有谁知道通过 puppet 管理 cisco 设备的最佳安全实践是什么?文档说在定义设备时将用户名和密码放在 /etc/puppet/device.conf 文件中。但我怀疑任何公司都希望他们的网络基础设施的用户名和密码以明文形式保存。设置 SSH 密钥也是如此。hiera在这里是一个选择吗?
问问题
215 次
1 回答
0
您只能使用 ssh 密钥连接具有 IOS 15.X 的 cisco 路由器。首先,您必须配置 IOS SSH:
hostname name
ip domain-name name
crypto key generate rsa
!
! Enter length of the key
! define local usernames, use passwords or secrets
!
username cisco password cisco
!
ip ssh version 2
!
line vty 0 4
login local
其次,您需要配置 ssh 密钥对以进行连接:
- 配置 ssh pubkey-chain,您可以在其中输入密钥字符串(来自您的 SSH 公钥文件)或密钥的哈希(由 ssh-keygen 命令显示)。将 id_rsa.pub 文件中的公钥复制/粘贴到终端中更容易:
R(config)#ip ssh pubkey-chain R(conf-ssh-pubkey)#username qwert R(conf-ssh-pubkey-user)#key-string R(conf-ssh-pubkey-data)#_id_rsa.pu_ R(conf-ssh-pubkey-data)#exit
…并让路由器将其转换为密钥哈希,存储在配置中:
R2#show run | section ssh
ip ssh rsa keypair-name SSH
ip ssh version 2
ip ssh pubkey-chain
username pipi
key-hash ssh-rsa lalala
但对于其他 IOS,您只能使用明文密码。
于 2013-11-01T21:28:30.347 回答