ssh (System Services)

Habilite a un usuario para crear un túnel SSH a través de una sesión CLI a una plataforma Junos OS desagregada mediante SSH.

A partir de Junos OS versión 22.2R1, hemos deshabilitado la función de reenvío TCP de forma predeterminada para mejorar la seguridad. Para habilitar la característica de reenvío TCP, puede configurar la allow-tcp-forwarding instrucción en el nivel de jerarquía [edit system services ssh]. Además, hemos dejado de usar las tcp-forwarding instrucciones y no-tcp-forwarding en el nivel de jerarquía [edit system services ssh].

Configure el orden en que el software prueba diferentes métodos de autenticación de usuario al intentar autenticar a un usuario. Para cada intento de inicio de sesión, el software prueba los métodos de autenticación en orden, comenzando con el primero, hasta que la contraseña coincide.

• Predeterminado: Si no incluye la authentication-order instrucción, los usuarios se comprueban en función de sus contraseñas configuradas.

• Sintaxis: Especifique uno o varios de los siguientes métodos de autenticación enumerados en el orden en que deben probarse:

  • ldaps: utilice los servicios de autenticación LDAP.

  • password: utilice la contraseña configurada para el usuario con la authentication instrucción en el nivel jerárquico [edit system login user] .

  • radius: utilice los servicios de autenticación RADIUS.

  • tacplus: utilice los servicios de autenticación de TACACS+.

Especifique una cadena de comandos que se utilizará para buscar las claves públicas del usuario.

Especifique el usuario con cuya cuenta se ejecuta el comando authorized-keys.

Especifique una lista de entidades de seguridad que se pueden aceptar para la autenticación. Las entidades de seguridad agregadas mediante este comando son complementarias a las entidades de seguridad agregadas con el authorized-principals-file comando.

Configure el archivo en /var/etc, para la AuthorizedPrincipals autenticación basada en certificados SSH. Este archivo contiene una lista de nombres, uno de los cuales debe aparecer en el certificado para que sea aceptado para la autenticación.

Especifique un programa que se utilizará para generar la lista de entidades de certificación permitidas que se encuentran en el archivo para la AuthorizedPrincipals autenticación basada en certificados SSH.

Especifique el conjunto de cifrados que el servidor SSH puede utilizar para realizar funciones de cifrado y descifrado.

• Valores: Especifique uno o varios de los siguientes cifrados:

  • 3des-cbc—Estándar de cifrado de datos triple (DES) en modo de encadenamiento de bloques de cifrado (CBC).

  • aes128-cbc—Estándar de cifrado avanzado (AES) de 128 bits en modo CBC.

  • aes128-ctr—AES de 128 bits en modo contador.

  • aes128-gcm@openssh.com—AES de 128 bits en modo Galois/Counter.

  • aes192-cbc—AES de 192 bits en modo CBC.

  • aes192-ctr—AES de 192 bits en modo contador.

  • aes256-cbc—AES de 256 bits en modo CBC.

  • aes256-ctr—AES de 256 bits en modo contador.

  • aes256-gcm@openssh.com—AES de 256 bits en modo Galois/Counter.

  • chacha20-poly1305@openssh.com—Cifrado de flujo ChaCha20 y MAC Poly1305.

Configure el número de mensajes vivos del cliente que se pueden enviar sin que sshd reciba ningún mensaje del cliente. Si se alcanza este umbral mientras se envían mensajes de cliente vivo, sshd desconectará el cliente y finalizará la sesión. Los mensajes vivos del cliente se envían a través del canal cifrado. Utilícelo junto con la instrucción client-alive-interval para desconectar los clientes SSH que no responden.

• Predeterminado: 3 mensajes

• Rango: 0 a 255 mensajes

Configure un intervalo de tiempo de espera en segundos, después del cual si no se han recibido datos del cliente, sshd enviará un mensaje a través del canal cifrado para solicitar una respuesta del cliente. Esta opción solo se aplica a la versión 2 del protocolo SSH. Utilícelo junto con la instrucción client-alive-count-max para desconectar los clientes SSH que no responden.

• Valor predeterminado: 0 segundos

• Rango: 1 a 65535 segundos

Especifique el algoritmo hash utilizado por el servidor SSH cuando muestra huellas digitales clave.

• Valores: Especifique una de las siguientes opciones:

  • md5: permite que el servidor SSH utilice el algoritmo MD5.

  • sha2-256: permite que el servidor SSH utilice el algoritmo sha2-256.

• Valor predeterminado: sha2-256

Configure el archivo en /etc/ssh/sshd_config para la HostCertificate autenticación basada en certificados SSH. Este archivo contiene el certificado de host firmado.

Habilite Junos OS para registrar las claves SSH autorizadas. Cuando la log-key-changes instrucción está configurada y confirmada, Junos OS registra los cambios en el conjunto de claves SSH autorizadas para cada usuario (incluidas las claves que se agregaron o quitaron). Junos OS registra las diferencias desde la última vez que se configuró la log-key-changes instrucción. Si la log-key-changes instrucción nunca se configuró, Junos OS registra todas las claves SSH autorizadas.

• Predeterminado: Junos OS registra todas las claves SSH autorizadas.

Especifique el conjunto de algoritmos de código de autenticación de mensajes (MAC) que el servidor SSH puede utilizar para autenticar mensajes.

• Valores: Especifique uno o varios de los siguientes algoritmos MAC para autenticar mensajes:

  • hmac-md5—MAC basada en hash con Message-Digest 5 (MD5)

  • hmac-md5-96—96 bits de MAC basada en hash con MD5

  • hmac-md5-96-etm@openssh.com—96 bits de Encrypt-then-MAC basado en hash usando MD5

  • hmac-md5-etm@openssh.com—Cifrado basado en hash y luego MAC usando MMD5

  • hmac-sha1—MAC basada en hash mediante algoritmo hash seguro-1 (SHA-1)

  • hmac-sha1-96—96 bits de MAC basada en hash con SHA-1

  • hmac-sha1-96-etm@openssh.com—96 bits de Encrypt-then-MAC basado en hash usando SHA-1

  • hmac-sha1-etm@openssh.com—Cifrado basado en hash y luego MAC usando SHA-1

  • hmac-sha2-256—256 bits de MAC basada en hash con algoritmo hash seguro-2 (SHA-2)

  • hmac-sha2-256-etm@openssh.com—Cifrado basado en hash y luego Mac usando SHA-2

  • hmac-sha2-512—512 bits de MAC basada en hash con SHA-2

  • hmac-sha2-512-etm@openssh.com—Cifrado basado en hash y luego Mac usando SHA-2

  • umac-128-etm@openssh.com—Cifrar y luego MAC usando el algoritmo UMAC-128 especificado en RFC4418

  • umac-128@openssh.com—Algoritmo UMAC-128 especificado en RFC4418

  • umac-64-etm@openssh.com—Cifrar luego MAC usando el algoritmo UMAC-64 especificado en RFC4418

  • umac-64@openssh.com—Algoritmo UMAC-64 especificado en RFC4418

Defina el número máximo de paquetes SSH previos a la autenticación que aceptará el servidor SSH antes de la autenticación del usuario.

• Rango: 20 a 2147483647 paquetes

• Valor predeterminado: 128 paquetes

Especifique el número máximo de sesiones ssh permitidas por conexión SSH única.

• Rango: 1 a 65535 sesiones

• Valor predeterminado: 10 sesiones

Deshabilite los métodos de autenticación basados en desafío-respuesta SSH.

Deshabilite los métodos de autenticación SSH basados en contraseña.

Deshabilite la autenticación basada en contraseña y en desafío-respuesta para SSH.

Desactive la autenticación de clave pública en todo el sistema. Si especifica la instrucción no-public-keys en el nivel jerárquico [edit system login user user-name authentication], deshabilitará la autenticación de clave pública para un usuario específico.

Especifique el número de puerto en el que desea aceptar las conexiones SSH entrantes.

• Valor predeterminado: 22

• Rango: 1 a 65535

Especifique la versión del protocolo Secure Shell (SSH).

A partir de Junos OS versión 19.3R1 y Junos OS versión 18.3R3, en todos los dispositivos de la serie SRX, hemos eliminado la opción protocolo SSH no seguro versión 1 (v1) del nivel de jerarquía [edit system services ssh protocol-version]. Puede utilizar el protocolo SSH versión 2 (v2) como opción predeterminada para administrar sistemas y aplicaciones de forma remota. Con la v1 opción en desuso, Junos OS es compatible con OpenSSH 7.4 y versiones posteriores.

Las versiones de Junos OS anteriores a 19.3R1 y 18.3R3 siguen admitiendo la v1 opción de administrar sistemas y aplicaciones de forma remota.

• Predeterminado : v2: la versión 2 del protocolo SSH es la predeterminada introducida en Junos OS versión 11.4.

Configure el número máximo de intentos de conexión por minuto, por protocolo (IPv6 o IPv4) en un servicio de acceso. Por ejemplo, un límite de velocidad de 10 permite 10 intentos de conexión de sesión SSH IPv6 por minuto y 10 intentos de conexión de sesión SSH IPv4 por minuto.

• Rango: 1 a 250 conexiones

• Valor predeterminado: 150 conexiones

Especifique los límites antes de renegociar las claves de sesión.

Controle el acceso de los usuarios a través de SSH.

• permitir: permite a los usuarios iniciar sesión en el dispositivo como raíz a través de SSH.

• denegar: impide que los usuarios inicien sesión en el dispositivo como raíz mediante SSH.

• deny-password: permite a los usuarios iniciar sesión en el dispositivo como root mediante SSH cuando el método de autenticación (por ejemplo, autenticación RSA) no requiere una contraseña.

• Predeterminado: deny-password es el valor predeterminado para la mayoría de los sistemas.

  A partir de la versión 17.4R1 de Junos para enrutadores de la serie MX, el valor predeterminado para root-login es deny. En versiones anteriores de Junos OS, la configuración predeterminada para MX240, MX480, MX960, MX2010 y MX2020 era allow.

Habilite globalmente las conexiones entrantes del Protocolo de transferencia de archivos SSH (SFTP). Al configurar la sftp-server instrucción, permite que los dispositivos autorizados se conecten al dispositivo a través de SFTP. Si la instrucción no está presente en la sftp-server configuración, SFTP se deshabilita globalmente y ningún dispositivo puede conectarse al dispositivo a través de SFTP.

Configure el archivo en /etc/ssh/sshd_config para la TrustedUserCAKey autenticación basada en certificados SSH. Este archivo contiene las claves públicas de un certificado SSH.