Cisco機器へのSSH設定手順

Ciscoでのセキュリティ強化の為、SSHの設定をします。

というか、なんだかんだで10年近く、ネットワークに携わり、初めてやっちゃうんです。
なんか不思議。。。

なんというか、サーバーで働く事になって、telnetの廃止に向けて全てのNW機器へのSSH設定をしていく方向になったんですね。

はい。そんな感じでやっちゃいます。

不正ユーザーのログインを防ぐ

telnetをすると不正にログインされる可能性が高くなります。

SSHは不正にログインするユーザーへのNW機器の設定変更や、設定情報の観覧を防ぐことが可能です。

cisco ssh設定

まずはログインするユーザー名とパスワードの設定です。
ここで、注意する事はSSHは aaa new-modelを設定しないと動かないので、入れなければいけないのですが、ここでログイン設定をしていないと、ログアウトしたら最後。

一生ログインできませんよ。

戻すにはいったんrommonに落とすって作業をしなければいけなくなっちゃいます。

test01#configure terminal
test01(config)#aaa new-model
test01(config)#username bobo privilege 15 secret 0 test #ログイン設定を忘れない事!

次にドメイン名の設定です。
SSH暗号鍵生成の為に既にホスト名は設定済みなので、ドメイン名を設定しておきます。

test01#configure terminal
test01(config)#ip domain-name cisco.com

SSHのバージョン設定をします。バージョンは1と2がありますがここは、よりセキュアなバージョン2を使用します。
。。。というか、この機器のOSバージョンが低かったので自動的にSSH ver1になってました。。。

test01#configure terminal
test01(config)#ip ssh version 2

それではSSHの接続設定を実施します。
いつも通りにline vtyへ設定を実施します。

ここで、SSHを使用する為に”transpoort input ssh”コマンドを実施します。
privileg level は0〜15まであり、1は通常ユーザーのEXECモード。

今回使用するレベル15はenableパスワードによって、許可されるアクセスレベルとなります。

test01#configure terminal
test01(config)#line vty 5 15
test01(config-line)#privilege level 15
test01(config-line)#transport input ssh

最後にSSHを使用するRSA暗号鍵を生成する為に以下のコマンドを実施します。
コマンド入力後は暗号鍵のサイズを求めてくるので、今回は1024にしました。

test01(config)#crypto key generate rsa
The name for the keys will be: test01.cisco.com
Choose the size of the key modulus in the range of 360 to 2048 for your
  General Purpose Keys. Choosing a key modulus greater than 512 may take
  a few minutes.

How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

SSHアクセス動作確認

Cisco機器でSSHの設定を終えたら、外部機器から、SSHアクセスをしてみましょう。

以下のように鍵が作られます。

[admin@t-bobo011 network-scripts]$ ssh test01
WARNING: RSA key found for host test01
in /home/admin/.ssh/known_hosts:1
RSA key fingerprint 99:b1:01:f1:85:bb:54:18:f1:60:be:48:5c:66:5e:c3.
+--[ RSA 1024]----+
|      o.O*+      |
|     . Xo=E.     |
|      o *o.      |
|     . .oB       |
|      ..S.       |
|        .        |
|                 |
|                 |
|                 |
+-----------------+

The authenticity of host '192.168.255.253 (192.168.255.253)' can't be established
but keys of different type are already known for this host.
RSA1 key fingerprint is bf:0b:7e:51:01:0b:b9:e3:d1:c8:d3:02:c7:fe:9e:4c.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.255.253' (RSA1) to the list of known hosts.
admin@192.168.255.253's password:

後はパスワードを入れてアクセスできればOKっす!

それでは!




エンジニアのオンライン学習

ITエンジニアにおすすめの教材、オンラインスクールです。
無料からエンジニアの学習ができる教材などまとめているので参考にしてください。

おすすめオンライン教材
自宅で学習ができるオンラインスクール

ITエンジニアの開発・検証・学習としてインターネット上で専用のサーバ(VPS)を利用しましょう!
実務経験はVPSで学べます。



コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)

ABOUT US
げんき☆ひろき
インターネット関連のSEをやっています。 ネットワーク、サーバー、ストレージ、仮想基盤まで幅広く手を出しており、MVNOの構築経験もあります。 現在は、Pythonを使ったプログラミングの開発をしネットワークの自動化ツールを作成しています! Pythonの入門書も作成しているので、ぜひ参考にしてください!