{(Key Type)} được đặt thành RSA , sau đó tiếp tục và mở tệp khóa SSH công khai mà bạn đã lưu trước đó bằng một chương trình như Notepad . Sao chép toàn bộ nội dung và dán vào cửa sổ Khóa công khai . ^{(Public Key)}Nhấp vào Áp dụng^(Apply) và sau đó nhấp vào Đóng^(Close) nếu bạn nhận được thông báo Thành công^(Success) ở trên cùng.

Đăng nhập bằng khóa cá nhân

Bây giờ tất cả những gì chúng ta phải làm là đăng nhập bằng khóa riêng và mật khẩu của mình. Tại thời điểm này, khi bạn cố gắng đăng nhập, bạn sẽ cần nhập thông tin đăng nhập hai lần: một lần cho khóa cá nhân và một lần cho tài khoản người dùng bình thường. Khi chúng tôi bật đăng nhập tự động, bạn chỉ cần nhập tên người dùng và mật khẩu cho khóa cá nhân và bạn sẽ đăng nhập.

Mở puTTY và nhập địa chỉ IP của công tắc của bạn vào hộp Tên máy chủ^{( Host Name)} như bình thường. Tuy nhiên, lần này, chúng tôi cũng cần phải tải khóa riêng tư vào puTTY. Để thực hiện việc này, hãy mở rộng Kết nối^(Connection) , sau đó mở rộng SSH và sau đó nhấp vào Xác^(Auth) thực .

Nhấp vào nút Duyệt qua ^(Browse)tệp khóa riêng tư để xác thực^{(Private key file for authentication)} và chọn tệp khóa cá nhân mà bạn đã lưu từ puTTY trước đó. Bây giờ hãy nhấp vào nút Mở^(Open) để kết nối.

Lời nhắc đầu tiên sẽ là đăng nhập^{(login as)} và đó phải là tên người dùng bạn đã thêm dưới người dùng SSH . Nếu bạn đã sử dụng cùng tên người dùng với tài khoản người dùng chính của mình, thì điều đó sẽ không thành vấn đề.

Trong trường hợp của tôi, tôi đã sử dụng akishore cho cả hai tài khoản người dùng, nhưng tôi đã sử dụng các mật khẩu khác nhau cho khóa cá nhân và cho tài khoản người dùng chính của mình. Nếu muốn, bạn cũng có thể tạo các mật khẩu giống nhau, nhưng thực sự không có ích gì khi làm điều đó, đặc biệt nếu bạn bật đăng nhập tự động.

Bây giờ nếu bạn không muốn phải đăng nhập hai lần để vào công tắc, hãy chọn hộp Bật^(Enable) bên cạnh Đăng nhập tự động^{( Automatic login)} trên trang Xác thực người dùng SSH^{(SSH User Authentication)} .

Khi điều này được bật, bây giờ bạn chỉ cần nhập thông tin đăng nhập cho người dùng SSH và bạn sẽ đăng nhập.

Nó hơi phức tạp, nhưng sẽ có ý nghĩa khi bạn chơi với nó. Giống như tôi đã đề cập trước đó, tôi cũng sẽ viết ra các lệnh CLI khi tôi có thể nhận được khóa riêng ở định dạng thích hợp. Làm theo hướng dẫn ở đây, việc truy cập công tắc của bạn qua SSH bây giờ sẽ an toàn hơn rất nhiều. Nếu bạn gặp sự cố hoặc có câu hỏi, hãy đăng trong phần nhận xét. Vui thích!

Enable Public Key Authentication for SSH on Cisco SG300 Switches

Previously, I wrote about how you can enable SSH access to your Cisco switch by enabling the setting in the GUI interface. This is great if you want to access your switch CLI over an encrypted connection, but it still relies on just a username and password.

If you are using this switch in a highly sensitive network that needs to be very secure, then you might want to consider enabling public key authentication for your SSH connection. Actually, for maximum security, you can enable a username/password and public key authentication for access to your switch.

In this article, I’ll show you how to enable public key authentication on an SG300 Cisco switch and how to generate the public and private key pairs using puTTYGen. I’ll then show you how to login using the new keys. In addition, I’ll show you how to configure it so that you can either use just the key to login or force the user to type in a username/password along with using the private key.

Note: Before you get started on this tutorial, make sure you have already enabled the SSH service on the switch, which I mentioned in my previous article linked above. 

Enable SSH User Authentication by Public Key

Overall, the process for getting public key authentication to work for SSH is straightforward. In my example, I’ll show you how to enable the features using the web-based GUI. I tried to use the CLI interface to enable public key authentication, but it would not accept the format for my private RSA key.

Once I get that working, I’ll update this post with the CLI commands that will accomplish what we will do through the GUI for now. First, click on Security, then SSH Server and finally SSH User Authentication.

In the right-hand pane, go ahead and check the Enable box next to SSH User Authentication by Public Key. Click the Apply button to save the changes. Don’t check the Enable button next to Automatic login just yet as I’ll explain that further down.

Now we have to add a SSH user name. Before we get into adding the user, we first have to generate a public and private key. In this example, we’ll be using puTTYGen, which is a program that comes with puTTY.

Generate Private and Public Keys

To generate the keys, go ahead and open puTTYGen first. You’ll see a blank screen and you really shouldn’t have to change any of the settings from the defaults shown below.

Click on the Generate button and then move your mouse around the blank area until the progress bar go all the way across.

Once the keys have been generated, you need to type in a passphrase, which is basically like a password to unlock the key.

It’s a good idea to use a long passphrase to protect the key from brute-force attacks. Once you have typed in the passphrase twice, you should click the Save public key and Save private key buttons. Make sure these files are saved in a secure location, preferably in an encrypted container of some sort that requires a password to open. Check out my post on using VeraCrypt to create an encrypted volume.

Add User & Key

Now back to the SSH User Authentication screen we were on earlier. Here’s where you can choose from two different options. Firstly, go to Administration – User Accounts to see what accounts you currently have for login.

As you can see, I have one account called akishore for accessing my switch. Currently, I can use this account to access the web-based GUI and the CLI. Back on the SSH User Authentication page, the user you need to add to the SSH User Authentication Table (by Public Key) can either be the same as what you have under Administration – User Accounts or different.

If you choose the same user name, then you can check the Enable button under Automatic Login and when you go to log into the switch, you’ll simply have to type the username and password for the private key and you’ll be logged in.

If you decide to choose a different username here, then you will get a prompt where you have to enter the SSH private key user name and password and then you’ll have to enter your normal username and password (listed under Admin – User Accounts). If you want the extra security, use a different username, otherwise just name it the same as your current one.

Click the Add button and you’ll get the Add SSH User window pop up.

Make sure the Key Type is set to RSA and then go ahead and open your public SSH key file that you saved earlier using a program like Notepad. Copy the entire contents and paste it into the Public Key window. Click Apply and then click Close if you get a Success message at the top.

Login Using Private Key

Now all we have to do is login using our private key and password. At this point, when you try to login, you’ll need to enter login credentials twice: once for the private key and once for the normal user account. Once we enable automatic login, you’ll just have to enter the username and password for the private key and you’ll be in.

Open puTTY and enter in the IP address of your switch in the Host Name box as usual. However, this time, we’ll need to load up the private key into puTTY also. To do this, expand Connection, then expand SSH and then click on Auth.

Click on the Browse button under Private key file for authentication and select the private key file you saved out of puTTY earlier. Now click the Open button to connect.

The first prompt will be login as and that should be the username you added under SSH users. If you used the same username as your main user account, then it won’t matter.

In my case, I used akishore for both user accounts, but I used different passwords for the private key and for my main user account. If you like, you can make the passwords the same too, but there’s no point in really doing that, especially if you enable automatic login.

Now if you don’t want to have to double login to get into the switch, check the Enable box next to Automatic login on the SSH User Authentication page.

When this is enabled, you’ll now just have to type in the credentials for the SSH user and you’ll be logged in.

It’s a bit complicated, but makes sense once you play around with it. Like I mentioned earlier, I’ll also write out the CLI commands once I can get the private key in the proper format. Following the instructions here, accessing your switch via SSH should be a lot more secure now. If you run into problems or have questions, post in the comments. Enjoy!

Related posts

• Cách bật quyền truy cập SSH cho thiết bị chuyển mạch Cisco SG300

• Cách tắt khóa Windows

• Cách SSH hoặc SFTP vào Raspberry Pi của bạn

• Cách bật xác thực Steam Guard

• Lấy khóa bảo mật mạng không dây của bạn trong Windows

• Cách chuyển đổi một đĩa động thành một đĩa cơ bản

• Cách chuyển đổi hình ảnh WEBP sang JPG, GIF hoặc PNG

• Cách xem các trang và tệp được lưu trong bộ nhớ đệm từ trình duyệt của bạn

• Cách chụp ảnh màn hình trên Nintendo Switch

• Cách thiết lập các trang chính trong Adobe InDesign CC

• Cách sử dụng Chromebook của bạn làm màn hình thứ hai

• Cách thực hiện kiểm tra độ căng của CPU

• Cách bảo vệ bằng mật khẩu cho tệp PDF để giữ an toàn

• Cách thay đổi màu nền trên Google Documents

• Tạo ứng dụng Gmail dành cho máy tính để bàn với 3 ứng dụng email này

• Đánh giá sách - Hướng dẫn cách sử dụng Windows 8

• Cách tải xuống trình cài đặt Google Chrome ngoại tuyến (độc lập)

• Cách xây dựng máy tính xách tay của riêng bạn

• Cách tạo nhóm trong Microsoft Teams

• Cách quét nhiều trang vào một tệp PDF