Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

ssh (System Services)

语法

层次结构级别

描述

允许来自远程系统的 SSH 请求访问本地设备。

选项

allow-tcp-forwarding

使用户能够使用 SSH 通过 CLI 会话创建到分解 Junos OS 平台的 SSH 隧道。

从 Junos OS 22.2R1 版开始,我们默认禁用了 TCP 转发功能以增强安全性。要启用 TCP 转发功能,可以在 [edit system services ssh] 层次结构级别配置allow-tcp-forwarding语句。此外,我们还弃用tcp-forwarding了 [edit system services ssh] 层次结构级别的 and no-tcp-forwarding 语句。
authentication-order [method1 method2...]

配置软件在尝试对用户进行身份验证时尝试不同用户身份验证方法的顺序。对于每次登录尝试,软件会按顺序尝试身份验证方法,从第一个开始,直到密码匹配。

  • 默认: 如果未包含该 authentication-order 语句,则会根据用户配置的密码对其进行验证。

  • 语法: 指定按必须尝试的顺序列出的以下一种或多种身份验证方法:

    • ldaps— 使用 LDAP 身份验证服务。

    • password— 在层次结构级别使用[edit system login user]为用户authentication配置的密码和语句。

    • radius—使用 RADIUS 身份验证服务。

    • tacplus— 使用 TACACS+ 身份验证服务。
authorized-keys-command

指定用于查找用户公钥的命令字符串。
authorized-keys-command-user

指定在其帐户下运行授权密钥命令的用户。
authorized-principals principal-names

指定身份验证可以接受的主体列表。通过此命令添加的承担者是对随命令添加 authorized-principals-file 的承担者的补充。

注意:

authorized-principalsauthorized-principals-command选项是互斥的。
authorized-principals-file filename

在 /var/etc 处配置文件,AuthorizedPrincipals用于基于 SSH 证书的身份验证。此文件包含一个名称列表,其中一个名称必须出现在证书中才能接受它进行身份验证。
authorized-principals-command program-path

指定一个程序,用于生成在文件中找到 AuthorizedPrincipals 的允许的证书主体列表,以进行基于 SSH 证书的身份验证。

注意:

authorized-principals-commandauthorized-principals选项是互斥的。
ciphers [ cipher-1 cipher-2 cipher-3 ...]

指定 SSH 服务器可用于执行加密和解密功能的密码集。

注意:

密码代表一个集合。要配置 SSH 密码, set 请使用以下示例中所示的命令:

  • 值: 指定以下一个或多个密码:

    • 3des-cbc—密码块链接 (CBC) 模式下的三重数据加密标准 (DES)。

    • aes128-cbc— CBC 模式下的 128 位高级加密标准 (AES)。

    • aes128-ctr- 计数器模式下的 128 位 AES。

    • aes128-gcm@openssh.com—伽罗瓦/计数器模式下的 128 位 AES。

    • aes192-cbc— CBC 模式下的 192 位 AES。

    • aes192-ctr- 计数器模式下的 192 位 AES。

    • aes256-cbc— CBC 模式下的 256 位 AES。

    • aes256-ctr- 计数器模式下的 256 位 AES。

    • aes256-gcm@openssh.com- 伽罗瓦/计数器模式下的 256 位 AES。

    • chacha20-poly1305@openssh.com—ChaCha20 流密码和 Poly1305 MAC。
client-alive-count-max number

配置可以在 sshd 不接收从客户端返回的任何消息的情况下发送的客户端活动消息数。如果在发送客户端活动消息时达到此阈值,sshd 将断开客户端的连接,从而终止会话。客户端活动消息通过加密通道发送。与 client-alive-interval 语句结合使用可断开无响应的 SSH 客户端的连接。

  • 默认值: 3 条消息

  • 范围: 0 到 255 条消息
client-alive-interval seconds

配置一个超时间隔(以秒为单位),之后如果尚未从客户端收到任何数据,sshd 将通过加密通道发送消息以请求客户端响应。此选项仅适用于 SSH 协议版本 2。与 client-alive-count-max 语句结合使用可断开无响应的 SSH 客户端的连接。

  • 默认值: 0 秒

  • 范围: 1 到 65535 秒
fingerprint-hash (md5 | sha2-256)

指定 SSH 服务器在显示密钥指纹时使用的哈希算法。

注意:

FIPS 映像不允许使用 MD5 指纹。在处于 FIPS 模式的系统上, sha2-256 是唯一可用的选项。

  • 值: 指定下列选项之一:

    • md5 - 使 SSH 服务器能够使用 MD5 算法。

    • sha2-256 — 使 SSH 服务器能够使用 sha2-256 算法。

  • 默认值: sha2-256
host-certificate-file filename

在 /etc/ssh/sshd_config 中配置文件以进行HostCertificate基于 SSH 证书的身份验证。此文件包含已签名的主机证书。
log-key-changes log-key-changes

启用 Junos OS 以记录授权的 SSH 密钥。 log-key-changes 配置并提交语句后,Junos OS 会记录对每个用户的授权 SSH 密钥集所做的更改(包括添加或删除的密钥)。Junos OS 会记录自上次 log-key-changes 配置语句以来的差异。如果从未配置过该 log-key-changes 语句,则 Junos OS 会记录所有授权的 SSH 密钥。

  • 默认: Junos OS 会记录所有授权的 SSH 密钥。
macs [algorithm1 algorithm2...]

指定 SSH 服务器可用于对消息进行身份验证的消息身份验证代码 (MAC) 算法集。

注意:

配置语句表示 macs 一个集合。因此,必须按如下方式对其进行配置:

  • 值: 指定以下一种或多种 MAC 算法来验证消息:

    • hmac-md5—使用消息摘要 5 (MD5) 的基于哈希的 MAC

    • hmac-md5-96—使用 MD5 的 96 位基于哈希的 MAC

    • hmac-md5-96-etm@openssh.com—使用 MD5 的 96 位基于哈希的加密然后 MAC

    • hmac-md5-etm@openssh.com- 使用 MMD5 的基于哈希的加密然后 MAC

    • hmac-sha1—使用安全散列算法-1 (SHA-1) 的基于散列的 MAC

    • hmac-sha1-96—使用 SHA-1 的 96 位基于哈希的 MAC

    • hmac-sha1-96-etm@openssh.com- 使用 SHA-1 的 96 位基于哈希的加密然后 MAC

    • hmac-sha1-etm@openssh.com- 使用 SHA-1 的基于哈希的加密然后 MAC

    • hmac-sha2-256—使用安全散列算法-2 (SHA-2) 的 256 位基于散列的 MAC

    • hmac-sha2-256-etm@openssh.com- 使用 SHA-2 的基于哈希的加密然后 Mac

    • hmac-sha2-512—使用 SHA-2 的 512 位基于哈希的 MAC

    • hmac-sha2-512-etm@openssh.com- 使用 SHA-2 的基于哈希的加密然后 Mac

    • umac-128-etm@openssh.com— 使用 RFC4418 中指定的 UMAC-128 算法先加密 MAC

    • umac-128@openssh.com- RFC4418 中指定的 UMAC-128 算法

    • umac-64-etm@openssh.com— 使用 RFC4418 中指定的 UMAC-64 算法先加密 MAC

    • umac-64@openssh.com- RFC4418 中指定的 UMAC-64 算法

max-pre-authentication-packets number

定义 SSH 服务器在用户身份验证之前将接受的最大预身份验证 SSH 数据包数。

  • 范围: 20 到 2147483647 个数据包

  • 默认值: 128 个数据包
max-sessions-per-connection number

指定每个 SSH 连接允许的最大 ssh 会话数。

  • 范围: 1 到 65535 个会话

  • 默认值: 10 个会话
no-challenge-response

禁用基于 SSH 质询响应的身份验证方法。

注意:

在层次结构SSH[edit system services ssh]配置此语句会影响登录服务和通过 NETCONF SSH 服务。
no-password-authentication

禁用基于 SSH 密码的身份验证方法。

注意:

在层次结构SSH[edit system services ssh]配置此语句会影响登录服务和通过 NETCONF SSH 服务。
no-passwords

对 SSH 禁用基于密码和基于质询响应的身份验证。

注意:

在层次结构SSH[edit system services ssh]配置此语句会影响登录服务和通过 NETCONF SSH 服务。
no-public-keys

在系统范围内禁用公钥身份验证。如果在 [编辑系统登录用户 user-name 身份验证] 层次结构级别指定无公钥语句,则会禁用特定用户的公钥身份验证。
port port-number

指定要接受传入 SSH 连接的端口号。

  • 默认值: 22

  • 范围: 1 到 65535
protocol-version [v2]

指定安全外壳 (SSH) 协议版本。

从 Junos OS 19.3R1 版和 Junos OS 18.3R3 版开始,我们已从 [edit system services ssh protocol-version] 层次结构级别删除了不安全的 SSH 协议版本 1 (v1) 选项。您可以使用 SSH 协议版本 2 (v2) 作为远程管理系统和应用程序的默认选项。弃用此选项v1后,Junos OS 与 OpenSSH 7.4 及更高版本兼容。

19.3R1 和 18.3R3 之前的 Junos OS 版本继续支持 v1 远程管理系统和应用程序选项。

  • 默认值: v2 — SSH 协议版本 2 是默认设置,在 Junos OS 11.4 版中引入。
rate-limit number

配置接入服务上每个协议(IPv6 或 IPv4)每分钟的最大连接尝试次数。例如,速率限制 10 允许每分钟 10 次 IPv6 SSH 会话连接尝试和每分钟 10 次 IPv4 SSH 会话连接尝试。

  • 范围: 1 到 250 个连接

  • 默认值: 150 个连接
rekey

在重新协商会话密钥之前指定限制。

data-limit bytes

在重新协商会话密钥之前指定数据限制。
time-limit minutes

在重新协商会话密钥之前指定时间限制。

  • 范围: 1 到 1440 分钟
root-login (allow | deny | deny-password)

通过 SSH 控制用户访问。

  • 允许 - 允许用户通过 SSH 以 root 身份登录设备。

  • deny - 禁止用户通过 SSH 以 root 身份登录设备。

  • 拒绝密码 - 当身份验证方法(例如 RSA 身份验证)不需要密码时,允许用户通过 SSH 以 root 身份登录设备。

  • 默认: deny-password 是大多数系统的默认值。

    从适用于 MX 系列路由器的 Junos 17.4R1 版开始,root 登录的默认值为 deny。在之前的 Junos OS 版本中,MX240、MX480、MX960、MX2010 和 MX2020 的默认设置为 allow
sftp-server

全局启用传入 SSH 文件传输协议 (SFTP) 连接。通过配置 sftp-server 语句,您可以启用授权设备通过 SFTP 连接到设备。如果配置中不存在该 sftp-server 语句,则会全局禁用 SFTP,并且任何设备都无法通过 SFTP 连接到设备。
trusted-user-ca-key-file filename

在 /etc/ssh/sshd_config 中配置文件以进行TrustedUserCAKey基于 SSH 证书的身份验证。此文件包含 SSH 证书的公钥。

其余语句将单独解释。有关详细信息,请在 CLI 资源管理器 中搜索语句,或单击语法部分中的链接语句。

所需权限级别

system - 在配置中查看此语句。

系统控制 - 将此语句添加到配置中。

发布信息

在 Junos OS 7.4 版之前引入的语句。

ciphers、 、 hostkey-algorithmkey-exchangemacs Junos OS 11.2 版中引入的语句。

max-sessions-per-connection 以及 no-tcp-forwarding Junos OS 11.4 版中引入的语句。

Junos OS 12.1 版中引入的 SHA-2 选项。

支持 Junos OS 版本 12.1X47-D10 中添加的 key-exchange 语句中的 curve25519-sha256 选项。

client-alive-interval 以及 client-alive-count-max Junos OS 12.2 版中引入的语句。

max-pre-authentication-packets 在 Junos OS 12.3X48-D10 版中引入的语句。

no-passwords 在 Junos OS 13.3 版中引入的语句。

no-public-keys 在 Junos OS 15.1 版中引入的语句。

tcp-forwarding 在适用于 NFX250 网络服务平台的 Junos OS 15.1X53-D50 版中引入的语句。

fingerprint-hash 在 Junos OS 16.1 版中引入的语句。

log-key-changes 在 Junos OS 17.4R1 版中引入的语句。

sftp-server 在 Junos OS 19.1R1 版中引入的语句。

no-challenge-response 以及 no-password-authentication Junos OS 19.4R1 版中引入的语句。

Junos OS 20.2R1 版中引入的选项 ldaps

allow-tcp-forwarding 在 Junos OS 22.2R1 版中添加了选项。

Junos athorized-prinicpalsOS 版本 22.3R1 中添加的 authorized-principals-fileauthorized-principals-command和选项。

相关文档