• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

S5130交换机,任意ecdsa密钥都可通过SSH身份验证

2025-06-15提问
  • 0关注
  • 0收藏,321浏览
粉丝:0人 关注:0人

问题描述:

 

我配置了交换机的SSH登录,身份验证方式是publickey,使用vc这个密钥作为admin用户的认证密钥:

 ssh server enable

 sftp server enable

 ssh server authentication-retries 5

 ssh user admin service-type all authentication-type publickey assign publickey vc

然后添加了客户端的公钥:

display public-key peer 

=============================================

Key name: vc

Key type: ECDSA

Key length: 384

Key code:

   此处省略公钥内容

 

 

按照上面的配置,我理解通过admin用户登录时,只有客户端使用了vc这个密钥,才能通过验证,但实际上测试发现,客户端使用任何一个ecdsa密钥来连接交换机,都能通过验证:

这里我在linux系统中删除了所有的密钥文件和缓存,然后实时生成了一个ecdsa密钥(/home/vc/.ssh/id_ecdsa),使用这个密钥仍然能够连接交换机:

vc@vc:~/.ssh$ ls -l

total 8

-rw-r--r-- 1 vc vc 692 May 26 13:01 known_hosts

-rw-r--r-- 1 vc vc 692 May 24 11:36 known_hosts.old

vc@vc:~/.ssh$ ssh-add -D

All identities removed.

vc@vc:~/.ssh$ ssh-keygen -t ecdsa

Generating public/private ecdsa key pair.

Enter file in which to save the key (/home/vc/.ssh/id_ecdsa): 

Enter passphrase (empty for no passphrase): 

Enter same passphrase again: 

Your identification has been saved in /home/vc/.ssh/id_ecdsa

Your public key has been saved in /home/vc/.ssh/id_ecdsa.pub

The key fingerprint is:

SHA256:m/mKB47BoRYb3jrla3j/sUr+0DwFa0DiqI+IEpk7yno vc@vc

The key's randomart image is:

+---[ECDSA 256]---+

|    . .          |

|   o o           |

|  . . . .        |

| +o .  . o       |

|=. B .  S .      |

|o== = .+ =       |

|B..= +o.O        |

|+.E =o.o.=       |

|+o +.o===..      |

+----[SHA256]-----+

vc@vc:~/.ssh$ ssh admin@10.1.1.1

******************************************************************************

* Copyright (c) 2004-2023 New H3C Technologies Co., Ltd. All rights reserved.*

* Without the owner's prior written consent,                                 *

* no decompiling or reverse-engineering shall be allowed.                    *

******************************************************************************

 

从客户端和交换机的调试日志可以看到,交换机确实接受了刚刚生成的密钥,这里贴出一部分日志:

debug1: Server accepts key: /home/vc/.ssh/id_ecdsa ECDSA SHA256:m/mKB47BoRYb3jrla3j/sUr+0DwFa0DiqI+IEpk7yno agent

 

%Jun 15 22:47:39:050 2025 coco SSHS/6/SSHS_AUTH_SUCCESS: SSH user admin from 10.1.3.1 port 56954 passed publickey authentication.

%Jun 15 22:47:40:126 2025 coco SSHS/6/SSHS_CONNECT: SSH user admin (IP: 10.1.3.1) connected to the server successfully.

%Jun 15 22:47:41:567 2025 coco SHELL/5/SHELL_LOGIN: admin logged in from 10.1.3.1.

 

其它方面也做了排除:

1. linux客户端这边,已经检查过日志,可以保证后面一次连接的时候,确实使用的是随机生成的密钥,而不是以前的vc密钥

2. 配置admin用户不assign publickey,确实也不能够登录了: ssh user admin service-type all authentication-type publickey

3. 将交换机上登记的vc密钥删除,则无论客户端使用任何密钥都无法连接了,重新加上,则使用任何ecdsa密钥都能够连接

4. 同样的方法两边配置一个rsa密钥,rsa密钥的行为则是正常的,使用其它的rsa密钥确实不能够登录

最佳答案

粉丝:0人 关注:0人

可以看下产品手册针对ecdsa是不是有限制


暂无评论

0 个回答

该问题暂时没有网友解答

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明