Configure as chaves de host conhecidas do SSH para uma cópia segura dos dados
O Secure Shell (SSH) usa algoritmos de criptografia para gerar um sistema de host, servidor e chave de sessão que garante uma transferência segura de dados. Você pode configurar as chaves de host SSH para oferecer suporte a cópia segura (SCP) como uma alternativa ao FTP para a transferência de dados em segundo plano, como arquivos de configuração e logs de eventos. Para configurar o suporte de SSH para SCP, você deve concluir as seguintes tarefas:
-
Especifique hosts conhecidos do SSH, incluindo nomes de host e informações chave do host na hierarquia de configuração do Mecanismo de Roteamento.
-
Configure uma URL SCP para especificar o host a partir do qual receber dados. Definir esse atributo recupera automaticamente as informações chave do host SSH do servidor SCP.
-
Verifique se a chave do host é autentica.
-
Aceite a conexão segura. Aceitar essa conexão armazena automaticamente as principais informações de host no banco de dados da chave do host local. Armazenar informações chave do host na hierarquia de configuração automatiza o uso seguro e permite a transferência de dados em segundo plano usando SCP.
As tarefas para configurar as chaves do host SSH para uma cópia segura dos dados são:
Configure hosts conhecidos de SSH
Para configurar hosts conhecidos de SSH, inclua a host declaração e especifique opções de nome de host e host para servidores confiáveis no nível de [edit security ssh-known-hosts] hierarquia:
[edit security ssh-known-hosts]
host corporate-archive-server {
dsa-key key;
}
host archive-server-url {
rsa-key key;
}
host server-with-ssh-version-1 {
rsa1-key key;
}
As chaves do host são uma das seguintes:
-
dsa-key key— Algoritmo de assinatura digital codificado (DSA) base64 para SSH versão 2. -
ecdsa-sha2-nistp256-keykey— Chave ECDSA-SHA2-NIST256 codificada para Base64. -
ecdsa-sha2-nistp384-keykey— Chave de NIST384 ECDSA-SHA2 codificada para a Base64. -
ecdsa-sha2-nistp521-keykey— Chave ECDSA-SHA2-NIST521 codificada para base64. -
ed25519-keykey— Chave de ED25519 codificada base64. -
rsa-key key— Algoritmo de chave pública codificado base64 que oferece suporte a criptografia e assinaturas digitais para SSH versão 1 e SSH versão 2. -
rsa1-key key— Algoritmo de chave pública RSA codificado pela Base64, que oferece suporte a criptografia e assinaturas digitais para SSH versão 1.
Configure o suporte para transferência de arquivos SCP
Para configurar um host conhecido para oferecer suporte a transferências de arquivos SCP de fundo, inclua a archive-sites declaração no nível de [edit system archival configuration] hierarquia.
[edit system archival configuration]
archive-sites {
scp://username<:password>@host<:port>/url-path;
}
Ao especificar uma URL em uma declaração do Junos OS usando um endereço de host IPv6, você deve incluir toda a URL entre aspas (" ") e colocar o endereço de host IPv6 em parênteses ([]). Por exemplo, "scp://username<:password>@[host]<:port>/url-path";
Definir a archive-sites declaração para apontar para uma URL SCP aciona a recuperação automática da chave do host. Neste ponto, o Junos OS se conecta ao host SCP para buscar a chave pública SSH, exibe a digestão da mensagem chave do host ou a impressão digital como saída para o console e encerra a conexão com o servidor.
user@host# set system archival configuration archive-sites “<scp-url-path>” The authenticity of host <my-archive-server (<server-ip-address>)> can’t be established. RSA key fingerprint is <ascii-text key>. Are you sure you want to continue connecting (yes/no)?
Para verificar se a chave do host é autentica, compare esta impressão digital com uma impressão digital que você obtém do mesmo host usando uma fonte confiável. Se as impressões digitais forem idênticas, aceite a chave do host entrando yes no prompt. As informações chave do host são então armazenadas na configuração do Mecanismo de Roteamento e suportam transferências de dados em segundo plano usando SCP.
Atualizar as informações principais do host SSH
Normalmente, as informações chave do host SSH são recuperadas automaticamente quando você define um atributo de URL para SCP usando a archival configuration archive-sites declaração no nível de [edit system] hierarquia. No entanto, se você precisar atualizar manualmente o banco de dados da chave do host, use um dos seguintes métodos.
- Recuperar as informações da chave do host manualmente
- Importar informações chave do host de um arquivo
Recuperar as informações da chave do host manualmente
Para recuperar manualmente as informações de chave do host público SSH, configure a opção fetch-from-server no nível de [edit security ssh-known-hosts] hierarquia. Você deve especificar o host a partir do qual recuperar a chave pública SSH.
user@host# set security ssh-known-hosts fetch-from-server <hostname>
Importar informações chave do host de um arquivo
Para importar manualmente as informações chave do host SSH de um arquivo known_hosts , inclua a opção load-key-file no nível de [edit security ssh-known-hosts] hierarquia. Você deve especificar o caminho até o arquivo a partir do qual importar informações chave do host.
user@host# set security ssh-known-hosts load-key-file /var/tmp/known-hosts
Tabela de histórico de mudanças
O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.
ssh-dss algoritmos e
ssh-dsa hostkey são preteridos, em vez de removidos imediatamente, para fornecer compatibilidade retrógrada e uma chance de colocar sua configuração em conformidade com a nova configuração.