SSH 認證

從 R81.10.00 開始，使用 SSH 金鑰認證登入時可以使用 RSA 金鑰認證，而不是基於密碼的認證。

警告 - 此配置在韌體升級後不會保留。

程序

1. 在 Linux OS 上，建立 RSA 金鑰並以openSSH 格式匯出其公鑰。

   • 在 Linux OS 上，您可以使用 openssl 或任何其他工具。

   • 在 Check Point Gaia OS（不是 Gaia Embedded）上使用以下指令：

     ssh-keygen -t rsa -b 4096

     來自 Gaia OS 伺服器的範例：

     注意 - 在此範例中，/home/admin/MyKey 檔案是 RSA 私鑰，/home/admin/MyKey.pub 檔案是 RSA 公鑰。

     [Expert@HostName:0]# ssh-keygen -t rsa -b 4096

     Generating public/private rsa key pair.

     Enter file in which to save the key (/home/admin/.ssh/id_rsa): /home/admin/MyKey

     Enter passphrase (empty for no passphrase): ****

     Enter same passphrase again: ****

     Your identification has been saved in /home/admin/MyKey.

     Your public key has been saved in /home/admin/MyKey.pub.

     The key fingerprint is:

     XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX admin@HostName

     [Expert@HostName:0]#

     註解： 詳閱 https://linux.die.net/man/1/ssh-keygen 詳閱 https://www.ssh.com/academy/ssh/keygen 出現提示時，輸入儲存 RSA 私鑰的路徑和檔案名 出現提示時，輸入密碼 - 這將成為使用者的密碼 您可以在此文件中附加多個按鍵。這些金鑰對於設備上配置的所有管理員均有效。

2. 將 OpenSSH 格式包含公鑰的檔案（在上面的範例中為 /home/admin/MyKey.pub）傳輸到 Quantum Spark Appliance 的 /storage/ 分區。

3. 連線至 Quantum Spark 設備上的指令列。

4. 登錄到專家模式。

5. 建立所需的目錄：

   mkdir /storage/.ssh

6. 在此目錄上配置所需的權限：

   chmod 700 /storage/.ssh

7. 將帶有公鑰的檔案移至新目錄並將檔案名稱變更為「authorized_keys」：

   mv /storage/MyKey.pub /storage/.ssh/authorized_keys

8. 配置公鑰檔案所需的權限：

   chmod 600 /storage/.ssh/authorized_keys

9. 編輯文件 /pfrm2.0/etc/sshd_config:

   1. 編輯文件：

      vi /pfrm2.0/etc/sshd_config

   2. 搜尋以以下內容開頭的行：

      AuthorizedKeysFile

      韌體安裝/升級後，預設行是：

      AuthorizedKeysFile       none

   3. 在此行中，將值從「none」更改為包含公鑰的「authorized_keys」檔案的絕對路徑：

      AuthorizedKeysFile       /storage/.ssh/authorized_keys

   4. 儲存文件中的變更並退出 Vi 編輯器。

10. 重新啟動 Quantum Spark 設備。