[linux] Re: OT? SSH login met key van Linux op Cisco

Hugo van der Kooij hvdkooij op vanderkooij.org
Zo Jan 29 11:13:01 CET 2006 

On Sun, 29 Jan 2006, Rob Sterenborg wrote:

> >> Zoek je iets als dit ?
> >> http://www.zdnetasia.com/insight/network/0,39044847,39274009,00.htm
> >
> > Cisco ondersteunt het niet volgens hun eigen FAQ:
> > http://www.cisco.com/en/US/tech/tk583/tk617/technologies_q_and
> > _a_item09186a0080267e0f.shtml#qa6
> >
> > Zelfs een achterdeurtje bouwen zadelt je nog steeds met een password
> >   prompt op: username achterdeurtje access-class 100 privilege 15
> > nopassword (Al is het een leeg password)
>
> "Then, create an RSA encryption key pair for the router to use for
> authentication and encryption of the SSH data. One of the questions you
> must answer during this process is the modulus size of the key. Make
> sure the key modulus is at least 768 bits. Here's an example:
>
> TR-Router(config)# crypto key generate rsa"
>
> Ik bedoel ; je zou zeggen dat de Cisco doc de waarheid spreekt over een
> Cisco product, maar dan is de vraag : waarom en waarvoor kan je dan een
> ssh key *pair* op een Cisco router maken (dat is toch een
> public-/private key bedoelt voor een SSH-server/-client) ?

Dat veronderstelt dat een keypair te gebruiken is voor authenticatie. En
dat doen ze dus niet in IOS. Zo simpel is het. Het fenomeen dat een
account zonder password toch om een password vraagt is ook veelzeggend.

Een keypair is per definitie nodig om encryptie te doen. Daarnaast moet ik
mijn key op de router zetten als ik mij zonder password zou willen
authenticeren.

> Ik ben nog wat verder gaan zoeken alleen ben ik niet zo bekend met Cisco
> als jij dus het kan zijn dat het niet voor jouw router(s) geldt, of
> misschien snap ik er gewoon helemaal niets van ;^) :
>
> http://www.cisco.com/en/US/products/hw/contnetw/ps4162/products_configur
> ation_guide_chapter09186a0080328fe3.html#wp1158804

De GSS is een volledig ander product. Er staat nu Cisco op de buitenkant
maar je kan het voor bijna alles beschouwen als een ander merk
apparatuur. Heeft niets met Cisco routers van doen.

> http://www.cisco.com/en/US/products/hw/vpndevc/ps4077/products_configura
> tion_example09186a00802c0b1e.shtml

De Cisco IDS is weer een heel andere familie.

Als je iets relevant zoekt is het keyword IOS een verplichting. Anders
praat je over iets fundamenteels anders. En als het volgend jaar in IOS
komt zal ik wel geen trek hebben in die IOS versie want 12.4 eet al meer
geheugen weg dan ik beschikbaar heb en daarom moet ik op IOS 12.3
blijven. (Helaas geen IPv6 mobility dus voor mij.)

Het zal dus wel kron en tftp worden.

Hugo.

-- 
	I hate duplicates. Just reply to the relevant mailinglist.
	hvdkooij op vanderkooij.org		http://hvdkooij.xs4all.nl/
		Don't meddle in the affairs of magicians,
		for they are subtle and quick to anger.

More information about the Linux mailing list