【分享】华为设备登录安全配置案例

news2024/12/26 4:52:08

微思网络www.xmws.cn,2002年成立,专业IT认证培训21年,面向全国招生!

微 信 号 咨 询: xmws-IT

华为HCIA试听课程:超级实用,华为VRP系统文件详解【视频教学】华为VRP系统文件详解

华为HCIA试听课程:不会传输层协议,HCIA都考不过【视频教学】华为传输层协议

华为HCIA试听课程:网络工程师的基本功:网络地址转换NAT 【视频教学】网络地址转换NAT


在现网中,登录设备的方式主要有以下两种:本地Console口和远程STelnet。

本地Console口登录安全配置示例

通过Console口(也称串口)登录交换机是登录设备的最基本方式,也是其他登录方式(如Telnet和STelnet)的基础。一旦攻击者接触到Console口后,交换机将暴露给攻击者,交换机的安全无法保障。通过配置Console口用户界面的认证方式、用户的认证信息和用户级别,可以保证Console登录的安全性。

部署注意事项
  • 如果用户通过Console口登录设备再进行Console用户界面配置,所配置的属性需退出当前登录,再次通过Console口登录才会生效。

  • 为充分保证设备安全,首次登录设备时,必须按照要求修改缺省密码,并定期修改密码。

配置步骤
  1. 配置Console用户界面的认证方式。

    <HUAWEI> system-view
    [HUAWEI] user-interface console 0    //进入Console用户界面
    [HUAWEI-console0] authentication-mode aaa    //配置认证方式为AAA,默认情况下即AAA
    [HUAWEI-console0] quit
    
  2. 配置Console用户的认证信息及用户级别。

    [HUAWEI] aaa
    [HUAWEI-aaa] local-user admin123 password irreversible-cipher YsHsjx_202206   //创建本地用户admin123,登录密码为YsHsjx_202206
    [HUAWEI-aaa] local-user admin123 privilege level 15    //配置本地用户admin123的级别为15
    Warning: This operation may affect online users, are you sure to change the user privilege level ?[Y/N]y
    [HUAWEI-aaa] local-user admin123 service-type terminal    //配置本地用户admin123的接入类型为终端用户,即Console用户
    
  3. 通过Console口连接设备,提示用户输入用户名和密码,实现Console口登录设备。(本举例配置的用户名为admin123,密码为YsHsjx_202206)

    Login authentication
    
    Username:admin123 
    Password: 
    <HUAWEI> 
    

远程STelnet登录安全配置示例

Telnet和STelnet是远程登录交换机两种方式,Telnet协议存在安全风险,而STelnet则基于SSH协议,实现了在不安全网络上提供安全的远程登录,提供安全信息保障和强大认证功能,保护交换机不受IP欺骗等攻击。

部署注意事项
  • 登录设备前,需要确保终端PC和设备之间路由可达。

  • 使用STelnet V1协议存在安全风险,建议使用STelnet V2登录设备。

  • 配置STelnet登录交换机前,用户终端应该已安装SSH服务器登录软件。本举例中,SSH服务器登录软件以第三方软件PuTTY为例。

  • 通过STelnet登录设备需配置用户界面支持的协议是SSH,必须设置VTY用户界面认证方式为AAA认证。

  • 为充分保证设备安全,请定期修改密码。

配置步骤

  1. 配置VTY用户界面的支持协议类型、认证方式和用户级别。

    [HUAWEI] user-interface vty 0 4
    [HUAWEI-ui-vty0-4] authentication-mode aaa    //配置VTY用户界面认证方式为AAA认证
    [HUAWEI-ui-vty0-4] protocol inbound ssh    //配置VTY用户界面支持的协议为SSH,默认情况下即SSH
    [HUAWEI-ui-vty0-4] user privilege level 15    //配置VTY用户界面的级别为15
    [HUAWEI-ui-vty0-4] quit
    
  2. 开启STelnet服务器功能并创建SSH用户。

    [HUAWEI] stelnet server enable    //使能设备的STelnet服务器功能
    [HUAWEI] ssh user admin123    //创建SSH用户admin123
    [HUAWEI] ssh user admin123 service-type stelnet    //配置SSH用户的服务方式为STelnet
    
  3. 配置SSH用户认证方式。

    配置SSH用户认证方式为Password。
    使用Password认证方式时,需要在AAA视图下配置与SSH用户同名的本地用户。
    [HUAWEI] ssh user admin123 authentication-type password    //配置SSH用户认证方式为password
    [HUAWEI] aaa
    [HUAWEI-aaa] local-user admin123 password irreversible-cipher YsHsjx_202206    //创建与SSH用户同名的本地用户和对应的登录密码
    [HUAWEI-aaa] local-user admin123 privilege level 15    //配置本地用户级别为15
    [HUAWEI-aaa] local-user admin123 service-type ssh    //配置本地用户的服务方式为SSH
    [HUAWEI-aaa] quit
    
    配置SSH用户认证方式为RSA、DSA或ECC。(以ECC认证方式为例,RSA、DSA认证方式步骤类似)
    使用RSA、DSA或ECC认证方式时,需要在SSH服务器上输入SSH客户端生成的密钥中的公钥部分。这样当客户端登录服务器时,自己的私钥如果与输入的公钥匹配成功,则认证通过。客户端公钥的生成请参见相应的SSH客户端软件的帮助文档。
    [HUAWEI] ssh user admin123 authentication-type ecc    //配置SSH用户认证方式为ecc
    [HUAWEI] ecc peer-public-key key01 encoding-type pem    //配置ECC公共密钥编码格式,并进入ECC公共密钥视图,key01为公共密钥名称
    Enter "ECC public key" view, return system view with "peer-public-key end".
    [HUAWEI-ecc-public-key] public-key-code begin    //进入公共密钥编辑视图
    Enter "ECC key code" view, return last view with "public-key-code end".
    [HUAWEI-dsa-key-code] 308188    //拷贝复制客户端的公钥,为十六进制字符串
    [HUAWEI-dsa-key-code] 028180
    [HUAWEI-dsa-key-code] B21315DD 859AD7E4 A6D0D9B8 121F23F0 006BB1BB
    [HUAWEI-dsa-key-code] A443130F 7CDB95D8 4A4AE2F3 D94A73D7 36FDFD5F
    [HUAWEI-dsa-key-code] 411B8B73 3CDD494A 236F35AB 9BBFE19A 7336150B
    [HUAWEI-dsa-key-code] 40A35DE6 2C6A82D7 5C5F2C36 67FBC275 2DF7E4C5
    [HUAWEI-dsa-key-code] 1987178B 8C364D57 DD0AA24A A0C2F87F 474C7931
    [HUAWEI-ecc-key-code] A9F7E8FE E0D5A1B5 092F7112 660BD153 7FB7D5B2
    [HUAWEI-ecc-key-code] 171896FB 1FFC38CD
    [HUAWEI-ecc-key-code] 0203
    [HUAWEI-ecc-key-code] 010001
    [HUAWEI-ecc-key-code] public-key-code end    //退回到公共密钥视图
    [HUAWEI-ecc-public-key] peer-public-key end    //退回到系统视图
    [HUAWEI] ssh user admin123 assign ecc-key key01    //为用户admin123分配一个已经存在的公钥key01
    
  4. 在服务器端生成本地密钥对。

     system-view
    [HUAWEI] ecc local-key-pair create
    Info: The key name will be: HUAWEI_Host_ECC.
    Info: The key modulus can be any one of the following: 256, 384, 521.
    Info: If the key modulus is greater than 512, it may take a few minutes.
    Please input the modulus [default=521]:521
    Info: Generating keys..........
    Info: Succeeded in creating the ECC host keys.
    
  5. 客户端STelnet登录设备。

    PC端用Password认证方式连接SSH服务器。

    通过PuTTY软件登录设备,输入设备的IP地址,选择协议类型为SSH。
     

    图片


     

    点击“Open”,出现如下界面,输入用户名和密码,并按Enter键,至此已登录到SSH服务器。(以下显示信息仅为示例)

    login as: admin123
    Sent username "admin123"
    
    admin123@10.10.10.20's password:
    
    Info: The max number of VTY users is 8, and the number
          of current VTY users on line is 5.
          The current login time is 2022-12-22 09:35:28+00:00.
    <HUAWEI>

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/914485.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

IDEA快速设置Services窗口

现在微服务下面会有很多SpringBoot服务&#xff0c;Services窗口方便我们管理各个SpringBoot服务&#xff0c;但有时IDEA打开项目后无法的看到Services窗口&#xff0c;以下步骤可以解决&#xff01;

shell脚本免交互

一.Here Document免交互 1.免交互概述 使用I/O重定向的方式将命令列表提供给交互式程序 是一种标准输入&#xff0c;只能接收正确的指令或命令 2.格式&#xff1a; 命令 <<标记 ....... 内容 #标记之间是传入内容 ....... 标记 注意事项 标记可以使用任意的合法…

无类别域间路由(Classless Inter-Domain Routing, CIDR):理解IP网络和子网划分(传统的IP地址类ABCDE:分类网络)

文章目录 无类别域间路由&#xff08;CIDR&#xff09;&#xff1a;理解IP网络和子网划分引言传统的IP地址类关于“IP地址的浪费” IP地址与CIDRIP地址概述网络号与主机号CIDR记法&#xff08;网络 网络地址/子网掩码&#xff09;网络和广播地址 CIDR的优势减少路由表项缓解IP…

【AUTOSAR标准规范的下载和阅读方法】

AUTOSAR标准规范的下载和阅读方法 文章目录 AUTOSAR标准规范的下载和阅读方法下载方法 下载方法 我们可以去AUTOSAR的官网进行AUTOSAR标准规范的下载&#xff1a; 官网&#xff1a;https://www.autosar.org/ 步骤如下图&#xff1a; 比如&#xff0c;如果我们想下载Classic P…

【PHP面试题82】system和exec是用来做什么的?有什么区别

文章目录 &#x1f680;一、前言&#xff0c;PHP中system和exec命令的作用&#x1f680;二、system()函数&#x1f680;三、exec()函数&#x1f680;四、区别和应用场景&#x1f50e;4.1 使用system()函数的应用场景&#x1f50e;4.2 使用exec()函数的应用场景&#x1f50e;4.3…

视频云存储/安防监控EasyCVR视频汇聚平台分发rtsp流时,出现“用户已过期”提示该如何解决?

视频云存储/安防监控EasyCVR视频汇聚平台基于云边端智能协同&#xff0c;支持海量视频的轻量化接入与汇聚、转码与处理、全网智能分发、视频集中存储等。音视频流媒体视频平台EasyCVR拓展性强&#xff0c;视频能力丰富&#xff0c;具体可实现视频监控直播、视频轮播、视频录像、…

mysql并行效率提升

下面是一个并行读取mysql数据库表的测试程序&#xff0c;测试结果发现&#xff0c;读取10个表&#xff0c;1个个读取&#xff0c;和并行读取10个&#xff0c;效率一样&#xff0c;甚至并行读取还慢很多&#xff0c;这是为什么&#xff1f; con get_db_conn() results {} poo…

Mybatis 建立依赖失败:报错Dependency ‘mysql:mysql-connector-java:8.0.28‘ not found

Mybatis 建立依赖失败&#xff1a;报错Dependency ‘mysql:mysql-connector-java:8.0.28’ not found 解决办法&#xff1a; 写完依赖代码&#xff0c;直接重构&#xff0c;下载依赖。 图片: ![Alt](https://img-home.csdnimg.cn/images/20220524100510.png Mac 版本注意Ide…

1.Flink源码编译

目录 目录 1.1软件安装 1.1.1 jdk 1.1.2 maven 1.1.3 node js 1.2 下载flink源码 1.3 编译源码 1.4 idea打开flink源码 1.5 运行wordcount 1.1软件安装 软件地址 链接&#xff1a;https://pan.baidu.com/s/1ZxYydR8rBfpLCcIdaOzxVg 提取码&#xff1a;12xq 1.1.1 …

Python——列表(list)推导式

本文基于python3。 目录 1、Python推导式2、列表(list)推导式2.1、定义2.2、实际操作2.2.1、一个表达式&#xff0c;后面为一个 for 子句2.2.2、一个表达式&#xff0c;后面为一个 for 子句&#xff0c;然后&#xff0c;跟着if 子句。2.2.3、一个表达式&#xff0c;后面为一个…

华纳云:ubuntu下nginx服务器如何配置

在Ubuntu操作系统上配置Nginx服务器涉及以下步骤。这里我将提供一个基本的配置示例&#xff0c;你可以根据自己的需求进行修改和定制。 安装 Nginx&#xff1a; 打开终端&#xff0c;并输入以下命令来安装 Nginx&#xff1a; sudo apt update sudo apt install nginx 启动 …

【剑指offer】【C语言】调整数组中奇偶数顺序_冒泡法+二分法_调整该数组中数字的顺序使得数组中所有的奇数位于数组的前半部分,所有偶数位于数组的后半部分

题目&#xff1a; 输入一个整数数组&#xff0c;实现一个函数&#xff0c;来调整该数组中数字的顺序使得数组中所有的奇数位于数组的前半部分&#xff0c;所有偶数位于数组的后半部分。 示例&#xff1a;{4&#xff0c;6&#xff0c;5&#xff0c;7&#xff0c;2&#xff0c;3…

2023.8 - java - Number类和Math类

一般地&#xff0c;当需要使用数字的时候&#xff0c;我们通常使用内置数据类型&#xff0c;如&#xff1a;byte、int、long、double 等。 然而&#xff0c;在实际开发过程中&#xff0c;我们经常会遇到需要使用对象&#xff0c;而不是内置数据类型的情形。为了解决这个问题&a…

时序分解 | MATLAB实现基于SVMD逐次变分模态分解的信号分解分量可视化

时序分解 | MATLAB实现基于SVMD逐次变分模态分解的信号分解分量可视化 目录 时序分解 | MATLAB实现基于SVMD逐次变分模态分解的信号分解分量可视化效果一览基本介绍程序设计参考资料 效果一览 基本介绍 SVMD分解算法&#xff0c;分解结果可视化&#xff0c;MATLAB程序&#xff…

【微服务学习笔记】认识微服务

【微服务学习笔记】认识微服务 单体架构 分布式架构 微服务架构 SpringCloud 服务拆分和注意事项 服务拆分的案例demo 各个服务之间的数据库都是相互独立的&#xff0c;你不能直接访问对方的数据库&#xff0c;只能从一个服务像另外一个服务发起远程调用 在订单模块的服务中 …

【面试经典150题】移除元素·JavaScript版

题目来源 大致思路&#xff1a;遍历数组&#xff0c;如果遇到值为val的元素&#xff0c;使用数组最后一个元素替换它。详细过程&#xff1a; /*** param {number[]} nums* param {number} val* return {number}*/ var removeElement function(nums, val) {let i0,nnums.leng…

【数据库】表操作 习题总结

目录 关系建表 数据库sql的执行顺序 内外连接的写法 1.设计一张商品表 2.设计一张老师表 3.设计一张图书表 4.查询练习 5.查询练习 6.设计一个考勤系统 7.设计一个学校宿舍管理系统 8.设计一个车辆违章系统 9.设计一个学校食堂管理系统 10.有一张员工表emp&#xf…

Redis三种持久化方式详解

一、Redis持久性 Redis如何将数据写入磁盘 持久性是指将数据写入持久存储&#xff0c;如固态磁盘&#xff08;SSD&#xff09;。Redis提供了一系列持久性选项。其中包括&#xff1a; RDB&#xff08;快照&#xff09;&#xff1a;RDB持久性以指定的时间间隔执行数据集的时间点…

wazuh初探系列二 :Wazuh功能初步探知

目录 介绍 主动响应&#xff1a; 监控日志 "bin"目录用途&#xff1a; 告警信息&#xff1a; etc 目录中包含了以下主要的配置文件&#xff1a; ruleset&#xff1a;自带规则库&#xff0c;建议不改 rules目录: 解码器&#xff1a; 登录日志格式&#xff1a…

使用kubeadm方式快速部署一个K8S集群

目录 一、环境准备 二、环境初始化 三、在所有主机上安装相关软件 1、安装docker 2、配置k8s的yum源 3、安装kubelet、kubeadm、kubectl 四、部署Kubernetes Master 五、加入Kubernets Node 六、部署CNI网络插件 七、测试k8s集群 一、环境准备 我的是CentOS7系统&am…