Hoppa till innehållet
Avanet

Anslut till Sophos Firewall via SSH

Sophos Firewall

Många support- och felsökningsuppgifter kräver SSH-åtkomst till Sophos Firewall. Det gäller till exempel logganalys, omstart av tjänster, särskilda diagnostikkommandon eller arbete i Advanced Shell.

Den här guiden visar hur SSH-åtkomst förbereds, hur anslutningen till firewallen görs och hur rätt konsol öppnas.

Förutsättningar

För en SSH-anslutning till Sophos Firewall behövs:

  • Administrativ åtkomst till Sophos Firewall
  • Firewallens IP-adress eller DNS-namn
  • Åtkomst till användaren admin
  • På macOS eller Linux: den inbyggda Terminal-appen med SSH
  • På Windows: Windows Terminal med OpenSSH eller PuTTY
  • SSH-åtkomst tillåten under Administration > Device access

⚠️ SSH bör endast tillåtas från betrodda nät. I produktionsmiljöer är det bättre att begränsa åtkomsten till en management-IP eller ett adminnät, i stället för att öppna SSH brett.

Tillåt SSH-åtkomst på firewallen

För att anslutningen ska fungera måste Sophos Firewall tillåta SSH på rätt zon eller via en Local Service ACL Exception Rule.

  1. Logga in i Web Admin på Sophos Firewall.
  2. Öppna Administration.
  3. Välj Device access.
  4. Kontrollera om SSH är tillåtet för önskad zon.

För interna administrationsnät kan SSH aktiveras direkt för aktuell zon, till exempel LAN. Om åtkomsten ska begränsas mer exakt är en Local service ACL exception rule lämplig.

För ett ACL-undantag bör värdena sättas så snävt som möjligt:

  • Source zone: zonen som administrationen kommer från
  • Source Network / Host: admin-IP eller managementnät
  • Services: SSH
  • Action: Accept
Sophos Firewall Local Service ACL Exception Rule för SSH-åtkomst
Exempel på en Local Service ACL Exception Rule som endast tillåter SSH-åtkomst från ett definierat källobjekt.

SSH bör inte vara nåbart från internet utan strikt begränsning. Om extern åtkomst krävs bör den endast tillåtas från en definierad käll-IP, via VPN eller via en dedikerad supportåtkomst.

Lägg till publik nyckel för admin

För SSH-åtkomst är autentisering med publik nyckel den rekommenderade metoden. På Sophos Firewall kan den publika nyckeln läggas till för användaren admin under Administration > Device access.

⚠️ SSH-inloggning till Sophos Firewall är endast möjlig med användaren admin. Andra WebAdmin-användare kan inte logga in via SSH.

Den publika nyckeln läggs till under Public key authentication for admin:

  1. Öppna Administration.
  2. Välj Device access.
  3. Gå till Public key authentication for admin.
  4. Aktivera Enable authentication.
  5. Lägg till den publika nyckeln under Authorized keys.
  6. Spara med Apply.
Sophos Firewall Public Key Authentication för admin-användaren
Rekommenderad metod: aktivera Public Key Authentication för SSH-åtkomst med admin-användaren.

Den privata nyckeln ligger alltid kvar på administratörens klient och får inte delas. På firewallen sparas endast den publika nyckeln.

Anslut från macOS eller Linux

På macOS och Linux finns normalt redan en SSH-klient installerad. Anslutningen görs i Terminal.

Exempel:

ssh admin@192.0.2.1

Ersätt 192.0.2.1 med IP-adressen eller DNS-namnet för Sophos Firewall.

Vid första anslutningen frågar SSH-klienten om målsystemets fingerprint ska accepteras. Kontrollera fingerprint och bekräfta därefter.

Beroende på konfigurationen efterfrågas lösenordet för användaren admin, eller så görs inloggningen med den konfigurerade SSH-nyckeln.

Anslut med PuTTY

På Windows kan Windows Terminal med OpenSSH eller PuTTY användas.

Med PuTTY:

  1. Öppna PuTTY.
  2. Ange IP-adressen eller DNS-namnet för Sophos Firewall under Host Name.
  3. Sätt Port till 22.
  4. Sätt Connection type till SSH.
  5. Anslut med Open.
  6. Kontrollera och acceptera SSH-fingerprint.
  7. Logga in som admin och använd lösenord eller SSH-nyckel beroende på konfiguration.

Efter inloggningen visas konsolmenyn för Sophos Firewall.

Öppna Device Console eller Advanced Shell

Efter lyckad SSH-inloggning visar firewallen en konsolmeny. Valet beror på uppgiften.

För många SFOS-kommandon används:

4. Device Console

För djupare Linux- eller filsystemuppgifter öppnas Advanced Shell:

5. Device Management > Advanced Shell

Advanced Shell ger mycket omfattande åtkomst till systemet. Kör bara kommandon där när effekten är tydlig.

Avsluta anslutningen

När arbetet är klart bör SSH-sessionen avslutas korrekt:

exit

Om man befinner sig i en undermeny kan det först krävas att man går tillbaka till huvudmenyn.

Vanliga problem

Anslutningen nekas

Om anslutningen nekas är SSH oftast inte tillåtet på firewallen för vald zon eller källa. Kontrollera Administration > Device access.

Anslutningen får timeout

Timeout betyder ofta att firewallen inte kan nås via vald IP-adress, att en route saknas eller att en framförliggande firewall blockerar åtkomst.

Inloggningen misslyckas

Om inloggningen misslyckas, kontrollera användaren admin, lösenordet eller SSH-nyckeln samt tillåtna källnät.