Configurar claves de host conocidas SSH para la copia segura de datos
Secure Shell (SSH) utiliza algoritmos de cifrado para generar un sistema de claves de host, servidor y sesión que garantiza una transferencia de datos segura. Puede configurar las claves de host SSH para que admitan la copia segura (SCP) como alternativa a FTP para la transferencia en segundo plano de datos, como archivos de configuración y registros de eventos. Para configurar la compatibilidad con SSH para SCP, debe completar las siguientes tareas:
-
Especifique hosts conocidos SSH incluyendo nombres de host e información de clave de host en la jerarquía de configuración de motor de enrutamiento.
-
Establezca una URL SCP para especificar el host del que recibir datos. Al establecer este atributo, se recupera automáticamente la información de la clave de host SSH del servidor SCP.
-
Compruebe que la clave de host es auténtica.
-
Acepte la conexión segura. La aceptación de esta conexión almacena automáticamente la información de la clave de host en la base de datos de claves de host local. El almacenamiento de la información de la clave de host en la jerarquía de configuración automatiza el protocolo de enlace seguro y permite la transferencia de datos en segundo plano mediante SCP.
Las tareas para configurar claves de host SSH para la copia segura de datos son:
Configurar hosts conocidos SSH
Para configurar hosts conocidos SSH, incluya la instrucción y especifique las opciones de host nombre de host y clave de host para servidores de confianza en el nivel jerárquico [edit security ssh-known-hosts] :
[edit security ssh-known-hosts]
host corporate-archive-server {
dsa-key key;
}
host archive-server-url {
rsa-key key;
}
host server-with-ssh-version-1 {
rsa1-key key;
}
Las claves de host son una de las siguientes:
-
dsa-key key—Clave del algoritmo de firma digital codificado (DSA) Base64 para SSH versión 2. -
ecdsa-sha2-nistp256-keykey—Clave ECDSA-SHA2-NIST256 codificada en Base64. -
ecdsa-sha2-nistp384-keykey—Clave ECDSA-SHA2-NIST384 codificada en Base64. -
ecdsa-sha2-nistp521-keykey—Clave ECDSA-SHA2-NIST521 codificada en Base64. -
ed25519-keykey—Clave ED25519 codificada en Base64. -
rsa-key key—Algoritmo de clave pública codificado Base64 que admite cifrado y firmas digitales para SSH versión 1 y SSH versión 2. -
rsa1-key key—Algoritmo de clave pública RSA codificado en Base64, que admite cifrado y firmas digitales para SSH versión 1.
Configurar la compatibilidad con la transferencia de archivos SCP
Para configurar un host conocido para que admita transferencias de archivos SCP en segundo plano, incluya la archive-sites instrucción en el nivel de [edit system archival configuration] jerarquía.
[edit system archival configuration]
archive-sites {
scp://username<:password>@host<:port>/url-path;
}
Al especificar una URL en una instrucción de Junos OS con una dirección de host IPv6, debe encerrar la dirección URL completa entre comillas (" ") y encerrar la dirección de host IPv6 entre corchetes ([ ]). Por ejemplo, "scp://username<:password>@[host]<:port>/url-path";
Si se establece la instrucción para que apunte a una URL SCP, se activa la archive-sites recuperación automática de claves de host. En este punto, Junos OS se conecta al host SCP para obtener la clave pública SSH, muestra el resumen del mensaje de la clave de host o la huella digital como salida a la consola y finaliza la conexión con el servidor.
user@host# set system archival configuration archive-sites “<scp-url-path>” The authenticity of host <my-archive-server (<server-ip-address>)> can’t be established. RSA key fingerprint is <ascii-text key>. Are you sure you want to continue connecting (yes/no)?
Para comprobar que la clave de host es auténtica, compare esta huella digital con una huella digital que obtenga del mismo host mediante una fuente de confianza. Si las huellas digitales son idénticas, escriba la clave de host en yes el indicador. A continuación, la información de la clave de host se almacena en la configuración del motor de enrutamiento y admite transferencias de datos en segundo plano mediante SCP.
Actualizar la información de la clave de host SSH
Normalmente, la información de la clave de host SSH se recupera automáticamente cuando se establece un atributo URL para SCP utilizando la archival configuration archive-sites instrucción en el nivel de [edit system] jerarquía. Sin embargo, si necesita actualizar manualmente la base de datos de claves de host, utilice uno de los métodos siguientes.
- Recuperar la información de la clave de host manualmente
- Importar información de clave de host desde un archivo
Recuperar la información de la clave de host manualmente
Para recuperar manualmente la información de la clave de host público SSH, configure la fetch-from-server opción en el nivel de [edit security ssh-known-hosts] jerarquía. Debe especificar el host del que desea recuperar la clave pública SSH.
user@host# set security ssh-known-hosts fetch-from-server <hostname>
Importar información de clave de host desde un archivo
Para importar manualmente información de clave de host SSH desde un archivo known_hosts , incluya la load-key-file opción en el nivel de [edit security ssh-known-hosts] jerarquía. Debe especificar la ruta de acceso al archivo desde el que desea importar la información de la clave de host.
user@host# set security ssh-known-hosts load-key-file /var/tmp/known-hosts
Tabla de historial de cambios
La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.
ssh-dss algoritmos hostkey y
ssh-dsa están en desuso (en lugar de eliminarse inmediatamente) para proporcionar compatibilidad con versiones anteriores y la oportunidad de que su configuración sea compatible con la nueva configuración.