配置 SSH 已知主机密钥以安全复制数据
安全外壳 (SSH) 使用 加密 算法生成主机、服务器和会话密钥系统,以确保数据传输的安全。您可以将 SSH 主机密钥配置为支持安全复制 (SCP),作为 FTP 的替代方法,用于后台传输数据,例如配置存档和事件日志。要为 SCP 配置 SSH 支持,必须完成以下任务:
-
通过在路由引擎配置层次结构中包含主机名和主机密钥信息来指定 SSH 已知主机。
-
设置 SCP URL 以指定从中接收数据的主机。设置此属性会自动从 SCP 服务器检索 SSH 主机密钥信息。
-
验证主机密钥是否真实。
-
接受安全连接。接受此连接会自动将主机密钥信息存储在本地主机密钥数据库中。将主机密钥信息存储在配置层次结构中可自动执行安全握手,并允许使用 SCP 传输后台数据。
配置 SSH 主机密钥以安全复制数据的任务包括:
配置 SSH 已知主机
要配置 SSH 已知主机,请包含 host 该语句,并在层次结构级别为 [edit security ssh-known-hosts] 受信任的服务器指定主机名和主机密钥选项:
[edit security ssh-known-hosts]
host corporate-archive-server {
dsa-key key;
}
host archive-server-url {
rsa-key key;
}
host server-with-ssh-version-1 {
rsa1-key key;
}
主机密钥为下列项之一:
-
dsa-key key- SSH 版本 2 的 Base64 编码数字签名算法 (DSA) 密钥。 -
ecdsa-sha2-nistp256-keykey- Base64 编码的 ECDSA-SHA2-NIST256 密钥。 -
ecdsa-sha2-nistp384-keykey- Base64 编码的 ECDSA-SHA2-NIST384 密钥。 -
ecdsa-sha2-nistp521-keykey- Base64 编码的 ECDSA-SHA2-NIST521 密钥。 -
ed25519-keykey- ED25519密钥进行 Base64 编码。 -
rsa-key key- Base64 编码公钥算法,支持 SSH 版本 1 和 SSH 版本 2 的加密和数字签名。 -
rsa1-key key- Base64 编码的 RSA 公钥算法,支持 SSH 版本 1 的加密和数字签名。
配置对 SCP 文件传输的支持
要将已知主机配置为支持后台 SCP 文件传输,请在层次结构级别包含archive-sites[edit system archival configuration]该语句。
[edit system archival configuration]
archive-sites {
scp://username<:password>@host<:port>/url-path;
}
使用 IPv6 主机地址在 Junos OS 语句中指定 URL 时,必须用引号 (“ ”) 将整个 URL 括起来,并将 IPv6 主机地址括在方括号 ([ ]) 中。例如, “scp://username<:password>@[host]<:port>/url-path”;
将 archive-sites 语句设置为指向 SCP URL 会触发自动主机密钥检索。此时, Junos OS 连接到 SCP 主机以获取 SSH 公钥,将主机密钥消息摘要或指纹显示为输出到控制台,并终止与服务器的连接。
user@host# set system archival configuration archive-sites “<scp-url-path>” The authenticity of host <my-archive-server (<server-ip-address>)> can’t be established. RSA key fingerprint is <ascii-text key>. Are you sure you want to continue connecting (yes/no)?
要验证主机密钥是否真实,请将此指纹与您使用受信任源从同一主机获取的指纹进行比较。如果指纹相同,请在提示符下输入 yes 以接受主机密钥。然后,主机密钥信息存储在路由引擎配置中,并支持使用 SCP 的后台数据传输。
更新 SSH 主机密钥信息
通常,当您在层次结构级别使用该[edit system]语句为 archival configuration archive-sites SCP 设置 URL 属性时,会自动检索 SSH 主机密钥信息。但是,如果需要手动更新主机密钥数据库,请使用下列方法之一。
手动检索主机密钥信息
要手动检索 SSH 公共主机密钥信息,请在层次结构级别配置该 fetch-from-server 选项 [edit security ssh-known-hosts] 。您必须指定要从中检索 SSH 公钥的主机。
user@host# set security ssh-known-hosts fetch-from-server <hostname>
从文件导入主机密钥信息
要从 known_hosts 文件手动导入 SSH 主机密钥信息,请在层次结构级别包含该 load-key-file 选项 [edit security ssh-known-hosts] 。必须指定要从中导入主机密钥信息的文件的路径。
user@host# set security ssh-known-hosts load-key-file /var/tmp/known-hosts
更改历史记录表
功能支持由您使用的平台和版本决定。使用 功能资源管理器 确定您的平台是否支持某个功能。
ssh-dss 将弃用 and
ssh-dsa hostkey 算法(而不是立即删除),以提供向后兼容性,并有机会使您的配置符合新配置。