ssh登录及网络设备加固实验

最新推荐文章于 2024-04-27 23:02:30 发布
最新推荐文章于 2024-04-27 23:02:30 发布
阅读量985 收藏 17
点赞数 18
分类专栏: 网络技术 文章标签: ssh 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43796436/article/details/136953128
版权

1.ssh登录

1)首先把网络搞通

AR1 :

interface GigabitEthernet0/0/0
 ip address 192.168.1.1 255.255.255.0 

ssh客户端

2)生成ssh密钥

rsa local-key-pair create //生成一个RSA的密钥对 (RSA是非对称加密算法)

3) AR1 配置ssh用户名口令

aaa下添加用户 (版本可能不同)

local-user djcp password cipher Huawei@123  

local-user djcp privilege level 3  //给新账户权限级别 3-15 基本为最高权限

local-user djcp service-type terminal ssh   //该账户支持登录方式 同时支持consloe 和stelnet

4)虚拟终端下补充配置 

user-interface con 0
 authentication-mode aaa //consloe 登录界面的验证方式为aaa 使用aaa下的账号口令
user-interface vty 0 4
 authentication-mode aaa  //虚拟终端登录界面的验证方式为aaa 使用aaa下的账号口令
 user privilege level 15 //用户权限为15级
 protocol inbound ssh  //启用入站协议 ssh 
user-interface vty 16 20


 5)ssh 客户端配置

ssh client first-time enable //,用于使能SSH客户端的首次认证功能。当SSH客户端首次访问SSH服务器,而SSH客户端没有配置SSH服务器端的公钥时,用户可以选择使用这个命令来继续访问该SSH服务器,并在SSH客户端保存该主机的公钥。这样,当SSH客户端下次访问该SSH服务器时,就可以使用之前保存的主机公钥来进行认证。

6)登录设备 AR1

[Huawei]stelnet 192.168.1.1
这条命令表示从华为设备上启动SSH(通常称为stelnet在华为设备上)会话,尝试连接到IP地址为192.168.1.1的远程设备。

Please input the username:djcp
提示输入用户名,用户输入了djcp作为用户名。

Trying 192.168.1.1 ...
开始尝试连接到远程服务器。

Press CTRL+K to abort
提示用户如果需要中止连接,可以按CTRL+K

Connected to 192.168.1.1 ...
表示已成功建立到远程服务器的连接。

The server is not authenticated. Continue to access it? (y/n)[n]:y
客户端提示用户远程服务器尚未经过认证,询问是否继续访问。用户选择了继续(输入了y)。

Mar 22 2024 22:33:09-08:00 Huawei %%01SSH/4/CONTINUE_KEYEXCHANGE(l)[0]:The server had not been authenticated in the process of exchanging keys. When deciding whether to continue, the user chose Y.
这是系统日志条目,记录了在密钥交换过程中,服务器未经认证,但用户选择继续。

[Huawei]
成功登录后,提示符变为[Huawei],表示用户现在处于远程设备的命令行接口。

Save the server's public key? (y/n)[n]:y
询问用户是否要保存服务器的公钥以便将来可以自动验证服务器的身份。用户选择了保存(输入了y)。

The server's public key will be saved with the name 192.168.1.1. Please wait...
通知用户服务器的公钥将以IP地址192.168.1.1的名称保存,并提示用户稍候。

Mar 22 2024 22:33:12-08:00 Huawei %%01SSH/4/SAVE_PUBLICKEY(l)[1]:When deciding whether to save the server's public key 192.168.1.1, the user chose Y.

这是另一条系统日志条目,记录了用户选择保存服务器的公钥

ssh 客户端保存的公钥

2.安全加固

1)超时登录退出

ssh服务器

user-interface vty 0 4

idle-timeout 10

2)密码复杂度:(有些设备可能是缺省配置)

Password-control enable //开启全局密码管理功能

password-control length 8  //设置密码最小长度为 8

password-control composition type-length 1 type-number 4 //

  • type-length 1 表示密码中每种字符类型的最小长度为1。这通常不是一个很强的密码策略,因为它允许密码只包含一种类型的字符(例如,全部是小写字母)。
  • type-number 4 表示密码必须包含4种不同类型的字符。在华为设备上,通常的字符类型包括小写字母、大写字母、数字和特殊字符。

password-policy policy-name  

password-expire 90 days // 方法是这个方法 实际好不好用 不知道 反正模拟器不支持 真机没见有人做过配置。
 

password-control alert-before-expire 10 设定密码过期 前的提醒时间为10天

最后配置ACL 限制ssh登录地址范围 为主机级

未做限制可以正常登录

通过ACL 限制AR3登录

acl 3000

rule 0 permit ip source 192.168.1.2 0.0.0.0

rule 5 deny ip

实验效果 :

未完 没有后续了

Mr浪子
关注
  • 18
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
华三H3C实现telnet登录--密码长度问题解决
qq_52867389的博客
07-31 2404
显示类型不够,每个类型长度也不够:Invalid password composition. The new password must contain at least 2 types and at least 1 characters for each type.显示密码长度不够:The new password is too short. It must contain at least 10 characters.## 配置VTY接口认证模式为scheme模式(用户名+密码认证)
网络设备加固
m0_55634684的博客
04-25 1092
针对网络设备中出现的问题,我们依次来进行一个安全加固; 本次我们需要用到的工具为Huawei的eNSP模拟器,1台华为交换机S5700;我们先来搭建一个极其简单的拓扑图,如下 OK,我们下面就针对如下问题来进行安全加固 a)设备存在弱口令 先查看: (务必记住,我们要先进入全局模式,否则有些命令,系统是不显示的, Huawei的命令是system ,Cisco的命令是enable) 我们看到账户admin的口令为弱口令,且为明文存储; 加固: b-1)未配置登录失败处理策略 直接加固: b-2)未合
【收藏】网络设备安全加固规范
ghwzjz的博客
06-22 2009
网络设备安全加固
1 Linux SSH安全加固_linux system-auth
最新发布
2401_83974173的博客
04-27 648
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
linux|奇怪的知识---账号安全加固ssh安全加固
zsk_john的技术分享专用博客
02-28 3317
一般情况下,我们对于账号的安全是比较随意的,因为在生产环境里,基本都是使用堡垒机这样的带有安全审计功能的工具对各个主机进行监控,管理,并且结合prometheus,zabbix等等其它监控软件,会对主机的一个整体概况有一个直观的感受。 OK,如果堡垒机什么的任意一个点被持有恶意的人攻破,那么,无疑是会引发数据泄露的,因此,我们需要从根源上对主机做安全加固,比如, 操作系统内的所有用户的密码设定复杂度,例如,密码长度不低于8位,必须带有大小写和特殊符号至少一个,密码不得设定为常用字,例如,不得设置syst
Zabbix如何通过ssh监控获取网络设备数据
09-29
在某些情况下,当网络设备不支持SNMP协议或者没有可用的OID文件时,可以通过SSH(Secure Shell)来远程访问设备并收集数据。本文将详细介绍如何配置Zabbix以通过SSH监控网络设备的数据。 首先,我们需要理解SSH监控...
华为网络设备加固基线命令配置
10-14
配置用户连续认证失败次数上限 : 华为交换机S5730S系列: [SW]aaa [SW]local-aaa-user wrong-password retry-interval 5 retry-time 5 block-time 5... //设置ssh账号密码输入失败次数为5次,加入黑名单时间为5mins
基于Java和SSH框架的实验室设备管理系统设计源码
04-09
本资源提供了一整套基于Java语言和SSH(Spring, Struts2, Hibernate)框架开发的实验室设备管理系统设计源码。项目包含62个Java源文件、8个PNG图像文件、2个XML配置文件、2个properties配置文件、2个文本文件、2个...
SSH服务及登录管理服务
12-03
SSH服务及登录管理服务
网络安全——【收藏】网络设备安全加固规范
Jay
12-19 1154
如非要采用HTTP服务,要求对HTTP服务进行严格的控制,如果必须选择使用HTTP进行管理,最好用ip http access-class命令限定访问地址且用ip http authentication命令配置认证,修改HTTP的默认端口。路由器以UDP/TCP协议对外提供服务,供外部主机进行访问,如作为NTP服务器、TELNET服务器、TFTP服务器、FTP服务器、SSH服务器等,应配置路由器,只允许特定主机访问。出现问题时,对设备的维护工作仍可正常进行,建议保留必要的维护用户。
cisco网络设备加固规范
03-07
cisco网络设备加固规范,系统加固规范,系统漏洞检查指导
Linux下限制SSH登陆以及密码策略
10-17
教你如何限制使用SSH登陆操作系统,以及密码策略的安全设置!
Juniper SRX密码复杂度、尝试登陆等相关设置
吐蕃-鸠摩智的博客
08-16 2009
Juniper SRX密码复杂度、尝试登陆等相关设置
firewall-cmd(常用的防火墙命令详解)
weixin_48692664的博客
11-16 1万+
防火墙(计算机术语) 防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。 防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。 安装服务 #安装firewalld yum
网络设备的安全加固
weixin_33813128的博客
03-23 2605
设备的安全始终是信息网络安全的一个重要方面,***者往往通过控制网络中设备来破坏系统和信息,或扩大已有的破坏。网络设备包括主机(服务器、工作站、PC)和网络设施(交换机、路由器等)。   一般说来,一次网络***的成功与否取决于三个因素:***者的能力(capability);***者的动机(motivation);***者的机会(opportunity)。正常情况下...
CentOS7登录安全修复——密码复杂度-登录限制-root限制登录
yang18600的博客
12-29 7605
CentOS7登录安全修复——密码复杂度-登录限制-root限制登录
Ubuntu修改密码及密码复杂度策略设置方法
szgyunyun的博客
02-11 1万+
版本查看 cat /etc/issue cat /proc/version 内核查看 uname -a Ubuntu修改密码及密码复杂度策略设置方法 一、修改密码 1、修改普通用户密码 passwd 2、修改root用户密码 sudo passwd root 默认root用户被禁止登录,如果需要解除限制,修改配置即可 sudo vim /etc/ssh/sshd_config 将默认配置注释掉,添加一行新的配置,默认的配置为允许root登录,但是禁止root用密码登录 将默认配置注释掉,添加一行新
linux下设置密码复杂度限制的两种方法
热门推荐
11-19 3万+
注意:root用户并不会受这些限制,它可以设置任意的密码。 在linux,设置密码复杂度的方法有几个 1. 一个是在/etc/login.defs文件,里面几个选项 PASS_MAX_DAYS 90 #密码最长过期天数 PASS_MIN_DAYS 80 #密码最小过期天数 PASS_MIN_LEN 10 #密码最小长度 PASS_WARN_AGE 7 #密码过期警告天数 2. 另外一个方法是...
Linux 如何设置密码复杂度
爱死亡机器人
02-09 1548
对于 Linux 系统管理员来说,用户管理是最重要的事之一。这涉及到很多因素,实现强密码策略是用户管理的其中一个方面。移步后面的 URL 查看如何 在 Linux 上生成一个强密码。它会限制系统未授权的用户的访问。 所有人都知道 Linux 的默认策略很安全,然而我们还是要做一些微调,这样才更安全。弱密码有安全隐患,因此,请特别注意。移步后面的 URL 查看生成的强密码的密码长度和分值。本文将教你...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值