Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ssh (System Services)

Sintaxe

Nível de hierarquia

Descrição

Permita que as solicitações de SSH de sistemas remotos acessem o dispositivo local.

Opções

allow-tcp-forwarding

Permita que um usuário crie um túnel SSH em uma sessão de CLI para uma plataforma Junos OS desagregada usando SSH.

A partir do Junos OS Release 22.2R1, desabilitamos o recurso de encaminhamento de TCP por padrão para aumentar a segurança. Para habilitar o recurso de encaminhamento de TCP, você pode configurar a allow-tcp-forwarding declaração no nível [edit system services ssh] de hierarquia. Além disso, depreciamos as declarações e no-tcp-forwarding as tcp-forwarding declarações no nível [edit system services ssh] da hierarquia.

authentication-order [method1 method2...]

Configure a ordem em que o software tenta diferentes métodos de autenticação de usuários ao tentar autenticar um usuário. Para cada tentativa de login, o software tenta os métodos de autenticação em ordem, começando pelo primeiro, até que a senha corresponda.

  • Padrão: Se você não incluir a declaração, os authentication-order usuários serão verificados com base em suas senhas configuradas.

  • Sintaxe: Especifique um ou mais dos seguintes métodos de autenticação listados na ordem em que devem ser julgados:

    • ldaps— Use serviços de autenticação LDAP.

    • password— Use a senha configurada para o usuário com a authentication declaração no nível de [edit system login user] hierarquia.

    • radius— Use serviços de autenticação RADIUS.

    • tacplus— Use serviços de autenticação TACACS+.

authorized-keys-command

Especifique uma string de comando a ser usada para procurar as chaves públicas do usuário.

authorized-keys-command-user

Especifique o usuário em cuja conta o comando de chaves autorizado é executado.

authorized-principals principal-names

Especifique uma lista de diretores que podem ser aceitos para autenticaaiton. Os diretores adicionados por este comando são suplementares aos diretores adicionados com o authorized-principals-file comando.

Nota:

As authorized-principals opções e as authorized-principals-command opções são mutuamente exclusivas.

authorized-principals-file filename

Configure o AuthorizedPrincipals arquivo em /var/etc, para autenticação baseada em certificado SSH. Este arquivo contém uma lista de nomes, um dos quais deve aparecer no certificado para que ele seja aceito para autenticação.

authorized-principals-command program-path

Especifique um programa a ser usado para gerar a lista de diretores de certificados permitidos encontrados no arquivo para autenticação baseada em AuthorizedPrincipals certificadoS SSH.

Nota:

As authorized-principals-command opções e as authorized-principals opções são mutuamente exclusivas.

ciphers [ cipher-1 cipher-2 cipher-3 ...]

Especifique o conjunto de cifras que o servidor SSH pode usar para executar funções de criptografia e descriptografia.

Nota:

Cifras representam um conjunto. Para configurar cifras de SSH, use o set comando conforme mostrado no exemplo a seguir:

  • Valores: Especifique uma ou mais das seguintes cifras:

    • 3des-cbc— Padrão triplo de criptografia de dados (DES) no modo Depher Block Chaining (CBC).

    • aes128-cbc— Advanced Encryption Standard (AES) de 128 bits no modo CBC.

    • aes128-ctr— AES de 128 bits no modo contador.

    • aes128-gcm@openssh.com— AES de 128 bits no modo Galois/Counter.

    • aes192-cbc— AES de 192 bits no modo CBC.

    • aes192-ctr— AES de 192 bits no modo contador.

    • aes256-cbc— AES de 256 bits no modo CBC.

    • aes256-ctr— AES de 256 bits no modo balcão.

    • aes256-gcm@openssh.com— AES de 256 bits no modo Galois/Counter.

    • chacha20-poly1305@openssh.com— Cifra de fluxo ChaCha20 e Poly1305 MAC.

client-alive-count-max number

Configure o número de mensagens vivas do cliente que podem ser enviadas sem que o sshd receba mensagens de volta do cliente. Se esse limite for atingido enquanto as mensagens vivas do cliente estiverem sendo enviadas, o sshd desconectará o cliente, encerrando a sessão. As mensagens de cliente vivo são enviadas pelo canal criptografado. Use em conjunto com a declaração de intervalo vivo do cliente para desconectar clientes SSH sem resposta.

  • Padrão: 3 mensagens

  • Intervalo: 0 a 255 mensagens

client-alive-interval seconds

Configure um intervalo de tempo limite em segundos, após o qual, se nenhum dados tiver sido recebido do cliente, o sshd enviará uma mensagem pelo canal criptografado para solicitar uma resposta do cliente. Essa opção se aplica apenas ao protocolo SSH versão 2. Use em conjunto com a declaração máxima de contagem viva do cliente para desconectar clientes SSH sem resposta.

  • Padrão: 0 segundos

  • Intervalo: 1 a 65535 segundos

fingerprint-hash (md5 | sha2-256)

Especifique o algoritmo de hash usado pelo servidor SSH quando ele exibe as principais impressões digitais.

Nota:

A imagem da FIPS não permite o uso de impressões digitais MD5. Em sistemas no modo FIPS, sha2-256 é a única opção disponível.

  • Valores: Especifique um dos seguintes:

    • md5 — permita que o servidor SSH use o algoritmo MD5.

    • sha2-256 — permita que o servidor SSH use o algoritmo sha2-256.

  • Padrão: sha2-256

host-certificate-file filename

Configure o HostCertificate arquivo em /etc/ssh/sshd_config para autenticação baseada em certificadoSSH. Este arquivo contém o certificado de host assinado.

log-key-changes log-key-changes

Habilite o Junos OS para registrar as chaves SSH autorizadas. Quando a log-key-changes declaração é configurada e comprometida, o Junos OS registra as alterações no conjunto de chaves SSH autorizadas para cada usuário (incluindo as chaves que foram adicionadas ou removidas). O Junos OS registra as diferenças desde a última vez que a log-key-changes declaração foi configurada. Se a log-key-changes declaração nunca foi configurada, o Junos OS registra todas as chaves SSH autorizadas.

  • Padrão: O Junos OS registra todas as chaves SSH autorizadas.

macs [algorithm1 algorithm2...]

Especifique o conjunto de algoritmos de código de autenticação de mensagem (MAC) que o servidor SSH pode usar para autenticar mensagens.

Nota:

A macs declaração de configuração representa um conjunto. Portanto, ela deve ser configurada da seguinte forma:

  • Valores: Especifique um ou mais dos seguintes algoritmos MAC para autenticar mensagens:

    • hmac-md5— MAC baseado em hash usando Message-Digest 5 (MD5)

    • hmac-md5-96— 96 bits de MAC baseado em hash usando MD5

    • hmac-md5-96-etm@openssh.com— 96 bits de Encrypt-then-MAC baseado em hash usando MD5

    • hmac-md5-etm@openssh.com— Encrypt-then-MAC baseado em hash usando MMD5

    • hmac-sha1— MAC baseado em hash usando algoritmo de hash seguro-1 (SHA-1)

    • hmac-sha1-96— 96 bits de MAC baseado em hash usando SHA-1

    • hmac-sha1-96-etm@openssh.com— 96 bits de Encrypt-then-MAC baseado em hash usando SHA-1

    • hmac-sha1-etm@openssh.com— Encrypt-then-MAC baseado em hash usando SHA-1

    • hmac-sha2-256— 256 bits de MAC baseado em hash usando algoritmo de hash seguro-2 (SHA-2)

    • hmac-sha2-256-etm@openssh.com— Encrypt-then-Mac baseado em hash usando SHA-2

    • hmac-sha2-512— 512 bits de MAC baseado em hash usando SHA-2

    • hmac-sha2-512-etm@openssh.com— Encrypt-then-Mac baseado em hash usando SHA-2

    • umac-128-etm@openssh.com— Criptografe-então-MAC usando algoritmo UMAC-128 especificado em RFC4418

    • umac-128@openssh.com— algoritmo UMAC-128 especificado em RFC4418

    • umac-64-etm@openssh.com— Criptografe-então-MAC usando algoritmo UMAC-64 especificado em RFC4418

    • umac-64@openssh.com— algoritmo UMAC-64 especificado em RFC4418

max-pre-authentication-packets number

Defina o número máximo de pacotes SSH de pré-autenticação que o servidor SSH aceitará antes da autenticação do usuário.

  • Intervalo: de 20 a 2147483647 pacotes

  • Padrão: 128 pacotes

max-sessions-per-connection number

Especifique o número máximo de sessões de ssh permitidas por uma única conexão SSH.

  • Intervalo: 1 a 65535 sessões

  • Padrão: 10 sessões

no-challenge-response

Desativar métodos de autenticação baseados em desafio de SSH.

Nota:

A configuração dessa declaração sob a [edit system services ssh] hierarquia afeta tanto o SSH serviço de login quanto o NETCONF serviço over SSH.

no-password-authentication

Desativar métodos de autenticação baseados em senha SSH.

Nota:

A configuração dessa declaração sob a [edit system services ssh] hierarquia afeta tanto o SSH serviço de login quanto o NETCONF serviço over SSH.

no-passwords

Desativar a autenticação baseada em senha e baseada em desafios para SSH.

Nota:

A configuração dessa declaração sob a [edit system services ssh] hierarquia afeta tanto o SSH serviço de login quanto o NETCONF serviço over SSH.

no-public-keys

Desativar o sistema de autenticação de chave pública em todo o sistema. Se você especificar a declaração sem chaves públicas no nível de hierarquia [editar login do sistema user-name ] hierarquia, você desativa a autenticação de chave pública para um usuário específico.

port port-number

Especifique o número de porta para aceitar conexões SSH de entrada.

  • Padrão: 22

  • Intervalo: 1 a 65535

protocol-version [v2]

Especifique a versão de protocolo Secure Shell (SSH).

A partir do Junos OS Release 19.3R1 e Junos OS Release 18.3R3, em todos os dispositivos da Série SRX, removemos a opção de protocolo SSH não seguro versão 1 (v1) do nível de hierarquia.edit system services ssh protocol-version Você pode usar o protocolo SSH versão 2 (v2) como a opção padrão para gerenciar sistemas e aplicativos remotamente. Com a opção preterida, o v1 Junos OS é compatível com o OpenSSH 7.4 e versões posteriores.

Os lançamentos do Junos OS antes do 19.3R1 e 18.3R3 continuam a oferecer suporte à opção v1 de gerenciar sistemas e aplicativos remotamente.

  • Padrão: v2 — O protocolo SSH versão 2 é o padrão, introduzido no Junos OS Release 11.4.

rate-limit number

Configure o número máximo de tentativas de conexão por minuto, por protocolo (IPv6 ou IPv4) em um serviço de acesso. Por exemplo, um limite de taxa de 10 permite 10 tentativas de conexão de sessão SSH IPv6 por minuto e 10 tentativas de conexão de sessão SSH IPv4 por minuto.

  • Intervalo: 1 a 250 conexões

  • Padrão: 150 conexões

rekey

Especifique os limites antes que as chaves da sessão sejam desafinadas.

data-limit bytes

Especifique o limite de dados antes de renegociar as chaves da sessão.

time-limit minutes

Especifique o limite de tempo antes de renegociar as chaves da sessão.

  • Intervalo: 1 a 1440 minutos

root-login (allow | deny | deny-password)

Controle o acesso do usuário através do SSH.

  • permitir — permitir que os usuários façam login no dispositivo como raiz através do SSH.

  • negar — desativar os usuários de fazer login no dispositivo como raiz através do SSH.

  • negar senha — permita que os usuários façam login no dispositivo como raiz através do SSH quando o método de autenticação (por exemplo, autenticação RSA) não requer uma senha.

  • Padrão: deny-password é o padrão para a maioria dos sistemas.

    A partir do lançamento do Junos 17.4R1 para roteadores da Série MX, o padrão para login raiz é deny. Em versões anteriores do Junos OS, a configuração padrão para mX240, MX480, MX960, MX2010 e MX2020 foi allow.

sftp-server

Habilite conexões de SSH File Transfer Protocol (SFTP) de entrada em todo o mundo. Ao configurar a sftp-server declaração, você permite que dispositivos autorizados se conectem ao dispositivo por meio do SFTP. Se a sftp-server declaração não estiver presente na configuração, o SFTP será desativado globalmente e nenhum dispositivo pode se conectar ao dispositivo por meio do SFTP.

trusted-user-ca-key-file filename

Configure o TrustedUserCAKey arquivo em /etc/ssh/sshd_config para autenticação baseada em certificadoSSH. Este arquivo contém as chaves públicas de um certificado SSH.

As declarações restantes são explicadas separadamente. Procure por uma declaração no CLI Explorer ou clique em uma declaração vinculada na seção Syntax para obter detalhes.

Nível de privilégio exigido

sistema — Para visualizar essa declaração na configuração.

controle do sistema — para adicionar essa declaração à configuração.

Informações de versão

Declaração introduzida antes do Junos OS Release 7.4.

ciphers, hostkey-algorithme key-exchangemacs declarações introduzidas no Junos OS Release 11.2.

max-sessions-per-connection e no-tcp-forwarding declarações introduzidas no Junos OS Release 11.4.

Opções de SHA-2 introduzidas no Junos OS Release 12.1.

Suporte para a opção curva25519-sha256 na key-exchange declaração adicionada no Junos OS Release 12.1X47-D10.

client-alive-interval e client-alive-count-max declarações introduzidas no Junos OS Release 12.2.

max-pre-authentication-packets declaração introduzida no Junos OS Release 12.3X48-D10.

no-passwords declaração introduzida no Junos OS Release 13.3.

no-public-keys declaração introduzida na versão 15.1 do Junos OS.

tcp-forwarding declaração introduzida no Junos OS Release 15.1X53-D50 para a plataforma de serviços de rede NFX250.

fingerprint-hash declaração introduzida no Junos OS Release 16.1.

log-key-changes declaração introduzida no Junos OS Release 17.4R1.

sftp-server declaração introduzida no Junos OS Release 19.1R1.

no-challenge-response e no-password-authentication declarações introduzidas no Junos OS Release 19.4R1.

Opção ldaps introduzida no Junos OS Release 20.2R1.

allow-tcp-forwarding opção adicionada no Junos OS Release 22.2R1.

authorized-principals-commandE athorized-prinicpalsas authorized-principals-file opções adicionadas no Junos OS Release 22.3R1.