ssh (System Services)

Permita que um usuário crie um túnel SSH em uma sessão de CLI para uma plataforma Junos OS desagregada usando SSH.

A partir do Junos OS Release 22.2R1, desabilitamos o recurso de encaminhamento de TCP por padrão para aumentar a segurança. Para habilitar o recurso de encaminhamento de TCP, você pode configurar a allow-tcp-forwarding declaração no nível [edit system services ssh] de hierarquia. Além disso, depreciamos as declarações e no-tcp-forwarding as tcp-forwarding declarações no nível [edit system services ssh] da hierarquia.

Configure a ordem em que o software tenta diferentes métodos de autenticação de usuários ao tentar autenticar um usuário. Para cada tentativa de login, o software tenta os métodos de autenticação em ordem, começando pelo primeiro, até que a senha corresponda.

• Padrão: Se você não incluir a declaração, os authentication-order usuários serão verificados com base em suas senhas configuradas.

• Sintaxe: Especifique um ou mais dos seguintes métodos de autenticação listados na ordem em que devem ser julgados:

  • ldaps— Use serviços de autenticação LDAP.

  • password— Use a senha configurada para o usuário com a authentication declaração no nível de [edit system login user] hierarquia.

  • radius— Use serviços de autenticação RADIUS.

  • tacplus— Use serviços de autenticação TACACS+.

Especifique uma string de comando a ser usada para procurar as chaves públicas do usuário.

Especifique o usuário em cuja conta o comando de chaves autorizado é executado.

Especifique uma lista de diretores que podem ser aceitos para autenticaaiton. Os diretores adicionados por este comando são suplementares aos diretores adicionados com o authorized-principals-file comando.

Configure o AuthorizedPrincipals arquivo em /var/etc, para autenticação baseada em certificado SSH. Este arquivo contém uma lista de nomes, um dos quais deve aparecer no certificado para que ele seja aceito para autenticação.

Especifique um programa a ser usado para gerar a lista de diretores de certificados permitidos encontrados no arquivo para autenticação baseada em AuthorizedPrincipals certificadoS SSH.

Especifique o conjunto de cifras que o servidor SSH pode usar para executar funções de criptografia e descriptografia.

• Valores: Especifique uma ou mais das seguintes cifras:

  • 3des-cbc— Padrão triplo de criptografia de dados (DES) no modo Depher Block Chaining (CBC).

  • aes128-cbc— Advanced Encryption Standard (AES) de 128 bits no modo CBC.

  • aes128-ctr— AES de 128 bits no modo contador.

  • aes128-gcm@openssh.com— AES de 128 bits no modo Galois/Counter.

  • aes192-cbc— AES de 192 bits no modo CBC.

  • aes192-ctr— AES de 192 bits no modo contador.

  • aes256-cbc— AES de 256 bits no modo CBC.

  • aes256-ctr— AES de 256 bits no modo balcão.

  • aes256-gcm@openssh.com— AES de 256 bits no modo Galois/Counter.

  • chacha20-poly1305@openssh.com— Cifra de fluxo ChaCha20 e Poly1305 MAC.

Configure o número de mensagens vivas do cliente que podem ser enviadas sem que o sshd receba mensagens de volta do cliente. Se esse limite for atingido enquanto as mensagens vivas do cliente estiverem sendo enviadas, o sshd desconectará o cliente, encerrando a sessão. As mensagens de cliente vivo são enviadas pelo canal criptografado. Use em conjunto com a declaração de intervalo vivo do cliente para desconectar clientes SSH sem resposta.

• Padrão: 3 mensagens

• Intervalo: 0 a 255 mensagens

Configure um intervalo de tempo limite em segundos, após o qual, se nenhum dados tiver sido recebido do cliente, o sshd enviará uma mensagem pelo canal criptografado para solicitar uma resposta do cliente. Essa opção se aplica apenas ao protocolo SSH versão 2. Use em conjunto com a declaração máxima de contagem viva do cliente para desconectar clientes SSH sem resposta.

• Padrão: 0 segundos

• Intervalo: 1 a 65535 segundos

Especifique o algoritmo de hash usado pelo servidor SSH quando ele exibe as principais impressões digitais.

• Valores: Especifique um dos seguintes:

  • md5 — permita que o servidor SSH use o algoritmo MD5.

  • sha2-256 — permita que o servidor SSH use o algoritmo sha2-256.

• Padrão: sha2-256

Configure o HostCertificate arquivo em /etc/ssh/sshd_config para autenticação baseada em certificadoSSH. Este arquivo contém o certificado de host assinado.

Habilite o Junos OS para registrar as chaves SSH autorizadas. Quando a log-key-changes declaração é configurada e comprometida, o Junos OS registra as alterações no conjunto de chaves SSH autorizadas para cada usuário (incluindo as chaves que foram adicionadas ou removidas). O Junos OS registra as diferenças desde a última vez que a log-key-changes declaração foi configurada. Se a log-key-changes declaração nunca foi configurada, o Junos OS registra todas as chaves SSH autorizadas.

• Padrão: O Junos OS registra todas as chaves SSH autorizadas.

Especifique o conjunto de algoritmos de código de autenticação de mensagem (MAC) que o servidor SSH pode usar para autenticar mensagens.

• Valores: Especifique um ou mais dos seguintes algoritmos MAC para autenticar mensagens:

  • hmac-md5— MAC baseado em hash usando Message-Digest 5 (MD5)

  • hmac-md5-96— 96 bits de MAC baseado em hash usando MD5

  • hmac-md5-96-etm@openssh.com— 96 bits de Encrypt-then-MAC baseado em hash usando MD5

  • hmac-md5-etm@openssh.com— Encrypt-then-MAC baseado em hash usando MMD5

  • hmac-sha1— MAC baseado em hash usando algoritmo de hash seguro-1 (SHA-1)

  • hmac-sha1-96— 96 bits de MAC baseado em hash usando SHA-1

  • hmac-sha1-96-etm@openssh.com— 96 bits de Encrypt-then-MAC baseado em hash usando SHA-1

  • hmac-sha1-etm@openssh.com— Encrypt-then-MAC baseado em hash usando SHA-1

  • hmac-sha2-256— 256 bits de MAC baseado em hash usando algoritmo de hash seguro-2 (SHA-2)

  • hmac-sha2-256-etm@openssh.com— Encrypt-then-Mac baseado em hash usando SHA-2

  • hmac-sha2-512— 512 bits de MAC baseado em hash usando SHA-2

  • hmac-sha2-512-etm@openssh.com— Encrypt-then-Mac baseado em hash usando SHA-2

  • umac-128-etm@openssh.com— Criptografe-então-MAC usando algoritmo UMAC-128 especificado em RFC4418

  • umac-128@openssh.com— algoritmo UMAC-128 especificado em RFC4418

  • umac-64-etm@openssh.com— Criptografe-então-MAC usando algoritmo UMAC-64 especificado em RFC4418

  • umac-64@openssh.com— algoritmo UMAC-64 especificado em RFC4418

Defina o número máximo de pacotes SSH de pré-autenticação que o servidor SSH aceitará antes da autenticação do usuário.

• Intervalo: de 20 a 2147483647 pacotes

• Padrão: 128 pacotes

Especifique o número máximo de sessões de ssh permitidas por uma única conexão SSH.

• Intervalo: 1 a 65535 sessões

• Padrão: 10 sessões

Desativar métodos de autenticação baseados em desafio de SSH.

Desativar métodos de autenticação baseados em senha SSH.

Desativar a autenticação baseada em senha e baseada em desafios para SSH.

Desativar o sistema de autenticação de chave pública em todo o sistema. Se você especificar a declaração sem chaves públicas no nível de hierarquia [editar login do sistema user-name ] hierarquia, você desativa a autenticação de chave pública para um usuário específico.

Especifique o número de porta para aceitar conexões SSH de entrada.

• Padrão: 22

• Intervalo: 1 a 65535

Especifique a versão de protocolo Secure Shell (SSH).

A partir do Junos OS Release 19.3R1 e Junos OS Release 18.3R3, em todos os dispositivos da Série SRX, removemos a opção de protocolo SSH não seguro versão 1 (v1) do nível de hierarquia.edit system services ssh protocol-version Você pode usar o protocolo SSH versão 2 (v2) como a opção padrão para gerenciar sistemas e aplicativos remotamente. Com a opção preterida, o v1 Junos OS é compatível com o OpenSSH 7.4 e versões posteriores.

Os lançamentos do Junos OS antes do 19.3R1 e 18.3R3 continuam a oferecer suporte à opção v1 de gerenciar sistemas e aplicativos remotamente.

• Padrão: v2 — O protocolo SSH versão 2 é o padrão, introduzido no Junos OS Release 11.4.

Configure o número máximo de tentativas de conexão por minuto, por protocolo (IPv6 ou IPv4) em um serviço de acesso. Por exemplo, um limite de taxa de 10 permite 10 tentativas de conexão de sessão SSH IPv6 por minuto e 10 tentativas de conexão de sessão SSH IPv4 por minuto.

• Intervalo: 1 a 250 conexões

• Padrão: 150 conexões

Especifique os limites antes que as chaves da sessão sejam desafinadas.

Controle o acesso do usuário através do SSH.

• permitir — permitir que os usuários façam login no dispositivo como raiz através do SSH.

• negar — desativar os usuários de fazer login no dispositivo como raiz através do SSH.

• negar senha — permita que os usuários façam login no dispositivo como raiz através do SSH quando o método de autenticação (por exemplo, autenticação RSA) não requer uma senha.

• Padrão: deny-password é o padrão para a maioria dos sistemas.

  A partir do lançamento do Junos 17.4R1 para roteadores da Série MX, o padrão para login raiz é deny. Em versões anteriores do Junos OS, a configuração padrão para mX240, MX480, MX960, MX2010 e MX2020 foi allow.

Habilite conexões de SSH File Transfer Protocol (SFTP) de entrada em todo o mundo. Ao configurar a sftp-server declaração, você permite que dispositivos autorizados se conectem ao dispositivo por meio do SFTP. Se a sftp-server declaração não estiver presente na configuração, o SFTP será desativado globalmente e nenhum dispositivo pode se conectar ao dispositivo por meio do SFTP.

Configure o TrustedUserCAKey arquivo em /etc/ssh/sshd_config para autenticação baseada em certificadoSSH. Este arquivo contém as chaves públicas de um certificado SSH.