SSH 認證

從R 81.10.00開始,當您透過SSH登入時,可使用RSA金鑰授權,而非以密碼為基礎的驗證。

警告:此設定在韌體升級後不會保留。

程序:

  1. 建立RSA金鑰,並以OpenSSH格式匯出其公開金鑰。

    • 在Check Point Gaia 作業系統 (或Gaia Embedded 作業系統)上,在專家模式下使用此命令:

      1. 執行適用的命令:

        • 對於早於R 81.10.10內部版本3001的版本

          ssh-keygen -t rsa -b 4096

        • 對於版本R 81.10.10內部版本3001和更高版本

          ssh-keygen -t ecdsa -b 521

        註解:

      2. 在此提示中輸入RSA私密金鑰所需的路徑和檔案名稱:

        Enter file in which to save the key (/home/admin/.ssh/id_rsa):

        注意:您可以在此文件中附加多個密鑰。

        這些金鑰適用於在Quantum Spark裝置上設定的所有系統管理員。

      3. 在此提示中,只需按Enter鍵:

        Enter passphrase (empty for no passphrase):

      4. 在此提示中,只需按Enter鍵:

        Enter same passphrase again:

      來自 Gaia OS 伺服器的範例:

      注意:在此範例中,「/home/admin/MyKey」檔案為RSA私密金鑰,而「/home/admin/MyKey.pub」檔案為RSA公開金鑰。

      		 
      [Expert@HostName:0]# ssh-keygen -t rsa -b 4096
Generating public/private rsa key pair.
Enter file in which to save the key (/home/admin/.ssh/id_rsa): /home/admin/MyKey
Enter passphrase (empty for no passphrase): Press the Enter Key
Enter same passphrase again: Press the Enter Key
Your identification has been saved in /home/admin/MyKey.
Your public key has been saved in /home/admin/MyKey.pub.
The key fingerprint is:
SHA256:iru...   ...   ...   ...   ...   ...bKrY admin@HostName
The key's randomart image is:
+---[RSA 4096]----+
|B=*. ..          |
|.B =o...         |
|  *o=.  .        |
|   O.. .         |
|..* = . S        |
|...@ = *         |
| E= O * .        |
|   = * .         |
|  ..B..          |
+----[SHA256]-----+
[Expert@HostName:0]#

    • 在Linux作業系統上,可使用「openssl」指令或任何其他適用工具。

      請勿設定密碼。

      對於早於R 81.10.10內部版本3001的版本:

      openssl genrsa -out /var/log/MyKey.private 4096

      openssl rsa -in /var/log/MyKey.private -out /var/log/MyKey.public -outform PEM -pubout

      對於版本R 81.10.10內部版本3001及更高版本:

      openssl ecparam -name secp521r1 -genkey -noout -out /var/log/MyKey.private

      openssl ec -in /var/log/MyKey.private -pubout > /var/log/MyKey.public

    • 在Windows作業系統上,可使用「PuTTYgen」工具。

      請勿設定密碼。

      在PuTTY內建說明中,請參閱「Using public keys for SSH authentication」一章。

  2. 將公開金鑰的檔案從Linux伺服器傳輸到電腦:

    範例

    私人密鑰

    公開金鑰

    適用於Gaia作業系統

    /home/admin/MyKey

    /home/admin/MyKey.pub

    適用於Linux作業系統

    /var/log/MyKey.private

    /var/log/MyKey.public

  3. 連線至 Quantum Spark 裝置上的命令列。

  4. 登入。

  5. 如果預設殼層為Gaia Clish關閉 Gaia CLI的預設殼層,則進入專家模式:

    expert

  6. 建立所需的目錄:

    mkdir -v /storage/.ssh

  7. 在此目錄上設定所需的權限:

    chmod 700 /storage/.ssh

  8. 將具有公開金鑰的檔案(在上面的Gaia OS:「MyKey.pub」示例中)從電腦傳輸到Quantum Spark Appliance到此目錄:

    /storage/.ssh

  9. 使用公開金鑰將檔案重新命名為authorized_keys「」:

    mv -v /storage/MyKey.pub /storage/.ssh/authorized_keys

  10. 編輯文件"/pfrm2.0/etc/sshd_config"文件:

    1. 備份目前的檔案:

      cp -v /pfrm2.0/etc/sshd_config{,_BKP}

    2. 編輯目前的檔案:

      vi /pfrm2.0/etc/sshd_config

    3. 變更此行:

      AuthorizedKeysFile       none

      到此行:

      AuthorizedKeysFile       /storage/.ssh/authorized_keys

    4. 儲存文件中變更並關閉編輯器。

  11. 重新啟動 Quantum Spark 裝置。

  12. 在SSH用戶端中,將SSH工作階段設為使用RSA或ECDSA (取決於您的版本)私密金鑰檔案。

    請參考SSH用戶端的文件。

    注意:對於PuTTY,有必要將私密金鑰檔案從OpenSSH格式轉換為PPK格式:

    1. 啟動 PuTTYgen 工具。

    2. 按一下最上面的「轉換次數」選單。

    3. 按一下匯入密鑰。

    4. 選取私密金鑰檔案,然後按一下 開啟

    5. 按一下右下角的「儲存私鑰」。

      請勿設定密碼。

  13. 使用SSH用戶端(使用私密金鑰檔案)連線到Quantum Spark Appliance。

    出現提示時,輸入適用的使用者名稱。

    不應出現輸入密碼的提示。