SSH

特性简介

SSH（Secure Shell，安全外壳）是一种在不安全的网络环境中，通过加密机制和认证机制，实现安全的远程访问以及文件传输等业务的网络安全协议。

SSH协议采用了典型的客户端/服务器模式，并基于TCP协议协商建立用于保护数据传输的会话通道。设备既可以支持SSH服务器功能，接受多个SSH客户端的连接，也可以支持SSH客户端功能，允许用户通过设备与远程SSH服务器建立SSH连接。

SSH协议有两个版本，SSH1.x和SSH2.0（简称为SSH1和SSH2），两者互不兼容。SSH2在性能和安全性方面比SSH1有所提高。

设备作为SSH服务器时，利用本地密码认证机制验证SSH客户端的用户名和密码的合法性。身份认证通过后，SSH客户端将与SSH服务器建立相应的会话，并在该会话上进行数据信息的交互。

Secure Telnet

Stelnet是Secure Telnet的简称，用于提供安全可靠的网络终端访问服务。相比于传统的Telnet协议，Stelnet通过加密技术确保了数据在网络中的安全传输，同时提供了身份验证的机制，有效防止了黑客对数据和服务器的攻击。

Secure FTP

SFTP是Secure File Transfer Protocol的简称，是基于SSH2的安全文件传输协议，用于提供安全可靠的网络文件传输服务。相比于传统的FTP协议，SFTP通过SSH的加密功能确保了数据在传输过程中的安全性，并提供了身份验证的机制，防止未授权的访问。

Secure Copy

SCP是Secure Copy的简称，是基于SSH2的安全文件复制协议，用于在网络中提供安全的文件复制功能。SCP允许用户在本地主机和远程主机之间安全地复制文件或目录，通过加密技术保护了文件在传输过程中的安全性。

基于ACL过滤用户

基于ACL过滤用户是指通过ACL（Access Control List）来过滤向SSH服务器发起连接的客户端，确保只有经过ACL过滤的合法用户才能登录设备，可以保护设备和网络不受未经授权的用户访问、攻击或篡改。

可以根据登录用户的IP类型（IPv4和IPv6）分开设置过滤IPv4用户的基础ACL和过滤IPv6用户的基础ACL，分别对IPv4 SSH客户端和IPv6 SSH客户端进行访问控制，具体情况如下：

• 当引用的ACL不存在或者引用的ACL为空时，不允许SSH客户端访问设备。

• 当引用的ACL非空时，则只有匹配ACL中permit规则的SSH客户端可以访问设备，其他客户端不可以访问设备。

该配置生效后，只会过滤新建立的SSH连接，不会影响已建立的SSH连接。

最大在线用户数

最大在线用户数是指允许同时连接到SSH服务器的最大用户数。为了防止大量的在线SSH用户数占用过多的系统资源，可以通过设置最大在线用户数来进行限制。一旦当前在线SSH用户数超过设定的最大值时，系统会拒绝新的SSH连接请求，已经在线的用户连接不会收到影响。

SSH服务的端口号

缺省情况下，SSH服务的端口号为22。通过修改缺省的SSH端口号，可以防止恶意用户通过常用的SSH端口进行未经授权的访问，增加系统的安全性。

用户认证超时时间

用户在建立SSH连接时，系统会开始计时，如果SSH用户在设置的用户认证超时时间内没有完成认证，SSH服务器就拒绝该用户的连接。

为了防止不法用户建立起TCP连接后，不进行接下来的认证而占用系统资源，妨碍其它合法用户的正常登录，可以适当调小SSH用户认证超时时间。

用户认证尝试的最大次数

通过配置用户认证尝试的最大次数，可以限制用户尝试登录的次数，防止非法用户对用户名和密码进行恶意地猜测和破解。如果用户的认证次数超过了最大认证次数，还未认证成功，则不再允许认证。

不同认证方式的认证次数统计方式有所不同，具体统计方式如下：

• 在any认证方式下，认证次数是指SSH客户端通过publickey和password两种方式进行认证尝试的次数总和。

• 对于password-publickey认证方式，设备首先对SSH用户进行publickey认证，然后进行password认证，这个过程为一次认证尝试，而不是两次认证尝试。

修改用户认证尝试的最大次数不会影响已经登录的SSH用户，仅对新登录的SSH用户生效。

兼容SSH1版本的客户端

在需要与SSH1版本的客户端进行通信的特定场景中，通过在SSH服务器上开启兼容SSH1版本的客户端功能，使得SSH服务器可以处理来自SSH1版本客户端的连接请求，并进行相应的认证和加密通信，以满足特定业务需求。

是否开启兼容SSH1版本的客户端功能不会影响已经登录的SSH用户，仅对新登录的SSH用户生效。在FIPS模式下，SSH服务器不支持开启兼容SSH1版本的客户端功能。

周期更新RSA密钥对

通过定时更新服务器密钥对，可以防止对密钥对的恶意猜测和破解，从而提高了SSH连接的安全性。

配置周期更新RSA密钥对功能后，从首个SSH1用户登录开始，SSH服务器需要等待后续有新的SSH1用户登录，才会更新当前的RSA服务器密钥对，然后使用新的RSA服务器密钥对与新登录的这个SSH1用户进行密钥对的协商，其中等待的最小时长就为配置的最小更新时间间隔。之后，重复此过程，直到下一个新的SSH1用户登录才会再次触发RSA服务器密钥的更新。

本功能仅对SSH客户端版本为SSH1的用户有效，且在FIPS模式下不支持此配置。

发送IPv4报文的DSCP优先级

DSCP携带在IPv4报文中的ToS字段，用来体现报文自身的优先等级，决定报文传输的优先程度。

发送IPv6报文的DSCP优先级

DSCP携带在IPv6报文中的Trafic class字段，用来体现报文自身的优先等级，决定报文传输的优先程度。

SFTP用户空闲超时时间

当SFTP用户连接的空闲时间超过设定的阈值后，系统会自动断开此用户的连接，从而有效避免用户长期占用连接而不进行任何操作。若同一时间内并发的SFTP连接数较多，可适当减小用户空闲超时时间的取值，及时释放系统资源给新用户接入。

使用限制和注意事项

• 对SSH客户端进行访问控制时，如果引用的ACL不存在或者引用的ACL为空，则不允许SSH客户端访问设备；如果引用的ACL非空，则只有匹配ACL中permit规则的SSH客户端可以访问设备，其他客户端不可以访问设备。

• 如果修改SSH服务的端口号前SSH服务是开启的，则修改端口号后系统会自动重启SSH服务，正在访问的用户将被断开，用户需要重新建立SSH连接后才可以继续访问。

• 如果修改SSH服务的端口号为1～1024之间的知名端口号，有可能会导致其它服务启动失败。

• 设备作为SFTP服务器时，不支持SSH1版本的客户端发起的SFTP连接。

• 设备作为SCP服务器时，不支持SSH1版本的客户端发起的SCP连接。

• 对SSH用户配置的修改，不会影响已经登录的SSH用户，仅对新登录的用户生效。

配置指南

配置思路

SSH基础配置的配置思路如下图所示：

SSH高级配置的配置思路如下图所示：

基础配置

SSH服务配置

SSH服务的具体配置步骤如下：

1. 选择“系统 > 账户管理 > SSH > 基础配置”，进入SSH基础配置页面。

2. 在“SSH（Stelnet）”配置处，选择是否开启Stelnet服务器功能。

3. 在“SFTP”配置处，选择是否开启SFTP服务器功能。

4. 在“SCP”配置处，选择是否开启SCP服务器功能。

5. 开启SSH服务功能后，在“开启SSH服务的账户”配置处可执行以下管理操作：

   • 点击<刷新>按钮，则可以刷新当前开启SSH服务的所有用户的配置信息。

   • 点击<新建>按钮，在“开启SSH服务”配置处选择需要开启SSH服务的用户，在“授权访问目录”配置处选择授权用户访问的路径，点击“操作”列表的确认图标即可保存配置。

   • 选择指定的用户，点击“操作”列表里的编辑图标，可以修改对应用户的SSH服务配置。

   • 选择指定的用户，点击“操作”列表里的删除图标，可以删除对应用户的SSH服务配置。

6. 完成以上配置步骤后，点击<提交>按钮即可提交在SSH基础配置页面执行的修改。

高级配置

基于ACL过滤用户

基于ACL过滤用户的具体配置步骤如下：

1. 选择“系统 > 账户管理 > 服务管理 > SSH > 高级配置”，进入SSH高级配置页面。

2. 在“共用配置”中的“基于ACL过滤用户”配置处，选择开启基于ACL过滤用户功能。

3. 在“过滤IPv4用户的基础ACL”配置处，选择ACL类型，再选择对应的ACL编号，完成对IPv4 SSH客户端的访问控制。

4. 完成以上配置步骤后，点击<提交>按钮即可提交在SSH高级配置页面执行的修改。

最大在线用户数

最大在线用户数的具体配置步骤如下：

1. 选择“系统 > 账户管理 > 服务管理 > SSH > 高级配置”，进入SSH高级配置页面。

2. 在“共用配置”中的“最大在线用户数”配置处，输入允许同时连接到SSH服务器的最大用户数，取值范围为1～32，单位为个，缺省值为32。

3. 完成以上配置步骤后，点击<提交>按钮即可提交在SSH高级配置页面执行的修改。

SSH服务的端口号

SSH服务的端口号的具体配置步骤如下：

1. 选择“系统 > 账户管理 > 服务管理 > SSH > 高级配置”，进入SSH高级配置页面。

2. 在“共用配置”中的“SSH服务的端口号”配置处，输入SSH服务的端口号，取值范围为1～65535，缺省值为22。

3. 完成以上配置步骤后，点击<提交>按钮即可提交在SSH高级配置页面执行的修改。

用户认证超时时间

用户认证超时时间的具体配置步骤如下：

1. 选择“系统 > 账户管理 > 服务管理 > SSH > 高级配置”，进入SSH高级配置页面。

2. 在“共用配置”中的“用户认证超时时间”配置处，输入SSH用户的认证超时时间，取值范围为1～120，单位为秒，缺省值为60。

3. 完成以上配置步骤后，点击<提交>按钮即可提交在SSH高级配置页面执行的修改。

用户认证尝试的最大次数

用户认证尝试的最大次数的具体配置步骤如下：

1. 选择“系统 > 账户管理 > 服务管理 > SSH > 高级配置”，进入SSH高级配置页面。

2. 在“共用配置”中的“用户认证尝试的最大次数”配置处，输入限制SSH用户认证尝试的最大次数，取值范围为1～5，单位为次，缺省值为3。

3. 完成以上配置步骤后，点击<提交>按钮即可提交在SSH高级配置页面执行的修改。

兼容SSH1版本的客户端

兼容SSH1版本的客户端具体配置步骤如下：

1. 选择“系统 > 账户管理 > 服务管理 > SSH > 高级配置”，进入SSH高级配置页面。

2. 在“共用配置”中的“兼容SSH1版本的客户端”配置处，选择是否开启兼容SSH1版本的客户端功能。

3. 完成以上配置步骤后，点击<提交>按钮即可提交在SSH高级配置页面执行的修改。

周期更新RSA密钥对

周期更新RSA密钥对的具体配置步骤如下：

1. 选择“系统 > 账户管理 > 服务管理 > SSH > 高级配置”，进入SSH高级配置页面。

2. 在“共用配置”中的“周期更新RSA密钥对”配置处，选择开启周期更新RSA密钥对功能。

3. 在“最小更新时间间隔”配置处，输入最小更新RSA密钥对的时间间隔，取值范围为1～24，单位为小时，缺省不更新RSA密钥对。

4. 完成以上配置步骤后，点击<提交>按钮即可提交在SSH高级配置页面执行的修改。

发送IPv4报文的DSCP优先级

发送IPv4报文的DSCP优先级的具体配置步骤如下：

1. 选择“系统 > 账户管理 > 服务管理 > SSH > 高级配置”，进入SSH高级配置页面。

2. 在“共用配置”中的“发送IPv4报文的DSCP优先级”配置处，输入发送IPv4报文中携带的DSCP优先级，取值范围为0～63，，缺省值为48。

3. 完成以上配置步骤后，点击<提交>按钮即可提交在SSH高级配置页面执行的修改。

发送IPv6报文的DSCP优先级

发送IPv6报文的DSCP优先级的具体配置步骤如下：

1. 选择“系统 > 账户管理 > 服务管理 > SSH > 高级配置”，进入SSH高级配置页面。

2. 在“共用配置”中的“发送IPv6报文的DSCP优先级”配置处，输入发送IPv6报文中携带的DSCP优先级，取值范围为0～63，，缺省值为48。

3. 完成以上配置步骤后，点击<提交>按钮即可提交在SSH高级配置页面执行的修改。

用户空闲超时时间

用户空闲超时时间的具体配置步骤如下：

1. 选择“系统 > 账户管理 > 服务管理 > SSH > 高级配置”，进入SSH高级配置页面。

2. 在“SFTP”中的“用户空闲超时时间”配置处，输入SFTP用户连接的空闲超时时间，取值范围为1～35791，单位为分钟，缺省值为10。

3. 完成以上配置步骤后，点击<提交>按钮即可提交在SSH高级配置页面执行的修改。