CentreCOM 8624EL で SSH サーバーを有効化する

---

CentreCOM 8624EL を SSH で管理する

レイヤー 3 スイッチ CentreCOM 8624EL に IP アドレスを設定すると、既定では TELNET で接続することが出来るようになります。

どこかの VLAN にプライベートアドレスを割り当てる程度ならそれでも問題は少ないかもしれませんけど、グローバルアドレスを割り当てた場合には、アタックされたり盗聴される可能性が気になります。

CentreCOM 8624EL では SSH による管理ができるようになっていたので、それを有効化して SSH で接続できるようにしてみることにしました。

　

CentreCOM 8624EL の SSH を有効化する

CentreCOM 8624EL へ接続する

CentreCOM 8624EL の設定をするにあたり、シリアルケーブルを利用して CentreCOM 8624EL と PC の COM ポートを接続します。

 TELNET でも設定できると思われますが、今回は途中で TELNET サーバーを無効化するので、安全のため COM 経由での設定を行うようにしておきます。

COM ポートを接続したら、UTF-8 Tera Term Pro やハイパーターミナルなどのツールを用いて COM 経由でターミナルを接続します。

 

CentreCOM 8624EL へ接続できたら、設定を行える権限でまずはログインします。

既定では、アカウントが "manager"、パスワードが "friend" になっているかと思います。

セキュリティーモードで操作可能なアカウントを追加する。

ログインしたら、まずはセキュリティーモードでの操作が可能なアカウントを作成するところから始めます。

例えば "sshuser" というユーザーアカウントを作成する場合は次のようにします。

add user=sshuser password=XXXXXXXX privilege=SECURITYOFFICER

併せて、このユーザーアカウントで SSH 接続できるようにするために、同じ名称とパスワードで SSH アカウントを登録します。

add ssh user=sshuser password=XXXXXXXX

これでまずは SSH ログインのためのアカウントの準備が出来ました。

新しいアカウントでログインしなおす。

ユーザーアカウントを作成したら、いったんログアウトして、先ほど作成したアカウントでログインしなおします。

logout

ログアウトしたら、上記の例では "sshuser" アカウントでログインして、以降の操作を進めて行きます。

TELNET サーバーを無効化する。

まずは TELNET サーバーを無効化します。

disable telnet server

これで TELNET によるログインができなくなりました。

本来であれば SSH の設定が終わってからでも良いような気がしますけど、偶然なのか、先に TELNET を無効化してから SSH を設定しないと正しく SSH を有効化できないことがあったので、今回はまず先に TELNET サーバーを無効化することから始めておくことにしました。

SSH サーバーを有効化する。

続いて、SSH サーバーを有効化します。

CentreCOM 8624EL を再起動しても SSH サーバーが無効にならないように、まずは CentreCOM 8624EL の動作モードを "セキュリティーモード" に変更します。

enable system security_mode

これをやっておかないと、再起動時に SSH が無効化されてしまうようです。

また、この時にエラーが発生した場合には、セキュリティーモードでの設定が可能なアカウントがシステムに登録されていない場合があります。その場合は ADD USER で SECURITYOFFICER 特権を持ったアカウントを作成した上で、改めてセキュリティーモードへの移行を行うと、上手く行くかもしれません。

　

セキュリティーモードへ移行したら、SSH サーバーの稼働に必要な HOST KEY と SERVER KEY を作成します。

create enco key=1 description="HOST" type=RSA length=1024

create enco key=2 description="SERVER" type=RSA length=768

HOST KEY と SERVER KEY とが生成できたら、これらを使って SSH サーバーを有効化します。

enable ssh server hostkey=1 serverkey=2

 

これで SSH サーバーが有効化されました。

必要に応じて "CREATE CONFIG=config.cfg" などで設定ファイルを設定しておくと良いでしょう。

 

また、ここでいったん CentreCOM 8624EL を再起動して、再起動後にも SSH が継続して動作することを確認しておいた方が安心です。

CentreCOM 8624EL の再起動は "RESTART REBOOT" で、SSH が有効化どうかは "SHOW SSH" で、確認することが出来るようになっています。

 

SSH 接続を行う

SSH サーバーが起動したら、SSH クライアントを用いて接続テストを行います。

SSH 接続の際は、設定時に登録した SSH 用のアカウントでログインします。SSH 用に別途登録した場合を除き、既定の "manager" アカウントではログインできないので注意しましょう。

また、SSH の設定が上手く行っていない場合に、SSH で接続しても認証できずにそのまま待ち状態になってしまう場合があるようです。この場合は、上記手順で何回か設定を行ってみると、上手く行くようになることもあるかもしれないです。

 

なお、ここで CentreCOM 8624EL は Ciphers として DES だけが指定されている都合なのか、最近の SSH クライアントでは標準では接続できないことがあるようでした。

そこで、以下では主要な SSH クライアントで CentreCOM 8624EL へ接続する際の要所を記しておこうと思います。

UTF-8 Tera Term Pro の場合

UTF-8 Tera Term Pro で CentreCOM 8624EL へ SSH 接続する場合、TTSSH のアルゴリズム設定を調整する必要があるようでした。

それをしないと "このプログラムで使用可能な暗号化アルゴリズムと,サーバーが理解可能な暗号化アルゴリズムが異なっています." といったメッセージが表示されました。

 

これを解消するために、接続前にあらかじめ 【設定】 メニューから 【SSH】 を選択して、"<以下の暗号アルゴリズムは使用されません>" という表示よりも下にある "DES(SSH1)" を選択して、それを上へ移動させて使用されるように設定してから、CentreCOM 8624EL へ SSH 接続します。

ここで 【設定】 メニューから 【設定を保存】 を選択して設定を保存しておけば、次回起動時はこの手順を省略することも可能です。

この状態で普通通りに SSH 接続を行って、正しく SSH でログインできれば設定完了です。

Linux の ssh クライアントの場合

Linux 標準の SSH クライアントの場合には、-c オプションで "DES" を指定することで、DES による SSH 接続が可能になります。

ssh -c des -l sshuser 192.168.1.127

このようにして、192.168.1.127 が割り当てられた CentreCOM 8624EL へ sshuser アカウントでログインを試みるといった感じになります。

なお "-c" オプションを指定しなかった場合には "Selected cipher type <unknown> not supported by server." といった通知メッセージが表示されるようでした。