Резервное копирование конфигурации маршрутизатора Cisco - включая ключи ssh

У нас есть несколько маршрутизаторов Cisco 2821, 2921 и 1921 в нашем магазине. Я могу создать резервную копию и восстановить конфигурации, скопировав или запустив конфигурационный файл, но как насчет ключей для ssh? Я не хочу, чтобы они менялись, если я должен поменять место на новом маршрутизаторе. Это долгая история, но в основном у меня есть некоторые сценарии администратора, которые ssh в маршрутизаторе на автоматизированной основе, и они будут сильно запутаны, если они неожиданно получат это предупреждение «человек в середине». Короче говоря, нужен способ настроить новый маршрутизатор с точно той же конфигурацией, что и тот, который он заменяет, включая ssh-ключи и пароли.

16 голосов | спросил J. L. Tympanum 14 J0000006Europe/Moscow 2013, 18:06:13

3 ответа


10

(Примеры выполняются на ISR 1921 G2)

Прежде чем мы перейдем к деталям, я бы предположил, что вместо резервного копирования вашего ключа вы просто вытаскиваете новый ключ из нового маршрутизатора и обновляете свои скрипты. Вам нужно будет попасть на маршрутизатор без SSH, чтобы загрузить конфигурацию /включить SSH в любом случае. Это можно сделать с помощью скрипта и консольного кабеля ... вы можете даже вытащить новый открытый ключ SSH и автоматически обновить свои сценарии (router # sh ip ssh). Я думаю, что это более безопасный вариант. Однако, чтобы ответить на вопрос о резервном копировании SSH-ключей:

Вам нужно сгенерировать экспортируемые ключи для использования с SSH, а затем экспортировать их в файл PEM с паролем. К сожалению, только два варианта их шифрования - des и 3des.

Сгенерировать ключ:

  home-1921 (config) #crypto key generate rsa общие ключи экспортный код примера ярлыков 4096
Имя для ключей будет: пример

% Размер модуля ключа составляет 4096 бит
% Создание 4096-битных ключей RSA, клавиши будут экспортироваться ...
[OK] (прошедшее время составляло 658 секунд)

Jun 15 11: 10: 05.158:% SSH-5-ENABLED: включен SSH 1.99
дом-1921 (конфигурации) #
 

Назначить SSH, если он еще не назначен:

  home-1921 (config) #ip ssh rsa пример ключевой пары
дом-1921 (конфигурации) #
Jun 15 11: 11: 22.467:% SSH-5-DISABLED: SSH 1.99 отключен
Jun 15 11: 11: 22.467:% SSH-5-ENABLED: включен SSH 1.99
 

Экспортировать ключ:

Это будет экспортировать ключ в терминал, который можно сохранить в файл с помощью скрипта или вручную.

  home-1921 (config) # $ export rsa example pem terminal 3des somepassword
% Имя ключа: пример
   Использование: ключ общего назначения
   Ключевые данные:
----- НАЧАТЬ ПУБЛИЧНЫЙ КЛЮЧ -----
MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAsWwtMdoyj /LKPzXRf53z
8yhIkRAbODN6DXne8JH53PAwtgQ2FrPARvnjWsqWn2EgkHEMkZl5y5tZ0iLITCPf
bK8pXC /9kiLC2VDGQLbHD57AN /+ 6 + 0CoXxGW4FtV1dW4tVzo0YafL3L0rrNY8Snk
nPXUu89RxYu0rnJCJGv3VQ5DS /LMx7RcKdB0oKh5NxrzMGR5AXCtK0d5giHIu5o7
UAO8Q0JHYjHVHTtk8tnK5jhSMT68e4GxtsNSAaf5iA2qXY0E4KSZ + NCQJzM7RKa /
/Sj8wmSHRhGYwEzfVdh + Cp3SRjiNSF4nVcECSEsEo5XzhM + yMHUJWeXw18pVFfED
koen7IRw9Sj + uw0pegIwS4D /eniv /SMfPgjVd6RIm2k35GiH59Y73Bufu23 + Toob
siYsZcbQ3QFohe5ix08pTeyvNXl6d6WlZWsyUfl7B9qIf5dICOfxu22xsFkdd3UX
URyQum /oQPBLEGAaX01vto + ORW /DYXnIz4GXchTVnZMPxk5NGA3Li6advTWT3Vb8
rH0aDSdtybrg0wVyOhEPW9Kx5Kx8ycxisZ7dM9iryvxjNtmmhxn9FS2uSI6mnOmR
aQOG44Jyn /ihzaYuAsfbxHvDnKQKIJtQoJtrbrgjAh93GT /HIyHRLz1iRwGwNwlj
3GUBV1NsL + HVZN68GPOyHfkCAwEAAQ ==
----- КОНЕЦ ПУБЛИЧНЫЙ КЛЮЧ -----
----- НАЧАТЬ ЧАСТНЫЙ КЛЮЧ RSA -----
Proc-Type: 4, ENCRYPTED
DEK-Info: DES-EDE3-CBC, 0243F61FBCFF9FFD

i4lMwdfFZpC48ZFF3RnEOpLZzmv + vSgrHH6DGI /Gm1hB4KK + MC /a1TrrNbNzKPzY
HFs74jLpGvYGb0jL5PbqrCL435F92h + N9SAkp4Tz8x78y4hUnM /2I9X9MhcGXJqE
5U2r47KSYjUO + L41gWRDwwq7uZPXdJMEOr3JhJ6wv1UJx8BkxatmoZyeKMHIAcfQ
JcwHnFnVZP3bNRYSwaMGemrfhg8HiT /JT3gUFj5d8r2pAouY8Vs9j4fM7EIn + CHZ
zGdZf9j3wIYOLjOhGLs7zABRmu4Ik7yv7iNqIOpZLMVegC9iQc6RMav8M3ivt + WU
eNBR7 + VLOYAz1J7bKEx1ZMk9XR4zdNTJlw + 4UuYtXDDlW3OOsBFq /05mKPvaQWCE
/NUrxSSEpgqaLJNJS5V4rgPKhSbg51GeIhkig + NkFIS7EtF /VCMXqaWd0lp7kYig
3arRF0BdZXLsMDhZKmi1JA + rcmCSQIYVaBDc29SMs /Wou99vVazQIs2e1Dkl06Ia
U7VeIwhEJykIl0MhBw + kwD3pNsiPth1xIg3DsDU + bq3gMNhcsl6Pj8FUP + PXdqaa
HSGOy2tnYB60xxFv4vfRiW7JaFse9 + uaesRiPDOC5YUx47yP65xEhiCmKMXD + 9xU
К /ZFYe9AvbJ4A65JjO /QQm5mg82cw5q4x /YQ1EC9T1w5kdjKJg9MkYoZmhHfttUZ
2zuGBFm9FUiW5SnRRp4Pil0aTAMgj8uZaxUdq1nGfyJo2p7TTNXKsE8YMkSwu93p
L914L64 /bI2RLVQCciLZtVnVwAMffNpwtOJQzDDeUDI3i1ZItzehcsXXAWCN5xcQ
+ 0lF6Q3KlrDNGZCtO8vrbDioaFT25ikdAlF0B + pnadetQkXlLs8xdBxxF9lUZjgw
NqkbrYoY /c7Jf7dsWfC7fRqo3EjBxEFPwrdJJpvTtzgp4 /Zk + dcHg0j4K2pFVMeT
sZZzDaWlCaRoKw + OSh2KyzWjGKSzh /мм + ЦДФ /4T + bbhUseRF6eGb0Qk0lMyQv3ja
EE0GnyOYSlcavvIrqpx9v1iLEJLGWi58UiOASnzBlRh33nRqF + uoE5p6k /jgoUWCCccW2SfyEfXJDOg6fqGyKw3XjAJQ0 /t1qWbiIXxtNjH8haO9OgWUn3pKI6PjZwQk
6Eb5ow8WABZXb /PXJ /xjmLKjsmlxeqD31I2CaArV6hRCJoTKXkS2TWHCoHGRAPfL
jrDBiFJ1 + KVnCtuGN1kxRG6fyIMMyFBG7qEzNnHmNnLGP19XHvgSJe0QYNdrkFpZ
IG + Kqz5bHcdEsucB0Efn /N7huu ++ R5XnSRYJnf6iPOTme6qwul3H1YQoaNNAbuch
u98JaciIiSGLesBU4P28FEC4kesslKWcM8Z4GfvX //9zqkB6T1E5 /Jus + x6YtPhp
kMg9ZR195mP11E4MbgP9czk7HnK4Xgrns /DmXRdT1 /d0dPtfng02jWjvOgNUQ1EJ
ZvFd9ZN67nV4ZiDtcVi3756m7UEI2p /2431ecpigy2OUA + d8YKYEbAreMDE7W4Iq
AlUalEiRmjwoerVIgQeB3oa2GElg2IN6llEa1UndI79ma13SJmgpLM + YUW + nS7k6
COiuKllSbLBSF9s4 + ErEXciAAJCGFi7kfFDB59whv1IbmDEGNAamB6oibCewbF0T
xusyjhb2wA0KDq5C3ThlM5KU0g0ACSEuOl /A4AuubwxD7vvC6jiVFw /bCQrRJLJ6
UuEcBTp0vEecdF12NtQWPpg /+ K2PYBi7Yzzc8DZcF97afFmZAtnF3EFLJltywjjK
qcGGCNyDj9MSBEnJigK7m0nYKjsOw5myt5LOhwWMr81OC7s6vgMBdf7qFCHiOUUB
5MwpAzjGgaR85uYqCpCOmW5pjRpRptEocJPxeW6Uy + aFPAEQu92HvFjHk /tvefGX
ttSsOPU5BC1J5xGZIoUfGPRFPYkjLauwQ34hGdQrbhJ3DrEe1pDAwd8 /yIhzNp0o
N8uZDWKegLPrRg1B6CvmY3 + Axiz0ZJZ86LOLa67ZsEkbWpQoy4F8D + z131JFrRcK
v0glY5b2GESUXtVxO668LqbmcO /eoDgBIhNvbrJT1QVgM /rr3poeeARGgff9OQ0i
FpsA4yk4uOqS /TS4OfpG6ymneGao1tJfktXmiR37cpGfkKjHPvI5kE8 /KTOZSdSk
5RYjuCaWW363ysn7XA21Y9NiMYZesKCw8XdxVfVDZB6IphawYZ /a4cyvkYfD5HKw
QeLE7Rv7fGhlUPPWr1WQZOBgnnmAZoxNxkPhC4S62WvdiJNmiIeLrmD50n22zukH
aCj5S6sqXRuHdLB8FiZdi24s9tISBt0kAzK4bg3bvPoaqj3nSL8eirr1qWED /О + 5
xxjJrR7fgY0BdzbqU5gXK22o6PLGzlOIpgFep12dnoYUVL2igRJfTAGSHyMPeJpv
e5mmAqxCz8FGgztZVP + v8MEkz /FDD /bIA0zkeA + 0ugedbI /IkDkS25RdZkpvUpXH
2 + SNL1RJyoYT /uoShAuVv6y9uyvoojX9XNDVmLX10ip8tSsTVbJx97MPzNSaTABe
Zbc5rgU4FJnUIIjb4igmccUrdW7ZknKk2cV9xRv7BHFYAl4hsitcsdKe8IPdX + 2E
WOXl2i2 + ndUkzoqGlr4q8nOgAcr53Msjnn1ljasWHXDpeXRW + Krax + 88UUmv9zEf
T4gyl7shs /​​J24IlgHhJbqD5g10thG9esp8KvaxgeHyuBVpPniWWrecwajKFjfVKp
J9EcxDXRUZH3c4jDIWxpKsGQFFsx9e7p286tcUXwGDBFkYOao9NOcyllltRq + эх
93Sc6hLp /Fd7hIAdZFbnjaemp2llA81cNKIVRUpJ4OyoVSOwhMp + j3m5SOmJdAxu
SWcMKENRU6RSjqZOt15acOktCRRrMbLSxZY + Fw + 1g5IvA1j6mFiK57F569ouYZeP
zvMgPgkDN /ATMd /RkHAWq5 /EjeNmhey52XnHSqyAPmP4mX9qoaYtRYgBTGrKEFNo
05V14xLunvGz + FEsqZ /IwSZYbYkGCpfczQWlRLnLkb8X7gbL /esfKfb3tSsbOluZ
F /bAHniMg51uU2MmpspuWR + SzyWuabWiCkEq7lvXLTwdJGBYduaRH9u14bBCWUuA
----- END RSA ЧАСТНЫЙ КЛЮЧ -----

home-1921 (config) #
 

Тест входа:

  demo-mac: ~ demo $ ssh demo @ <clearared> .205
Невозможно установить подлинность хоста '<cleared> .205 (<cleared> .205)'.
Отпечаток ключа RSA: 6e: c: c3: 45: ab: 2d: a9: 60: 84: fe: 0b: 96: de: cc.
Вы действительно хотите продолжить подключение (да /нет)? да
Предупреждение: постоянное добавление '<clearated. Gt; .205' (RSA) в список известных хостов.
Пароль:

Home-1921 #
 

Хорошо, поэтому мы знаем, что это работает ... время, чтобы стереть NVRAM и перезапустить.

  home-1921 # erase nvram:
Стирание файловой системы nvram приведет к удалению всех файлов конфигурации! Продолжить? [Некоторые]
[OK]
Стереть nvram: завершить
Home-1921 #
Jun 15 11: 16: 19.268:% SYS-7-NV_BLOCK_INIT: Инициализирована геометрия nvram
home-1921 # reload

Изменена конфигурация системы. Сохранить? [да /нет]: нет
Продолжить перезагрузку? [Подтверждение]
 

Теперь мы перенастроим тестовый маршрутизатор, чтобы снова разрешить SSH:

Примечание. Я только создаю новый ключ для демонстрации того, что мой терминал отклоняет новый ключ, но затем принимает восстановленный ключ. Этот шаг не нужен, если вы не убедитесь, что он работает.

  router> ru
маршрутизатор # conf t
Введите команды конфигурации по одному на строку. Завершить CNTL /Z.
router (config) #int G0 /0
router (config-if) #ip добавить <очистить> .205 255.255.255.0
router (config-if) #no shutdown
router (config-if) #exit
router (config) #ip domain-name example.com
router (config) #aaa новая модель
router (config) #aaa authen log def loc
router (config) #aaa автор exe def loc
router (config) #username demo priv 15 sec demo
router (config) #cry key жанр режим 4096
Имя для ключей будет: router.example.com% Размер модуля ключа составляет 4096 бит
% Создание 4096 бит ключей RSA, ключи будут неэкспортируемыми ...
[OK] (прошедшее время составляло 117 секунд)

15 июня 11: 17: 55.247:% SSH-5-ENABLED: включен SSH 1.99
Маршрутизатор (конфигурации) #
 

Теперь отказ от ключа:

  demo-mac: ~ demo $ ssh demo @ <clearared> .205
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@
@ ПРЕДУПРЕЖДЕНИЕ: ИДЕНТИФИКАЦИЯ ДИСТАНЦИОННОГО ОБРАЗЦА ИЗМЕНЕНА! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@
ВОЗМОЖНО, ЧТО КТО-ТО ЧТО-ТО, ЧТО-НИБУДЬ!
Кто-то может подслушивать вас прямо сейчас (нападение «человек-в-середине»)!
Также возможно, что ключ хоста только что был изменен.
Отпечаток пальца для ключа RSA, отправленного удаленным хостом,
8c: 62: d4: 75: 0f: 4с: 59: а8: 81: d2: 01: 1b: 68: 9d: 08: CB.
Пожалуйста, обратитесь к системному администратору.
Добавьте правильный ключ хоста в /Users/demo/.ssh/known_hosts, чтобы избавиться от этого сообщения.
Нарушение ключа RSA в /Users/demo/.ssh/known_hosts:90
Заменился ключ хоста RSA для <clearared> .205, и вы запросили строгую проверку.
Ошибка проверки ключа хоста.
demo-mac: ~ demo $
 

Хорошо, поэтому давайте восстановим ключ и посмотрим, что произойдет:

  router (config) # $ crypto key import rsa example-restore pem terminal somepassword
% Введите общедоступный ключ общего назначения или сертификат PEM-формата.
% Завершить пустую строку или «выйти» на строке.
----- НАЧАТЬ ПУБЛИЧНЫЙ КЛЮЧ -----
MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAsWwtMdoyj /LKPzXRf53z
8yhIkRAbODN6DXne8JH53PAwtgQ2FrPARvnjWsqWn2EgkHEMkZl5y5tZ0iLITCPf
bK8pXC /9kiLC2VDGQLbHD57AN /+ 6 + 0CoXxGW4FtV1dW4tVzo0YafL3L0rrNY8Snk
nPXUu89RxYu0rnJCJGv3VQ5DS /LMx7RcKdB0oKh5NxrzMGR5AXCtK0d5giHIu5o7
UAO8Q0JHYjHVHTtk8tnK5jhSMT68e4GxtsNSAaf5iA2qXY0E4KSZ + NCQJzM7RKa /
/Sj8wmSHRhGYwEzfVdh + Cp3SRjiNSF4nVcECSEsEo5XzhM + yMHUJWeXw18pVFfED
koen7IRw9Sj + uw0pegIwS4D /eniv /SMfPgjVd6RIm2k35GiH59Y73Bufu23 + Toob
siYsZcbQ3QFohe5ix08pTeyvNXl6d6WlZWsyUfl7B9qIf5dICOfxu22xsFkdd3UX
URyQum /oQPBLEGAaX01vto + ORW /DYXnIz4GXchTVnZMPxk5NGA3Li6advTWT3Vb8
rH0aDSdtybrg0wVyOhEPW9Kx5Kx8ycxisZ7dM9iryvxjNtmmhxn9FS2uSI6mnOmR
aQOG44Jyn /ihzaYuAsfbxHvDnKQKIJtQoJtrbrgjAh93GT /HIyHRLz1iRwGwNwlj
3GUBV1NsL + HVZN68GPOyHfkCAwEAAQ ==
----- КОНЕЦ ПУБЛИЧНЫЙ КЛЮЧ -----

% Введите секретный закрытый ключ общего назначения PEM.
% Завершить с "quit" на отдельной строке.
----- НАЧАТЬ ЧАСТНЫЙ КЛЮЧ RSA -----
Proc-Type: 4, ENCRYPTED
DEK-Info: DES-EDE3-CBC, 0243F61FBCFF9FFD

i4lMwdfFZpC48ZFF3RnEOpLZzmv + vSgrHH6DGI /Gm1hB4KK + MC /a1TrrNbNzKPzY
HFs74jLpGvYGb0jL5PbqrCL435F92h + N9SAkp4Tz8x78y4hUnM /2I9X9MhcGXJqE
5U2r47KSYjUO + L41gWRDwwq7uZPXdJMEOr3JhJ6wv1UJx8BkxatmoZyeKMHIAcfQ
JcwHnFnVZP3bNRYSwaMGemrfhg8HiT /JT3gUFj5d8r2pAouY8Vs9j4fM7EIn + CHZ
zGdZf9j3wIYOLjOhGLs7zABRmu4Ik7yv7iNqIOpZLMVegC9iQc6RMav8M3ivt + WU
eNBR7 + VLOYAz1J7bKEx1ZMk9XR4zdNTJlw + 4UuYtXDDlW3OOsBFq /05mKPvaQWCE
/NUrxSSEpgqaLJNJS5V4rgPKhSbg51GeIhkig + NkFIS7EtF /VCMXqaWd0lp7kYig
3arRF0BdZXLsMDhZKmi1JA + rcmCSQIYVaBDc29SMs /Wou99vVazQIs2e1Dkl06Ia
U7VeIwhEJykIl0MhBw + kwD3pNsiPth1xIg3DsDU + bq3gMNhcsl6Pj8FUP + PXdqaa
HSGOy2tnYB60xxFv4vfRiW7JaFse9 + uaesRiPDOC5YUx47yP65xEhiCmKMXD + 9xU
К /ZFYe9AvbJ4A65JjO /QQm5mg82cw5q4x /YQ1EC9T1w5kdjKJg9MkYoZmhHfttUZ
2zuGBFm9FUiW5SnRRp4Pil0aTAMgj8uZaxUdq1nGfyJo2p7TTNXKsE8YMkSwu93p
L914L64 /bI2RLVQCciLZtVnVwAMffNpwtOJQzDDeUDI3i1ZItzehcsXXAWCN5xcQ
+ 0lF6Q3KlrDNGZCtO8vrbDioaFT25ikdAlF0B + pnadetQkXlLs8xdBxxF9lUZjgw
NqkbrYoY /c7Jf7dsWfC7fRqo3EjBxEFPwrdJJpvTtzgp4 /Zk + dcHg0j4K2pFVMeT
sZZzDaWlCaRoKw + OSh2KyzWjGKSzh /мм + ЦДФ /4T + bbhUseRF6eGb0Qk0lMyQv3ja
EE0GnyOYSlcavvIrqpx9v1iLEJLGWi58UiOASnzBlRh33nRqF + uoE5p6k /jgoUWC
CccW2SfyEfXJDOg6fqGyKw3XjAJQ0 /t1qWbiIXxtNjH8haO9OgWUn3pKI6PjZwQk
6Eb5ow8WABZXb /PXJ /xjmLKjsmlxeqD31I2CaArV6hRCJoTKXkS2TWHCoHGRAPfL
jrDBiFJ1 + KVnCtuGN1kxRG6fyIMMyFBG7qEzNnHmNnLGP19XHvgSJe0QYNdrkFpZ
Ig + Kqz5bHcdEsucB0Efn /N7huu ++ R5XnSRYJnf6iPOTme6qwul3H1YQoaNNAbuch
u98JaciIiSGLesBU4P28FEC4kesslKWcM8Z4GfvX //9zqkB6T1E5 /ЮС + x6YtPhpkMg9ZR195mP11E4MbgP9czk7HnK4Xgrns /DmXRdT1 /d0dPtfng02jWjvOgNUQ1EJ
ZvFd9ZN67nV4ZiDtcVi3756m7UEI2p /2431ecpigy2OUA + d8YKYEbAreMDE7W4Iq
AlUalEiRmjwoerVIgQeB3oa2GElg2IN6llEa1UndI79ma13SJmgpLM + YUW + nS7k6
COiuKllSbLBSF9s4 + ErEXciAAJCGFi7kfFDB59whv1IbmDEGNAamB6oibCewbF0T
xusyjhb2wA0KDq5C3ThlM5KU0g0ACSEuOl /A4AuubwxD7vvC6jiVFw /bCQrRJLJ6
UuEcBTp0vEecdF12NtQWPpg /+ K2PYBi7Yzzc8DZcF97afFmZAtnF3EFLJltywjjK
qcGGCNyDj9MSBEnJigK7m0nYKjsOw5myt5LOhwWMr81OC7s6vgMBdf7qFCHiOUUB
5MwpAzjGgaR85uYqCpCOmW5pjRpRptEocJPxeW6Uy + aFPAEQu92HvFjHk /tvefGX
ttSsOPU5BC1J5xGZIoUfGPRFPYkjLauwQ34hGdQrbhJ3DrEe1pDAwd8 /yIhzNp0o
N8uZDWKegLPrRg1B6CvmY3 + Axiz0ZJZ86LOLa67ZsEkbWpQoy4F8D + z131JFrRcK
v0glY5b2GESUXtVxO668LqbmcO /eoDgBIhNvbrJT1QVgM /rr3poeeARGgff9OQ0i
FpsA4yk4uOqS /TS4OfpG6ymneGao1tJfktXmiR37cpGfkKjHPvI5kE8 /KTOZSdSk
5RYjuCaWW363ysn7XA21Y9NiMYZesKCw8XdxVfVDZB6IphawYZ /a4cyvkYfD5HKw
QeLE7Rv7fGhlUPPWr1WQZOBgnnmAZoxNxkPhC4S62WvdiJNmiIeLrmD50n22zukH
aCj5S6sqXRuHdLB8FiZdi24s9tISBt0kAzK4bg3bvPoaqj3nSL8eirr1qWED /О + 5
xxjJrR7fgY0BdzbqU5gXK22o6PLGzlOIpgFep12dnoYUVL2igRJfTAGSHyMPeJpv
e5mmAqxCz8FGgztZVP + v8MEkz /FDD /bIA0zkeA + 0ugedbI /IkDkS25RdZkpvUpXH
2 + SNL1RJyoYT /uoShAuVv6y9uyvoojX9XNDVmLX10ip8tSsTVbJx97MPzNSaTABe
Zbc5rgU4FJnUIIjb4igmccUrdW7ZknKk2cV9xRv7BHFYAl4hsitcsdKe8IPdX + 2E
WOXl2i2 + ndUkzoqGlr4q8nOgAcr53Msjnn1ljasWHXDpeXRW + Krax + 88UUmv9zEf
T4gyl7shs /​​J24IlgHhJbqD5g10thG9esp8KvaxgeHyuBVpPniWWrecwajKFjfVKp
J9EcxDXRUZH3c4jDIWxpKsGQFFsx9e7p286tcUXwGDBFkYOao9NOcyllltRq + эх
93Sc6hLp /Fd7hIAdZFbnjaemp2llA81cNKIVRUpJ4OyoVSOwhMp + j3m5SOmJdAxu
SWcMKENRU6RSjqZOt15acOktCRRrMbLSxZY + Fw + 1g5IvA1j6mFiK57F569ouYZeP
zvMgPgkDN /ATMd /RkHAWq5 /EjeNmhey52XnHSqyAPmP4mX9qoaYtRYgBTGrKEFNo
05V14xLunvGz + FEsqZ /IwSZYbYkGCpfczQWlRLnLkb8X7gbL /esfKfb3tSsbOluZ
F /bAHniMg51uU2MmpspuWR + SzyWuabWiCkEq7lvXLTwdJGBYduaRH9u14bBCWUuA
----- END RSA ЧАСТНЫЙ КЛЮЧ -----
выход
% Импорт пары ключей успешно выполнен.

маршрутизатор (config) #
 

ответил some_guy_long_gone 15 J0000006Europe/Moscow 2013, 15:43:47
11

Резервное копирование ключей хоста для их замены - больше проблем, чем того стоит.

Если вы не хотите, чтобы ваши скрипты блокировали изменения ключа (в * nix), запустите ssh , как это ...

  ssh -o UserKnownHostsFile = /dev /null -o StrictHostKeyChecking = no username @ hostname
 

Это говорит клиенту ssh использовать пустой файл известных узлов и не требует строгих проверок ключей.

Как указано в комментариях, вы удаляете защиту, связанную с проверкой ключей SSH, отключая проверку ключа хоста. Вы можете уменьшить этот риск, запустив IDS в среде или используя очень строгие функции безопасности Layer2 на этом Vlan:

  • arpwatch
  • Динамический контроль ARP или статические методы ARP на уровне хоста
  • Отслеживание DHCP
  • Безопасность портов Ethernet
ответил Mike Pennington 14 J0000006Europe/Moscow 2013, 18:24:10
3

Простой ответ ... напрямую не удается получить ключи. Они хранятся в nvram private-config, который не доступен пользователю. Если ключ был создан по умолчанию, то он не был установлен как экспортируемый, и, следовательно, не может быть восстановлен .

@legioxi уже предоставил «длинный ответ» (сделать их ключами экспортируемыми и экспортировать /импортировать)

Еще один вариант - использование «защищенного маркера usb» ( usbtoken # ) для хранения ключей. Маркер может быть перемещен при замене маршрутизатора. Однако этот токен по-прежнему является единственной копией. Поэтому может потребоваться более задействованный метод экспорта.

С положительной стороны, ключи необходимо скопировать один раз. (вся суть ключа никогда не меняется - даже при замене оборудования.)

[ См. также ]

ответил Ricky Beam 17 J0000006Europe/Moscow 2013, 21:15:11

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132