命令手册-安全分册03ssh2

1 1 1 3displaysftpclient 4displaysshclient 5displayssh 5displaysshserver- 7displaysshuser- 8 9 9 public-keylocalexport public-keylocalexport public-keypeerimport sftpclient sftpserver sftpserveridle- ssh -time sshclient sshserver sshserverrekey- ssh 第1SSH2.0配置

displaypublic-keylocal{dsa|rsa}1：displaypublic-keylocal命令用来显示本地密钥对中的公钥部分。相关配置可参考命令public-keylocalcreate。

<Sysname>displaypublic-keylocalrsaTimeofKeypaircreated:19:59:162006/10/25Keyname:HOST_KEYKeytype:RSAEncryptionKeycode:TimeofKeypaircreated:19:59:172006/10/25Keyname:SERVER_KEYKeytype:RSAEncryptionKeycode:<Sysname>displaypublic-keylocaldsaTimeofKeypaircreated:20:00:162006/10/25Keyname:HOST_KEYKeytype:DSAEncryptionKeycode:表1-1displaypublic-keylocal命令显示信息描述TimeofKeypairKeyKeyKey

displaypublic-keypeer[brief|namepublickey-name1：相关配置可参考命令public-keypeer。

<Sysname>displaypublic-keypeernameKeyname:idrsaKeytype:RSAKeymodule:1024KeyCode:表1-2displaypublic-keypeername命令显示信息描述KeyKeyKeyKey<Sysname>displaypublic-keypeer表1-3displaypublic-keypeerbrief命令显示信息描述displaysftpclient

displaysftpclient1：无displaysftpclientsource命令用来显示当前为SFTP客户端设置的源IP地址或者<Syaname>displaysftpclientThesourceIPaddressyouspecifiedisdisplaysshclient

displaysshclient1：无相关配置可参考命令sshclientsource。<Sysname>displaysshclientThesourceIPaddressyouspecifiedisdisplayssh

displaysshserver{status|session1：

相关配置可参考命令sshserverauthentication-retriessshserverrekey-interval、sshserverauthentication-timeout、sshserverenablesshservercompatible-ssh1xenable。

<Sysname>displaysshserverstatusSSHServer:DisableSSHversion:SSHauthentication-timeout:60SSHserverkeygeneratinginterval:0hour(s)SSHAuthenticationretries:3time(s)SFTPServer:SFTPServerIdle-Timeout:10表1-4displaysshserverstatus命令显示信息描述SSHSSH服务器功能的状SSHSSH协议服务器不兼容SSH1时，协议版本为SSHauthentication-SSHserverkeygeneratingSFTPSFTPServerIdle-<Sysname>displaysshserverSerType00 表1-5displaysshserversession显示信息描述SSH服务器的协议版服务类型，包括SFTP和Snet两种类

displaysshserver-1：无displaysshserver-info命令用来显示客户端保存的服务器端的主机公钥和服务器<Sysname>displaysshserver-Server Serverpublickey 表1-6displaysshserver-info显示信息描述Server服务器名称或者IP地Serverpublickey

displaysshuser-information[username1：

如果没有指定参数username，则显示所有SSH用户的信息。相关配置可参考命令sshuser。<Sysname>displaysshuser-Totalusers:Authentication-User-public-key-Service-s表1-7displaysshuser-information显示信息描述TotalsshSSHpeer-public-key

2：系无相关配置可参考命令public-keypeer。

<Sysname>system-view[Sysname]public-keypeerkey1[Sysname-pkey-public-key]peer-public-keyendpublic-key-code

2：系无<Sysname>system-view[Sysname]public-keypeerkey1[Sysname-pkey-public-key]public-key-code[Sysname-pkey-key-public-key-code

2：系2：系无public-key-codeend命令用来从公共密钥编辑视图退回到公共密钥视图，并保存<Sysname>system-view[Sysname]public-keypeerkey1[Sysname-pkey-public-key]public-key-code[Sysname-pkey-key-[Sysname-pkey-key-code]public-key-codeendpublic-keylocal

public-keylocalcreate{dsa|rsapublic-keylocalcreate用来生成本地密钥对。长度为2048位，缺度为1024位。如果已有密钥对存在，则需要用户确<Sysname>system-[Sysname]public-keylocalcreateTherangeofpublickeysizeis(512~2048).NOTES:Ifthekeymodulusisgreaterthan512,ItmaytakeafewPressCTRL+CtoInputthebitsinthemodulus[default=1024]:Generatingkeys... .<Sysname>system-[Sysname]public-keylocalcreateTherangeofpublickeysizeis(512~2048).NOTES:Ifthekeymodulusisgreaterthan512,ItwilltakeafewPressCTRL+CtoInputthebitsinthemodulus[default=Generating .public-keylocal

public-keylocaldestroy{dsa|rsa2：系

public-keylocaldestroy命令用来销毁本地密钥对。相关配置可参考命令public-keylocalcreate。

<Sysname>system-[Sysname]public-keylocaldestroyWarning:Confirmtodestroythesekeys?<Sysname>system-[Sysname]public-keylocaldestroyWarning:Confirmtodestroythesekeys?[Y/N]:public-keylocalexport

public-keylocalexportrsa{openssh|ssh1|ssh2}[filename1：

openssh：导出的文件格式为OpenSSH。ssh1SSH1.5ssh2：导出的文件格式为SSH2.0。钥或导出本地RSA主机公钥到指定文件。<Sysname>system-[Sysname]public-keylocalexportrsaopenssh<Sysname>system-[Sysname]public-keylocalexportrsa----BEGINSSH2PUBLICKEY---Comment:"rsa-key-20061105"----ENDSSH2PUBLICKEY---<Sysname>system-[Sysname]public-keylocalexportrsaopensshQBtxFxOXAjSERKLYkASXqHuNXxPWHE3vo9FKfcB2JHkfwdIm9i3zrsa-keypublic-keylocalexport

public-keylocalexportdsa{openssh|ssh2}[filename1：

ssh2：导出的文件格式为SSH2.0public-keylocalexportdsa命令用来根据指定格式在屏幕上显示本地DSA主机公钥或导出本地DSA主机公钥到指定文件。SSH2OpenSSH是两种不同类型的公钥文件格式，根据不同的应用需求生成不<Sysname>system-[Sysname]public-keylocalexportdsaopenssh<Sysname>system-[Sysname]public-keylocalexportdsa----BEGINSSH2PUBLICKEY--- "dsa-key-----ENDSSH2PUBLICKEY---<Sysname>system-[Sysname]public-keylocalexportdsaopensshEjRaFrwdxxTk9Vwpvzm1SPJa9V8W4A0dt3xksktTU51303szQVrD1cMMYZ5YAUdsa-keypublic-key

public-keypeerundopublic-keypeer2：系keyname：公共密钥名，为1～64个字符的

public-keypeer命令用来进入公共密钥视图。undopublic-keypeer命令用来删

<Sysname>system-view[Sysname]public-keypeerkey1[Sysname-public-keypeerimport

public-keypeerkeynameimportsshkeyundopublic-keypeer2：系keyname：公共密钥名，为1～64个字符的public-keypeerimportsshkeySSH2、OpenSSH）进行格式转换（转换为PKCS标准编码形式），并实现<Sysname>system-[Sysname]public-keypeerkey2importsshkey

sftpserver[port-number][identity-key{dsa|rsa}|prefer-ctos-cipher{|aes128|des}|prefer-ctos-hmac{md5|md5-96|sha1|sha1-96}|prefer-kex{dh-group-exchange|dh-group1|dh-group14}|prefer-stoc-cipher{3des|aes128|des}|prefer-stoac{md5|md5-96|sha1|sha1-96}]*3：管server：服务器IPv4地址或名称，为1～20个字符的字符port-number：服务器端，取值范围为0～65535，缺省值为22prefer-ctos-cipher：客户端到服务器端的首选加密算法，缺省算法 aes128aes128：aes128-cbc加密算prefer-ctos-hmac：客户端到服务器端的首选HMAC算法，缺省算法为sha1md5：HMAC算法hmac-md5md5-96：HMAC算法hmac-md5-96sha1-96：HMAC算法hmac-sha1-96dh-group-exchange：密钥交换算 dh-group1：密钥交换算 dh-group14：密钥交换算 prefer-stoac：服务器端到客户端的首选HMAC算法，缺省算法为sha1

需要注意的是，当服务器端指定客户端的认证方式为publickey认证时，客户端需要读publickeyRSADSA两种加密算法，所以需要用identity-key关键字指定采用的加密算法，才能得到正确的本地私钥数据。缺省情况下，加密算法为DSA。<Sysname>sftpInputUsername:sftpclient

sftpclientsource{ipip-address|interfaceinterface-typeinterface-numberundosftpclient3：管

clientsource命令用来取消指定的源IPv4地址或源接口。相关配置可参考命令displaysftpclientsource。<Sysname>system-[Sysname]sftpclientsourceipsftpserver

sftpserverenableundosftpserverenable2：系无来关闭SFTP服务器。缺省情况下，SFTP服务器处于关闭状态。

<Sysname>system-view[Sysname]sftpserverenablesftpserveridle-

undosftpserveridle-2：系time-out-value：超时时间，取值范围 1～35791，单位为分钟sftpserveridle-timeout命令用来在SFTP服务器端设置SFTP用户连接的空闲超时时间。undosftpserveridle-timeout命令用来恢复缺省情况。相关配置可参考命令displaysshserver。<Sysname>system-[Sysname]sftpserveridle-timeoutsshclientauthentication

sshclientauthenticationserverserverassignpublickeyundosshclientauthenticationserverserverassign2：系

称，为1～64个字符的字符串。sshclientauthenticationserver命令用来在客户端上指定要连接的服务器端的主clientauthenticationserver命令用来取消在客户端上指定要连接的服务器端的主服务器的时候使用登录服务器时所用的IP地址或主机名作其对应的公钥名称。

<Sysname>system-[Sysname]sshclientauthenticationserverassignrsa-keysshclient-time

sshclient-timeenableundosshclient-time2：系无

sshclient-timeenable命令用来设置SSH客户端对的SSH服务器进行首次认证。undosshclient-time命令用来取消SSH客户端对的SSH服否为赖的服务器。

<Sysname>system-[Sysname]sshclient-timesshclient

sshclientsource{ipip-address|interfaceinterface-typeinterface-numberundosshclient3：管sshclientsourceSSHIPv4地址或源接口。undosshclientsource命令用来清除指定的源IPv4地址或源接口。相关配置可参考命令displaysshclientsource。<Sysname>system-[Sysname]sshclientsourceipsshserverauthentication-

2：系times：指定认证尝试的最大次数，取值范围 1～5sshserverauthentication-retriesSSH连接认证尝试的最大次数，配置在下次登录时生效。undosshserverauthentication-retries命令用来恢复缺需要注意的是，SSHpublickeypassword两种方式进行认证尝试的次<Sysname>system-[Sysname]sshserverauthentication-retriessshserverauthentication-

2：系

time-out-value：超时时间，取值范围 1～120，单位为秒sshserverauthentication-timeout命令用来在SSH服务器端设置SSH用户的认证超时时间。undosshserverauthentication-timeout命令用来恢复缺省情况。相关配置可参考命令displaysshserver。<Sysname>system-[Sysname]sshserverauthentication-timeoutsshservercompatible-ssh1x

sshservercompatible-ssh1xenableundosshservercompatible-ssh1x2：系无sshservercompatible-ssh1xSSHSSH1。undosshservercompatible-ssh1x命令用来设置SSH服务器不兼容SSH1。

<Sysname>system-[Sysname]sshservercompatible-ssh1xsshserver

sshserverenableundosshserverenable2：系无用来关闭SSH服务器功能。<Sysname>system-view[Sysname]sshserverenablesshserverrekey-

sshserverrekey-intervalundosshserverrekey-2：系hours：更新周期，取值范围 1～24，单位为小时sshserverrekey-intervalRSA服务器密钥的更新时间。undosshserverrekey-interval命令用来恢复缺省情况。相关配置可参考命令displaysshserver。此命令SSH客户端SSH1的用户有

<Sysname>system-[Sysname]sshserverrekey-intervalssh

|password-publickey|publickey}assignpublickeykeynamesshuserusernameservice-type{all|sftp}authentication-type{password{any|password-publickey|publickey}assignpublickeyundosshuser2：系首先使用publickey方式认证客户端。password-publickeypasswordpublickey客户端版本为SSH2的用户必须两种认证都通过才能登录。示已经配置的客户端公共密钥名，为1～64个字符的字符串。work-directorydirectory-name：为SFTP用户设置工作 示SFTP用户的工作 ，为1~135个字符的字符串。sshuser命令用来删除SSH用户。password认证方式的用户，用户的账号信息可以配置在设备或者远程认证服务器（如RADIUS认证服务器）上。 SFTP用户登录时使用的工作 与用户使用的认证方式有关。只采用publickey认证方式的用户，使用的工作 为通过sshuser命令为该用户设 ；只采用password认证方式的用户，使用的工作 ；同时采用publickey和password两种认证方式的用户，使 为通过sshuser命令为该用户设置的工作 相关配置可参考命令displaysshuser-information。并指定用户公钥为key1，SFTP服务器工作 为flash:。<Sysname>system-[Sysname]sshuseruser1service-typesftpathentication-typepublickeyassignpublickeykey1work-directoryflash:

ssh2server[port-number][identity-key{dsa|rsa}|prefer-ctos-cipher{|aes128|des}|prefer-ctos-hmac{md5|md5-96|sha1|sha1-96}|prefer-kex{dh-group-exchange|dh-group1|dh-group14}|prefer-stoc-cipher{3des|aes128|des}|prefer-stoac{md5|md5-96|sha1|sha1-96}]*0：server：服务器IPv4地址或名称，为1～20个字符的字符port-number：服务器端，取值范围为0～65535，缺省值为22prefer-ctos-cipher：客户端到服务器端的首选加密算法，缺省算法 aes128aes128：aes128-cbc加密算prefer-ctos-hmac：客户端到服务器端的首选HMAC算法，缺省算法为sha1md5：HMAC算法hmac-md5md5-96：HMAC算法hmac-md5-96sha1-96：HMAC算法hmac-sha1-96dh-group-exchange：密钥交换算 dh-group1：密钥交换算 dh-group14：密钥交换算 prefer-stoac：服务器端到客户端的首选HMAC算法，缺省算法为sha1ssh2命令用来建立SSH客户端和IPv4服务器端的连并指定客户端和服务器的首选密钥交换算法、首选加密算法和首选HMAC算法。需要注意的是，当服务器端指定客户端的认证方式为publickey认证时，客户端需要读publickeyRSADSA两种加密算法，所以需要用identity-key关键字指定采用的加密算法，才能得到正确的本地私钥数据。缺省情况下，加密算法为DSA。

HMAC算法为服务器到客户端的HMAC算法为sha1-96<Sysname>ssh1prefer-kexdh-group1prefer-stoc-cipheraes128prefer-ctos-hmacmd5prefer-stoacsha1-96

3：管无

该命令功能与exit，quit相同。

sftp-client>byeConnection

cd[remote-path

3：管

cd命令用来改变SFTP服务器上的工作路径。］

sftp-client>cdnew1CurrentDirectoryis:

3：管无

#从当前工 sftp-client>cdupCurrentDirectoryis:/

3：管该命令和remove功能相同。sftp-client>deleteThefollowingfileswillbeAreyousuretodeleteit?Thisoperationmaytakealongtim