华为设备安全登录示例

常用的华为设备,安全登录配置,本地认证,console 和 ssh 远程登录配置示例。

设备登录安全配置示例

登录设备的两种方式,本地 console 口和远程 STelnet。

本地 console 口登录安全配置示例

通过 Console 口(也称串口)登录交换机是登录设备的最基本方式,也是其他登录方式(如 Telnet 和 STelnet)的基础。一旦攻击者接触到 Console 口后,交换机将暴露给攻击者,交换机的安全无法保障。通过配置 Console 口用户界面的认证方式、用户的认证信息和用户级别,可以保证 Console 登录的安全性。

部署注意事项

  • 如果用户通过 console 口登录设备再进行 console 用户界面配置,所配置的属性需要退出当前登录,再次通过 console 口登录后才会生效。
  • 为充分保证设备安全,首次登录设备时,必须按照要求修改缺省密码,并定期修改密码。

步骤 1

配置 console 用户界面的认证方式:

1
2
3
4
<HUAWEI> system-view
[HUAWEI] user-interface console 0  // 进入Console用户界面
[HUAWEI-console0] authentication-mode aaa  // 配置认证方式为AAA,默认情况下即AAA
[HUAWEI-console0] quit

步骤 2

配置 console 用户认证信息及用户级别:

1
2
3
4
5
[HUAWEI] aaa
[HUAWEI-aaa] local-user abcd password irreversible-cipher abcd@123  // 创建本地用户abcd,登录密码为abcd@123
[HUAWEI-aaa] local-user abcd privilege level 15  // 配置本地用户abcd的级别为15
Warning: This operation may affect online users, are you sure to change the user privilege level ?[Y/N]y
[HUAWEI-aaa] local-user abcd service-type terminal  // 配置本地用户abcd的接入类型为终端用户,即Console用户

步骤 3

通过 console 口连接设备,提示用户输入用户名密码,实现 console 口登录。(配置示例用户为 abcd,密码为 abcd@123)

1
2
3
4
Login authentication
Username:abcd
Password: 
<HUAWEI>

结束

远程 STelnet 登录安全配置示例

Telnet 和 STelnet 是远程登录交换机两种方式,Telnet 协议存在安全风险,而 STelnet 则基于 SSH 协议,实现了在不安全网络上提供安全的远程登录,提供安全信息保障和强大认证功能,保护交换机不受 IP 欺骗等攻击。

部署注意事项

  • 登录设备前,需要确保终端 PC 和设备之间路由可达。
  • 使用 STelnet V1 协议存在安全风险,建议使用 STelnet V2 登录设备。
  • 配置 STelnet 登录交换机前,用户终端应该已安装 SSH 服务器登录软件。如 putty。
  • 通过 STelnet 登录设备需配置用户界面支持的协议是 SSH,必须设置 VTY 用户界面认证方式为 AAA 认证。
  • 为充分保证设备安全,请定期修改密码。

步骤 1

配置 VTY 用户界面的支持协议类型、认证方式和用户级别:

1
2
3
4
5
[HUAWEI] user-interface vty 0 4
[HUAWEI-ui-vty0-4] authentication-mode aaa  // 配置VTY用户界面认证方式为AAA认证
[HUAWEI-ui-vty0-4] protocol inbound ssh  // 配置VTY用户界面支持的协议为SSH,默认情况下即SSH
[HUAWEI-ui-vty0-4] user privilege level 15  // 配置VTY用户界面的级别为15
[HUAWEI-ui-vty0-4] quit

步骤 2

开启 STelnet 服务器功能并创建 SSH 用户:

1
2
3
[HUAWEI] stelnet server enable  // 使能设备的STelnet服务器功能
[HUAWEI] ssh user abcd  // 创建SSH用户abcd
[HUAWEI] ssh user abcd service-type stelnet  // 配置SSH用户的服务方式为STelnet

步骤 3

配置 SSH 用户认证方式为 Password。使用 Password 认证方式时,需要在 AAA 视图下配置与 SSH 用户同名的本地用户:

1
2
3
4
5
6
[HUAWEI] ssh user abcd authentication-type password  // 配置SSH用户认证方式为password
[HUAWEI] aaa
[HUAWEI-aaa] local-user abcd password irreversible-cipher abcd@123  // 创建与SSH用户同名的本地用户和对应的登录密码
[HUAWEI-aaa] local-user abcd privilege level 15  // 配置本地用户级别为15
[HUAWEI-aaa] local-user abcd service-type ssh  // 配置本地用户的服务方式为SSH
[HUAWEI-aaa] quit

配置 SSH 用户认证方式为 RSA、DSA 或 ECC。(以 ECC 认证方式为例,RSA、DSA 认证方式步骤类似)使用 RSA、DSA 或 ECC 认证方式时,需要在 SSH 服务器上输入 SSH 客户端生成的密钥中的公钥部分。这样当客户端登录服务器时,自己的私钥如果与输入的公钥匹配成功,则认证通过。客户端公钥的生成请参见相应的 SSH 客户端软件的帮助文档。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
[HUAWEI] ssh user abcd authentication-type ecc  // 配置SSH用户认证方式为ecc
[HUAWEI] ecc peer-public-key key01 encoding-type pem  // 配置ECC公共密钥编码格式,并进入ECC公共密钥视图,key01为公共密钥名称
Enter "ECC public key" view, return system view with "peer-public-key end".
[HUAWEI-ecc-public-key] public-key-code begin  // 进入公共密钥编辑视图
Enter "ECC key code" view, return last view with "public-key-code end".
[HUAWEI-dsa-key-code] 308188  // 拷贝复制客户端的公钥,为十六进制字符串
[HUAWEI-dsa-key-code] 028180
[HUAWEI-dsa-key-code] B21315DD 859AD7E4 A6D0D9B8 121F23F0 006BB1BB
[HUAWEI-dsa-key-code] A443130F 7CDB95D8 4A4AE2F3 D94A73D7 36FDFD5F
[HUAWEI-dsa-key-code] 411B8B73 3CDD494A 236F35AB 9BBFE19A 7336150B
[HUAWEI-dsa-key-code] 40A35DE6 2C6A82D7 5C5F2C36 67FBC275 2DF7E4C5
[HUAWEI-dsa-key-code] 1987178B 8C364D57 DD0AA24A A0C2F87F 474C7931
[HUAWEI-ecc-key-code] A9F7E8FE E0D5A1B5 092F7112 660BD153 7FB7D5B2
[HUAWEI-ecc-key-code] 171896FB 1FFC38CD
[HUAWEI-ecc-key-code] 0203
[HUAWEI-ecc-key-code] 010001
[HUAWEI-ecc-key-code] public-key-code end  // 退回到公共密钥视图
[HUAWEI-ecc-public-key] peer-public-key end  // 退回到系统视图
[HUAWEI] ssh user abcd assign ecc-key key01  // 为用户abcd分配一个已经存在的公钥key01

步骤 4

在服务器端生成本地密钥对:

1
2
3
4
5
6
7
8
<HUAWEI> system-view
[HUAWEI] ecc local-key-pair create
Info: The key name will be: HUAWEI_Host_ECC.
Info: The key modulus can be any one of the following: 256, 384, 521.
Info: If the key modulus is greater than 512, it may take a few minutes.
Please input the modulus [default=521]:521
Info: Generating keys..........
Info: Succeeded in creating the ECC host keys.

步骤 5

PC 端用 Password 认证方式连接 SSH 服务器。通过 PuTTY 软件登录设备,输入设备的 IP 地址,选择协议类型为 SSH:

1
2
3
4
5
login as: abcd
Sent username "abcd"
abcd@10.10.10.20's password:
Info: The max number of VTY users is 8, and the number of current VTY users on line is 5. The current login time is 2018-12-22 09:35:28+00:00.
<HUAWEI>

结束

network
#ssh #console #huawei
华为设备安全登录示例
https://ywmy.xyz/2021/01/29/华为设备安全登录示例/
作者
ian
发布于
2021年1月29日
许可协议