SSH Switch
- 20 nov. 2025
- 3 min de lecture
🔒 Procédure Complète de Configuration SSH sur Cisco
I. Vérification des Prérequis et Configuration de Base
Pour commencer, vous devez vous assurer que votre système d'exploitation Cisco (IOS) supporte la cryptographie, et configurer les éléments de base nécessaires à la génération de la clé de chiffrement.
Vérifiez la version d'IOS :
Utilisez la commande :
show version
Le nom de l'image IOS doit se terminer par "K" ou "K9" pour confirmer le support des fonctionnalités cryptographiques comme SSH.
Affichez l'état de SSH (Optionnel) :
La commande:
show ip ssh
vous permet de vérifier si SSH est déjà actif ou configuré.
Configurez le nom d'hôte :
Passez en mode de configuration globale et définissez un nom d'hôte, par exemple :
conf t
hostname SW2
Configurez le nom de domaine :
Ceci est essentiel, car la clé RSA est générée en utilisant la combinaison du nom d'hôte et du nom de domaine. Utilisez :
ip domain-name sisr.local
II. Génération de la Clé RSA et Sécurité
SSH nécessite une paire de clés RSA pour chiffrer la session. Nous allons ensuite forcer l'utilisation de la version la plus sécurisée de SSH.
Générez la clé RSA :
En mode de configuration globale, utilisez :
crypto key generate rsa.
Le système vous demandera la taille de la clé en bits.
Entrez 2048
(taille recommandée pour la sécurité) ou appuyez sur Entrée pour utiliser la valeur par défaut. La clé sera nommée SW2.sisr.local.
Si vous souhaitez supprimer la clé et en générer une nouvelle : Utilisez la commande :
crypto key zeroize rsa
Vérifiez la clé publique (Optionnel) :
Pour confirmer que la clé a été générée :
show crypto key mypubkey rsa
Sélectionnez SSH Version 2 :
Pour des raisons de sécurité, forcez l'utilisation de la version la plus récente et la plus sûre de SSH :
ip ssh version 2
Définissez les paramètres de sécurité SSH :
Délai d'attente (Time-out) :
Définissez la durée pendant laquelle le périphérique attend une authentification après qu'une connexion soit établie. Exemple :
ip ssh time-out 60 (60 secondes).
Tentatives d'authentification :
Définissez le nombre maximal d'essais avant de fermer la connexion. Exemple :
ip ssh authentication-retries 3.
Créez un compte utilisateur local :
SSH doit utiliser des comptes locaux (via login local) pour l'authentification. Créez un utilisateur avec un mot de passe sécurisé :
username etudiant secret ssh
(Utilisez secret plutôt que password pour chiffrer le mot de passe dans la configuration).
III. Configuration des Lignes d'Accès à Distance (VTY)
Les lignes VTY (Virtual Terminal) gèrent les sessions de gestion à distance. C'est ici que vous activez SSH et désactivez les protocoles non sécurisés comme Telnet.
Configurez les premières lignes VTY pour SSH :
Passez en mode de configuration de ligne et appliquez les commandes suivantes pour les premières lignes (ex: 0 à 1) :
conf t
line vty 0 1
transport input ssh
login local
exec-timeout 10 0
logging synchronoustransport input ssh Autorise uniquement les connexions SSH sur ces lignes.
login local : Force l'utilisation des comptes créés localement (étape 9).
exec-timeout 10 0 : Déconnecte la session après 10 minutes d'inactivité.
logging synchronous : Empêche les messages du journal d'interrompre votre saisie de commandes.
Désactivez les lignes VTY restantes (Meilleure pratique) :
Désactivez tout accès à distance sur le reste des lignes VTY pour une sécurité maximale :
conf t
line vty 2 15
transport input
none no loginIV. Vérifications Finales
Affichez la configuration SSH :
Utilisez :
show ip ssh
pour vérifier la version (doit être 2), le timeout et le nombre de tentatives définis.
Vérifiez les sessions (lors de tests) :
La commande :
show ssh
affiche les sessions SSH actives sur le périphérique.