SSHのオプションの意味がわかりません。

  • フォーラムは新サイトへ移行しました。
  • このフォーラムではゲスト投稿が禁止されています
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2013-12-12 15:58
takamoto463  長老 居住地: 大阪  投稿数: 177
いつもお世話になります。

GN3で作ったシミュレーションでの質問です。

RA(SSHサーバ)−−−RB(SSHクライアント)

RA fa0/0 :192.168.1.1/24
RB fa0/0 :192.168.1.2/24

の2台が互いにfa0/0でつながっているトポロジーにおいて、
SSHの設定をしました。

オプション設定として(問題ID: 4391の解説を参照して)、

ip ssh time-out 30 ←※SSH接続のタイムアウトを30秒に設定。
ip ssh authentication-retries 2 ←※パスワードの入力は2回までに設定。

を設定したのですが、
以下の通り、パスワードは4回リトライできます。
また、何秒待ってもタイムアウトする様子もありません。


RB(config)#ip host Ping-t 192.168.1.1 ←SSHサーバのアドレス
RB(config)#end
RB#
*Mar 1 00:24:58.835: %SYS-5-CONFIG_I: Configured from console by console
RB#ssh -l admin Ping-t

Password:

Password:

Password:

Password:

% Authentication failed. ←※4回失敗して切れました。

RB#ssh -l admin Ping-t

Password: ←正しいパスワードを入れてみると・・・

Welcome!
RA>    ←きちんとサーバ側へ入れます。


◆質問
「オプション設定の、リトライの2が意味するのは、パスワードを聞いてくる回数が2回と
いう意味ではないのでしょうか?また、タイムアウトの30秒とは、操作をしない状態から
30秒経つと、接続を切って、RB>の状態に戻ることを指すのではないのでしょうか?」

以上、よろしくお願いします。



参考:
【SSHサーバ側の設定:RA】

RA#show run
Building configuration...

Current configuration : 1093 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-enption
!
hostname RA
!
boot-start-marker
boot-end-marker
!
enable password ping-t
!
no aaa new-model
memory-size iomem 5
no ip icmp rate-limit unreachable
ip cef
!
!
!
!
no ip domain lookup
ip domain name Ping-t.com
!
multilink bundle-name authenticated
!
(省略)
!
username admin password 0 Cisco123
archive
log config
hidekeys
!
!
!
!
ip tcp synwait-time 5
ip ssh time-out 30 ←※SSH接続のタイムアウトを30秒に設定。
ip ssh authentication-retries 2 ←※リトライは2回に設定。
!
!
!
!
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
!
(省略)
!
banner motd ^C
Welcome!^C
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
line vty 0 4
password cisco123
login local
transport input ssh
!
!
end

RA#
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2013-12-16 10:48 | 最終変更
arashi1977  長老 居住地: 広島  投稿数: 1715
引用:
◆質問
「オプション設定の、リトライの2が意味するのは、パスワードを聞いてくる回数が2回と
いう意味ではないのでしょうか?また、タイムアウトの30秒とは、操作をしない状態から
30秒経つと、接続を切って、RB>の状態に戻ることを指すのではないのでしょうか?」

以下のCISCOのSSH設定ガイドに当該オプションについての記述がありました。
http://www.cisco.com/cisco/web/support/JP/docs/CIAN/IOS/IOS15_1S/CG/023/sec_cfg_secure_shell.html?bid=0900e4b18252981d#20857

引用:
ip ssh {timeout seconds | authentication-retries integer }
•seconds 引数に、120 秒以下のタイムアウト値を指定します。デフォルトは 120 です。この設定は、SSH のネゴシエーション フェーズに適用されます。EXEC セッションが開始されると、vty に設定された標準のタイムアウトが適用されます。
(略)
・integer 引数で、5 回以下の認証の再試行回数を指定します。デフォルト値は 3 です。
(注) このコマンドは、ユーザに表示するパスワード プロンプトの回数を設定するためにも使用できます。この数値は、次の 2 つの値の低い方です。
– ssh -o numberofpasswordprompt コマンドを使用してクライアントから提案された値。

– ip ssh authentication-retries integer コマンドを使用してルータに設定されている値に 1 を足した値。
ということで、
ip ssh timeout 30
SSHコネクションのタイムアウト(サーバ接続NGとか)かと。そして
ip ssh authentication-retries 3
だと、4回試行ののちに切断となります。
私も確認してみたところ、integerを0とすると1回試行して切断されました
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 .2 | 投稿日時 2013-12-17 18:03
takamoto463  長老 居住地: 大阪  投稿数: 177
arashi1977様

いつもお世話になります。
回答ありがとうございます。

リンク先を確認しましたが、よくわかりませんでした。

timeoutのSSHコネクションのタイムアウトっていうのは、
パスワード入力失敗して、再度SSHサーバへ接続するまで
120秒はアクセスできないとか、そういう意味でしょうか?

コネクションと言えば、セッション層の話?
CCNAの知識ではちょっとついていけてないです(汗)

ちなみにSSHの記述がある書籍ってないですね。

Cisco監修本のCiscoルータ設定ガイドにも、会社に転がってたPocket詳解 Cisco IOSコマンド辞典
にもSSHに関する記述が全くなかったです。

これって、実務では使われないから省略されてると
思っていいんでしょうか?

実際SSHの設定をすると、入力結果が返ってくるレスポンスが悪いので
コマンド入力するのが不快でしたし、
過去にネットワークの仕事をしていた人に聞いても、
SSHなんて使った事がなかったと聞きました。

「Security」でいう、「ビジネスニーズ」に合わないっていうのは
こういうことなのか?と思った次第です。

問題ID: 4390(CCNA Security)
の解説には間違いの肢の説明として、
"ip ssh authentication-retries"コマンドは、認証のリトライ回数を変更するためのコマンドです(オプション)
"ip ssh time-out"コマンドは、タイムアウトを変更するためのコマンドです(オプション)

とあるだけだったので、気持ち悪くてGNS3でシミュレートして
質問したわけですが、余計に混乱してきました。


たとえば、以下シミュレートの結果ですが、

GNS3で使用しているIOSは、
Cisco IOS Software, 3700 Software (C3725-ADVENTERPRISEK9-M), Version 12.4(15)T14, RELEASE SOFTWARE (fc2)

RA(config-line)#ip ssh authentication-retries 3が設定されていた
前回の設定のコンフィグに再度

RA(config)#ip ssh authentication-retries 3
RA(config)#end

を再度入力して、クライアントからサーバへアクセスすると。。。


RB#ssh -l admin 192.168.1.1

Password:

Password:

Password:

Password:

Password:

Password:

% Authentication failed.

[Connection to 192.168.1.1 closed by foreign host]


6回もリトライしましたw
ip ssh authentication-retries 3
を2回入力で「3+3=6?」
あ、でも「3」と入力したら、「4回リトライ」ですよね?

それとも、ラインコンフィグレーションモード分3回

グローバルコンフィグレーションモード分3回

かな?

それなら、8回のような気もする。。


IOSのバージョンが安定していないTバージョンだから
かなぁ?と思う気がするのですが。

↓直後にshowコマンドでみても3回になっていますし。

RB#show ssh
%No SSHv2 server connections running.
%No SSHv1 server connections running.
RB#show ip ssh
SSH Disabled - version 1.99
%Please create RSA keys (of atleast 768 bits size) to enable SSH v2.
Authentication timeout: 120 secs; Authentication retries: 3
RB#

もう一度、最初からトポロジー作り直してトライしてみます。
なにやら、SSHがDisabledなメッセージもでていますし(苦笑)
お忙しいところ申し訳ないです。
前の投稿 - 次の投稿 | 親投稿 - 子投稿なし | 投稿日時 2013-12-19 10:29
arashi1977  長老 居住地: 広島  投稿数: 1715
引用:
timeoutのSSHコネクションのタイムアウトっていうのは、
パスワード入力失敗して、再度SSHサーバへ接続するまで
120秒はアクセスできないとか、そういう意味でしょうか?
せっかく疑問に思われたので、少し実験してみました。

FastEthernet0/0同士で直結したR1-R2だけの単純なトポロジです。直接流す用のコンフィグは以下の通りです。

R1:
conf t
username sshuser password CISCO
line vty 0 4
login local
transport input ssh
ip domain-name test.local
crypto key generate rsa
1024
ip ssh authentication-retries 1
ip ssh version 2
ip ssh time-out 20
interface FastEthernet0/0
ip address 192.168.12.1 255.255.255.0
no shutdown
end
R2:
conf t
interface FastEthernet0/0
ip address 192.168.12.2 255.255.255.0
no shutdown
end

で、SSHコネクション(R2->R1)のデバッグとってみました。
タイムアウト確認
R1#
*Mar  1 00:14:35.687: SSH0: starting SSH control process
*Mar  1 00:14:35.691: SSH0: sent protocol version id SSH-2.0-Cisco-1.25
*Mar  1 00:14:35.727: SSH0: protocol version id is - SSH-1.99-Cisco-1.25
*Mar  1 00:14:35.731: SSH2 0: send: len 280 (includes padlen 4)
*Mar  1 00:14:35.735: SSH2 0: SSH2_MSG_KEXINIT sent
(略)
Mar  1 00:14:38.879: SSH2 0: MAC #5 ok
*Mar  1 00:14:38.879: SSH2 0: input: padlen 18
*Mar  1 00:14:38.879: SSH2 0: received packet type 50
*Mar  1 00:14:38.891: SSH2 0: send: len 48 (includes padlen 11)
*Mar  1 00:14:38.891: SSH2 0: done calc MAC out #5
R1#
R1#
*Mar  1 00:14:58.891: SSH2 0: send: len 80 (includes padlen 15)
*Mar  1 00:14:58.891: SSH2 0: done calc MAC out #6
*Mar  1 00:14:58.891: SSH0: password authentication failed for sshuser ← authentication-timeout 20に従い、20秒でユーザー応答待ちタイムアウト
*Mar  1 00:14:58.895: SSH0: AAA authentication fail reason: Password: 
R1#
*Mar  1 00:15:00.895: SSH2 0: send: len 48 (includes padlen 8)
*Mar  1 00:15:00.895: SSH2 0: done calc MAC out #7
*Mar  1 00:15:00.899: SSH2 0: authentication failed for userid (code=0)
*Mar  1 00:15:01.003: SSH0: Session disconnected - error 0x00 ← なのでコネクション切断
試行回数オーバー
R1#
*Mar  1 00:17:17.743: SSH0: starting SSH control process
*Mar  1 00:17:17.743: SSH0: sent protocol version id SSH-2.0-Cisco-1.25
*Mar  1 00:17:17.791: SSH0: protocol version id is - SSH-1.99-Cisco-1.25
*Mar  1 00:17:17.795: SSH2 0: send: len 280 (includes padlen 4)
*Mar  1 00:17:17.799: SSH2 0: SSH2_MSG_KEXINIT sent
*Mar  1 00:17:17.819: SSH2 0: ssh_receive: 64 bytes received
*Mar  1 00:17:17.819: SSH2 0: input: packet len 280
(略)
*Mar  1 00:17:22.451: SSH2 0: done calc MAC out #5
R1#
R1#
*Mar  1 00:17:34.983: SSH2 0: ssh_receive: 52 bytes received
*Mar  1 00:17:34.983: SSH2 0: input: packet len 32
*Mar  1 00:17:34.987: SSH2 0: partial packet 16, need 16, maclen 20
*Mar  1 00:17:34.987: SSH2 0: MAC #6 ok
*Mar  1 00:17:34.987: SSH2 0: input: padlen 18
*Mar  1 00:17:34.987: SSH2 0: received packet type 61
*Mar  1 00:17:34.995: SSH0: password authentication failed for sshuser ← 1回目の試行失敗
R1#
*Mar  1 00:17:36.995: SSH2 0: send: len 48 (includes padlen 8)
*Mar  1 00:17:36.995: SSH2 0: done calc MAC out #6
*Mar  1 00:17:37.039: SSH2 0: ssh_receive: 64 bytes received
*Mar  1 00:17:37.039: SSH2 0: input: packet len 96
*Mar  1 00:17:37.043: SSH2 0: partial packet 16, need 80, maclen 20
*Mar  1 00:17:37.059: SSH2 0: ssh_receive: 52 bytes received
*Mar  1 00:17:37.059: SSH2 0: partial packet 16, need 80, maclen 20
*Mar  1 00:17:37.063: SSH2 0: MAC #7 ok
*Mar  1 00:17:37.063: SSH2 0: input: padlen 18
*Mar  1 00:17:37.063: SSH2 0: received packet type 50
*Mar  1 00:17:37.075: SSH2 0: send: len 48 (includes padlen 11)
*Mar  1 00:17:37.075: SSH2 0: done calc MAC out #7
R1#
*Mar  1 00:17:38.091: SSH2 0: ssh_receive: 52 bytes received
*Mar  1 00:17:38.095: SSH2 0: input: packet len 32
*Mar  1 00:17:38.095: SSH2 0: partial packet 16, need 16, maclen 20
*Mar  1 00:17:38.095: SSH2 0: MAC #8 ok
*Mar  1 00:17:38.095: SSH2 0: input: padlen 18
*Mar  1 00:17:38.099: SSH2 0: received packet type 61
*Mar  1 00:17:38.107: SSH0: password authentication failed for sshuser ← 2回目の試行失敗
R1#
*Mar  1 00:17:40.107: SSH2 0: authentication failed for userid (code=1)
*Mar  1 00:17:40.211: SSH0: Session disconnected - error 0x09 ← authentication-retries 1 に従い、コネクション切断
という動きですね。

なお、クライアント側で何も入力せずにいた場合、接続(Password:)表示から1分程度で切断しているのを確認しました。
R2#ssh -l sshuser 192.168.12.1

*Mar  1 00:19:52.215: SSH CLIENT0: protocol version id is - SSH-2.0-Cisco-1.25
*Mar  1 00:19:52.219: SSH CLIENT0: sent protocol version id SSH-1.99-Cisco-1.25
*Mar  1 00:19:52.223: SSH2 CLIENT 0: send: len 280 (includes padlen 4)
*Mar  1 00:19:52.227: SSH2 CLIENT 0: SSH2_MSG_KEXINIT sent
*Mar  1 00:19:52.267: SSH2 CLIENT 0: ssh_receive: 280 bytes received
(略)
*Mar  1 00:19:52.919: SSH2 CLIENT 0: input: padlen 11
*Mar  1 00:19:52.923: SSH2 CLIENT 0: received packet type 60
% Password:  timeout expired!
Password:
% Password:  timeout expired!
% Authentication failed.

[Connection to 192.168.12.1 closed by foreign host]
R2#
*Mar  1 00:20:53.623: SSH CLIENT0: Session disconnected - error 0x07
これからすると、こっちのタイムアウトは別じゃないかな?と思われます。
たぶんこれじゃないかと思うんですけど、今のところその通りの動作しないんですよねぇ。
R1#sh line vty 0
   Tty Typ     Tx/Rx    A Modem  Roty AccO AccI   Uses   Noise  Overruns   Int
     98 VTY              -    -      -    -    -      8       0     0/0       -

Line 98, Location: "", Type: ""
Length: 24 lines, Width: 80 columns
Baud rate (TX/RX) is 9600/9600
Status: Ready, No Exit Banner
Capabilities: none
Modem state: Ready
Group codes:    0
Special Chars: Escape  Hold  Stop  Start  Disconnect  Activation
                ^^x    none   -     -       none
Timeouts:      Idle EXEC    Idle Session   Modem Answer  Session   Dispatch
               00:10:00        never                        none     not set
                            Idle Session Disconnect Warning
                              never
                            Login-sequence User Response
                             00:00:30 ← これ
                            Autoselect Initial Wait
                              not set
Modem type is unknown.
Session limit is not set.
Time since activation: never
Editing is enabled.
History is enabled, history size is 20.
DNS resolution in show commands is enabled
Full user help is disabled
Allowed input transports are ssh.
Allowed output transports are lat pad telnet rlogin lapb-ta mop v120 ssh.
Preferred transport is lat.
No output characters are padded
No special data dispatching characters
------------------------------
R1(config-line)#timeout ?
  login  Timeouts related to the login sequence

R1(config-line)#timeout login ?
  response  Timeout for any user input during login sequences

R1(config-line)#timeout login response ?
  <1-300>  Timeout in seconds

前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2013-12-19 11:06
arashi1977  長老 居住地: 広島  投稿数: 1715
ちなみに私の環境も
Cisco IOS Software, 3700 Software (C3725-ADVENTERPRISEK9-M), Version 12.4(15)T14, RELEASE SOFTWARE (fc2)
です。

引用:
実際SSHの設定をすると、入力結果が返ってくるレスポンスが悪いので
コマンド入力するのが不快でしたし、
SSHは暗号化処理を行う分CPUを食ってしまいます。高スペックPCであればあまり感じないかもしれませんが、低スペックPCだとちょっと厳しいかもしれませんね
今GNS3で環境作って、R2->R1接続してるだけでも、プロセスがCPU100%つかっちゃってますからねぇ…

引用:
これって、実務では使われないから省略されてると
思っていいんでしょうか?
(略)
過去にネットワークの仕事をしていた人に聞いても、
SSHなんて使った事がなかったと聞きました。
ここは要件次第です。
・閉じたネットワークなので暗号化する必要がないと判断している、または、保守接続する際は必ず現場でコンソール接続するので、そもそもVTYでの接続を暗号化するか否か検討する必要性がない
・閉じたネットワークであっても、保守接続する際にコンソールではなくネットワーク越しに行うので平文でデータが流れるのは好ましくない(=SSHでの暗号化検討)
・オープンなネットワーク経由でログインするので暗号化必須
など、ルータに接続するにあたって暗号化する必要があるのかないのかによって使うかどうかが決まると思います。

余談ですが、私が保守接続する先のサーバは必ずSSH接続するようにしてます
前の投稿 - 次の投稿 | 親投稿 - 子投稿なし | 投稿日時 2013-12-20 17:36
takamoto463  長老 居住地: 大阪  投稿数: 177
arashi1977様

お忙しいところ、いつも回答ありがとうございます。
なにやら、実験までしていただいて(汗)

自分も自宅でやってみたいと思います。

直接試験に関係なくても、聞ける相手がいるというのは
本当にありがたいです。

今後ともよろしくお願いします。

  >フォーラム検索へ


Copyright (c) 2020 Ping-t All rights reserved.