Cisco機器へのSSH設定手順

Ciscoでのセキュリティ強化の為、SSHの設定をします。

というか、なんだかんだで10年近く、ネットワークに携わり、初めてやっちゃうんです。
なんか不思議。。。

なんというか、サーバーで働く事になって、telnetの廃止に向けて全てのNW機器へのSSH設定をしていく方向になったんですね。

はい。そんな感じでやっちゃいます。

不正ユーザーのログインを防ぐ

telnetをすると不正にログインされる可能性が高くなります。

SSHは不正にログインするユーザーへのNW機器の設定変更や、設定情報の観覧を防ぐことが可能です。

cisco　ssh設定

まずはログインするユーザー名とパスワードの設定です。
ここで、注意する事はSSHは aaa new-modelを設定しないと動かないので、入れなければいけないのですが、ここでログイン設定をしていないと、ログアウトしたら最後。

一生ログインできませんよ。

戻すにはいったんrommonに落とすって作業をしなければいけなくなっちゃいます。

test01#configure terminal
test01(config)#aaa new-model
test01(config)#username bobo privilege 15 secret 0 test　#ログイン設定を忘れない事！

次にドメイン名の設定です。
SSH暗号鍵生成の為に既にホスト名は設定済みなので、ドメイン名を設定しておきます。

test01#configure terminal
test01(config)#ip domain-name cisco.com

SSHのバージョン設定をします。バージョンは１と２がありますがここは、よりセキュアなバージョン２を使用します。
。。。というか、この機器のOSバージョンが低かったので自動的にSSH ver1になってました。。。

test01#configure terminal
test01(config)#ip ssh version 2

それではSSHの接続設定を実施します。
いつも通りにline vtyへ設定を実施します。

ここで、SSHを使用する為に”transpoort input ssh”コマンドを実施します。
privileg level は０〜15まであり、１は通常ユーザーのEXECモード。

今回使用するレベル15はenableパスワードによって、許可されるアクセスレベルとなります。

test01#configure terminal
test01(config)#line vty 5 15
test01(config-line)#privilege level 15
test01(config-line)#transport input ssh

最後にSSHを使用するRSA暗号鍵を生成する為に以下のコマンドを実施します。
コマンド入力後は暗号鍵のサイズを求めてくるので、今回は1024にしました。

test01(config)#crypto key generate rsa
The name for the keys will be: test01.cisco.com
Choose the size of the key modulus in the range of 360 to 2048 for your
  General Purpose Keys. Choosing a key modulus greater than 512 may take
  a few minutes.

How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

SSHアクセス動作確認

Cisco機器でSSHの設定を終えたら、外部機器から、SSHアクセスをしてみましょう。

以下のように鍵が作られます。

[admin@t-bobo011 network-scripts]$ ssh test01
WARNING: RSA key found for host test01
in /home/admin/.ssh/known_hosts:1
RSA key fingerprint 99:b1:01:f1:85:bb:54:18:f1:60:be:48:5c:66:5e:c3.
+--[ RSA 1024]----+
|      o.O*+      |
|     . Xo=E.     |
|      o *o.      |
|     . .oB       |
|      ..S.       |
|        .        |
|                 |
|                 |
|                 |
+-----------------+

The authenticity of host '192.168.255.253 (192.168.255.253)' can't be established
but keys of different type are already known for this host.
RSA1 key fingerprint is bf:0b:7e:51:01:0b:b9:e3:d1:c8:d3:02:c7:fe:9e:4c.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.255.253' (RSA1) to the list of known hosts.
admin@192.168.255.253's password:

後はパスワードを入れてアクセスできればOKっす！

それでは！