logo

Использование SSH Pubkey авторизации на роутерах irzOS

Использование SSH с авторизацией по ключу общепризнанно считается более безопасным, чем авторизация по паролю.

Один ключ может использоваться для авторизации (в том числе неинтерактивной) на неограниченном количестве устройств, однако при любой операции сброса настроек потребуется повторная установка ключа на роутер.

В этой инструкции мы покажем как настроить такой метод авторизации на irzOS.

В первую очередь необходимо создать закрытый и открытый ключ (на примере командной строки ОС Linux).

Выполните команду:

ssh-keygen -t ecdsa -C "your_email@example.com"

Укажите место расположение ключа (по умолчанию для алгоритма ecdsa - это файл в каталоге .ssh в домашнем каталоге пользователя, например, /home/username/.ssh/id_ecdsa, каталог и имя файла можно указать иные).

Следующим шагом будет указание парольной фразы для пароля для дополнительной безопасности (можно не указывать), после чего ключи будут сформированы и сохранены.

В нашем случае в каталоге ~/.ssh/ (ссылка-синоним на /home/username/.ssh/) созданы файл id_ecdsa (закрытый ключ) и id_ecdsa.pub (публичный ключ).

Файл с публичным ключом необходимо загрузить на роутер с irzOS командой:

scp ~/.ssh/id_ecdsa.pub admin@192.168.1.1:

(где 192.168.1.1 – внутренний адрес роутера по умолчанию).

Далее заходим на роутер:

ssh admin@192.168.1.1

Если ключ настраивается для встроенного пользователя admin, то следует применить команду:

/system user admin import-ssh-key file=id_ecdsa.pub
/system user admin apply

/system config commit

В противном случае необходимо сначала создать пользователя и настроить его уровень доступа, например, пользователя username c правами администратора:

/system user add name=username
/system user username level administrator

И импортировать для него ключ.

После этого можно выйти из роутера командой exit и попробовать войти снова командой:

ssh admin@192.168.1.1

Если была задана парольная фраза для файла ключа — она будет запрошена у пользователя, в противном случае сразу станет доступна консоль irzOS.

В случае смены компьютера файл с ключом не будет доступен, вход по паролю на роутере будет доступен как запасной вариант входа. Отключить вход по паролю нельзя.

Ключ можно сгенерировать и сохранить с помощью PuTTygen, однако роутеру необходим публичный ключ в формате OpenSSH, который необходимо скопировать и самостоятельно сохранить в текстовый файл с расширением .pub, который затем и загрузить на роутер.

pubkey

Политика конфиденциальности