이 기사는 SFC-RG Advent Calendar 2017의 10일째입니다.
아무도 쓰지 않기 때문에 묻었습니다.
내년의 NOC에서 영들에게 보여주기 위한 비망록.

개요

Cisco IOS에서 ssh를 통한 공개 키 인증을 활성화하는 방법

와 빠져들

어쩐지 모르지만 당연한 것처럼 패스워드 인증으로 참고 있는 사람이 많은 생각이 든다. 할 수 없는 것이라고 생각했지만 조사하면 방법이 있었으므로 공유.
덧붙여서 Yamaha RTX는 할 수 없다. 슬프다.

검증 환경

Cisco 891FJ

Cisco IOS 15.4

검증에 사용되는 키는 매우 일반적인 RSA

#

router# show version
Cisco IOS Software, C800 Software (C800-UNIVERSALK9-M), Version 15.3(3)M5, 
ROM: System Bootstrap, Version 15.4(1r)T1, RELEASE SOFTWARE (fc1)

설정 내용

클라이언트 PC와 L3로 도통하는 곳까지는 노력해 준다

우선 비밀번호로 SSH 로그인할 수 있도록 한다

[Cisco IOS] SSH를 통한 원격 액세스 설정
등을 참고로 한다.
시간에 여유가 없는 현대 피포를 위해서 필요한 곳을 발췌.

enable용 비밀번호 만들기

cisco1(config)enable secret ぱすわーどは半角英数記号で書く

SSH 활성화 및 버전의 명시적 선언

cisco1(config)# ip ssh version 2

vty 설정

cisco1(config)#line vty 0 4
cisco1(config-line)#login local
cisco1(config-line)#transport input ssh

hostname 및 도메인 설정

cisco1(config)#hostname cisco1

cisco1(config)#crypto key generate rsa
<中略>
How many bits in the modulus [512]: 2048

주: 이 키는 라우터측의 열쇠. 열쇠장은 2017년 12월 현재 2048이라면 문제 없다.

사용자 만들기

cisco1(config)username ユーザー名 privilege 15  secret ぱすわーどは半角英数記号で書く

privilege 값을 15로 설정하면 로그인 직후 관리자 모드 #가됩니다.

공개키 등록

(config) #

cisco1(config)#ip ssh pubkey-chain
cisco1(conf-ssh-pubkey)#username ユーザー
cisco1(conf-ssh-pubkey-user)#key-string
cisco1(conf-ssh-pubkey-data)#公開鍵鍵をペタペタペーストする
cisco1(conf-ssh-pubkey-data)#exit

열쇠를 페타페타할 때 단번에 전부 붙이면 화난다.
5회 정도로 나누어 개행하면서 넣는다.

인증 방식 결정

디폴트에서는, 이하의 3개의 프로토콜이 유효. 암호나 대화식 입력을 사용하지 않으려면 no ip ssh server authenticate user hogehoge하십시오.

(config) #

ip ssh server authenticate user publickey
ip ssh server authenticate user keyboard
ip ssh server authenticate user password

덧붙여서 최근의 IOS-XE에서는 다른 커멘드로의 설정이 필요. (위의 명령을 치면 오래된 것에 의해 화난다)
다음은 ASR1K의 16.9에서의 경우.

(config) #

ip ssh server algorithm authentication password publickey

시도하다

#

cisco1# exit

~/

Macbook% ssh ユーザー名@ルーターのIPアドレス

cisco1#

완료
실패하면 귀찮지만 콘솔 케이블을 연결하여 설정을 검토하십시오 ...

refs.

모두 2017년 12월 참조
Cisco Router - Basic Security
[Cisco IOS] SSH를 통한 원격 액세스 설정