Configurações de login
Junos OS permite que você defina várias configurações para os usuários quando eles fazem login em um dispositivo. Você (o administrador do sistema) pode configurar:
- Mensagens ou anúncios a serem exibidos antes ou depois do login
- Seja para exibir alarmes do sistema após o login
- Dicas de login
- Acesso ao usuário baseado em tempo
- Valores de tempo limite para sessões ociosas
- Limites no número de tentativas de login
- Seja para bloquear uma conta de usuário após várias tentativas de autenticação fracassadas
Exibir um anúncio ou mensagem de login do sistema
Às vezes, você deseja fazer anúncios apenas para usuários autorizados depois que eles fazem login em um dispositivo. Por exemplo, você pode querer anunciar um próximo evento de manutenção. Em outras ocasiões, talvez seja apropriado exibir uma mensagem, como um aviso de segurança, a qualquer usuário que se conecte ao dispositivo.
Por padrão, Junos OS não exibe nenhuma mensagem de login ou anúncio. Você pode configurar o dispositivo para exibir uma mensagem de login ou anúncio, incluindo a message declaração ou a announcement declaração no nível hierárquico [edit system login] . Considerando que o dispositivo exibe um login message depois que um usuário se conecta ao dispositivo, mas antes que o usuário faça login, ele exibe um announcement único após o usuário fazer login com sucesso no dispositivo.
Você pode formatar a mensagem ou o texto de anúncio usando os seguintes caracteres especiais. Se o texto contém espaços, coloque-o entre aspas:
-
a nova linha
-
aba horizontal
-
...'— Marca de cotação única
-
*"— Marca de cotação dupla
-
......— Backslash
Para configurar um anúncio que somente usuários autorizados podem ver e uma mensagem que qualquer usuário pode ver:
Exibir alarmes do sistema após o login
Você pode configurar dispositivos da Juniper Networks para executar o show system alarms comando sempre que um usuário em uma determinada classe de login entrar no dispositivo.
Exibir alarmes sempre que um usuário em uma classe de login específico entrar no dispositivo:
Quando um usuário da classe de login dado faz login no dispositivo, o dispositivo exibe os alarmes atuais.
$ ssh user@host.example.com Password: --- JUNOS 21.1R2.6-EVO Linux (none) 4.8.28-WR2.2.1_standard-g3999f55 #1 SMP PREEMPT Fri Jun 4 00:19:58 PDT 2021 x86_64 x86_64 x86_64 GNU/Linux 2 alarms currently active Alarm time Class Description 2021-07-22 15:00:14 PDT Minor port-1/0/0: Optics does not support configured speed 2021-07-22 15:00:14 PDT Minor port-1/0/1: Optics does not support configured speed
Configure dicas de login
Você pode configurar a Junos OS CLI para exibir uma dica sempre que um usuário da classe de login entrar no dispositivo. O dispositivo não exibe dicas por padrão.
Para habilitar dicas:
Quando você configura a login-tip declaração, o dispositivo exibe uma dica para qualquer usuário na classe especificada que faz login no dispositivo.
$ ssh user@host.example.com Password: JUNOS tip: In configuration mode, the [edit] banner displays the current location in the configuration hierarchy. user@host>
Configure o acesso ao usuário baseado em tempo
Você pode configurar dispositivos juniper networks suportados para aplicar o acesso de usuário baseado em tempo para usuários em uma determinada aula. O acesso de usuário baseado em tempo restringe o tempo e a duração dos logins do usuário para todos os usuários que pertencem à classe. Você pode restringir o acesso do usuário com base na hora do dia ou do dia da semana.
Para restringir o acesso do usuário a determinados dias ou horários, inclua as seguintes declarações no nível de [edit system login class class-name] hierarquia:
-
allowed-days— Configure o acesso do usuário em dias específicos da semana. -
access-starteaccess-end— Configure o acesso do usuário entre o horário de início e o horário de término especificados (hh:mm).
Para configurar o acesso ao usuário baseado em tempo:
-
Habilite o acesso em dias específicos da semana.
[edit system login class class-name] user@host# set allowed-days [ day1 day2 ]
Por exemplo, configurar o acesso do usuário para a
operator-round-the-clock-accessaula de login de segunda a sexta-feira sem qualquer restrição no horário de acesso:[edit system login class operator-round-the-clock-access] user@host# set allowed-days [ monday tuesday wednesday thursday friday ]
-
Habilite o acesso em horários específicos do dia.
[edit system login class class-name] user@host# set access-start hh:mm user#host# set access-end hh:mm
Por exemplo, configurar o acesso do usuário para a
operator-day-shift-all-days-of-the-weekaula de login das 8h30 às 16h30 em todos os dias da semana:[edit system login class operator-day-shift-all-days-of-the-week] user@host# set access-start 08:30 user#host# set access-end 16:30
Você também pode configurar o acesso para incluir dias e horários. O exemplo a seguir configura o acesso do usuário para a operator-day-shift aula de login na segunda, quarta e sexta-feira das 8h30 às 16h30:
[edit system login class operator-day-shift] user@host# set allowed-days [ monday wednesday friday ] user@host# set access-start 08:30 user@host# set access-end 16:30
Como alternativa, você pode especificar o horário de início e o horário de término do login para a operator-day-shift aula de login usando o seguinte formato:
[edit system login class operator-day-shift] user@host# set allowed-days [ monday wednesday friday ] user@host# set access-start 08:30am user@host# set access-end 04:30pm
Os horários de início e fim de acesso podem se estender até as 00h00 de um determinado dia. Nesse caso, o usuário ainda tem acesso até o dia seguinte, mesmo que você não configure explicitamente esse dia na allowed-days declaração.
Configure o valor de tempo limite para sessões de login ociosas
Uma sessão de login ociosa é aquela em que a CLI exibe o modo operacional ou o prompt do modo de configuração, mas não há entrada do teclado. Por padrão, uma sessão de login permanece estabelecida até que um usuário faça login no dispositivo, mesmo que essa sessão esteja ociosa. Para encerrar sessões ociosas automaticamente, você deve configurar um limite de tempo para cada aula de login. Se uma sessão estabelecida por um usuário nessa classe permanecer ociosa pelo limite de tempo configurado, a sessão será encerrada automaticamente. Fechar automaticamente sessões de login ociosas ajuda a evitar que usuários mal-intencionados obtenham acesso ao dispositivo e realizem operações com uma conta de usuário autorizada.
Você pode configurar um tempo limite ocioso apenas para aulas definidas pelo usuário. Você não pode configurar essa opção para as aulas predefinidas do sistema: operatorsuper-user ouread-onlysuperuserunauthorized...
Para definir o valor de tempo limite para sessões de login ociosas:
Se você configurar um valor de tempo limite, a CLI exibe mensagens semelhantes às seguintes ao cronometrar um usuário ocioso. A CLI começa a exibir essas mensagens 5 minutos antes de desconectar o usuário.
user@host> Session will be closed in 5 minutes if there is no activity. Warning: session will be closed in 1 minute if there is no activity Warning: session will be closed in 10 seconds if there is no activity Idle timeout exceeded: closing session
Se você configurar um valor de tempo limite, a sessão será concluída após as elapses de tempo especificadas, exceto nos seguintes casos:
-
O usuário está executando o
sshoutelneto comando. -
O usuário está logado na shell unix local.
-
O usuário está monitorando interfaces usando o
monitor interfaceou omonitor trafficcomando.
Opções de tentativa de login
Você pode configurar opções de tentativa de login em dispositivos da Juniper Network para proteger os dispositivos contra usuários maliciosos. Você pode configurar as seguintes opções:
-
O número de vezes que um usuário pode inserir credenciais de login inválidas antes que o sistema feche a conexão.
-
Se e por quanto tempo bloquear uma conta de usuário após o usuário atingir o limite de tentativas de autenticação fracassadas.
Limitar as tentativas de login e bloquear a conta do usuário ajuda a proteger o dispositivo contra usuários mal-intencionados que tentam acessar o sistema adivinhando a senha de uma conta de usuário autorizada. Você pode desbloquear a conta do usuário ou definir um período de tempo para que a conta do usuário permaneça bloqueada.
Você configura opções de tentativa de login no nível de [edit system login retry-options] hierarquia. A tries-before-disconnect declaração define o limiar de tentativas de login falhadas antes que o dispositivo desconecte o usuário. O dispositivo permite três tentativas de login mal sucedidas por padrão.
A lockout-period declaração instrui o dispositivo a bloquear a conta do usuário pelo tempo especificado se o usuário atingir o limite de tentativas de login mal sucedidas. A fechadura impede que o usuário realize atividades que exijam autenticação, até que o período de bloqueio tenha sido decorrido ou que um administrador do sistema limpe a fechadura manualmente. Quaisquer fechaduras existentes são ignoradas quando o usuário tenta fazer login no console local.
Para configurar opções de tentativa de login:
-
Configure o número de vezes que um usuário pode tentar digitar uma senha.
[edit system login retry-options] user@host# set tries-before-disconnect number
Por exemplo, para permitir que um usuário insira uma senha quatro vezes antes que o dispositivo feche a conexão:
[edit system login retry-options] user@host# set tries-before-disconnect 4
- Configure o número de minutos em que a conta do usuário permanece bloqueada após um usuário atingir o limite de tentativas de login fracassadas.
[edit system login retry-options] user@host# set lockout-period minutes
Por exemplo, bloquear uma conta de usuário por 120 minutos após um usuário atingir o limite de tentativas de login fracassadas:
[edit system login retry-options] user@host# set lockout-period 120
-
Confirmar a configuração.
[edit system login retry-options] user@host# commit
Para limpar o console durante um logout iniciado pelo administrador, inclua caracteres newline (\n) quando você configura a message declaração no nível de [edit system login] hierarquia. Para limpar completamente o console, o administrador pode inserir 50 ou mais caracteres na cadeia de mensagens. Por exemplo:
user@host# set system login message "\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n Welcome to Junos!!!"
Limite o número de tentativas de login de usuários para sessões de SSH e Telnet
Você pode limitar o número de vezes que um usuário pode tentar digitar uma senha enquanto faz login em um dispositivo por SSH ou Telnet. O dispositivo encerra a conexão se um usuário não fizer login após o número de tentativas especificadas. Você também pode especificar um atraso, em segundos, antes que um usuário possa tentar digitar uma senha após uma tentativa fracassada. Além disso, você pode especificar o limite para o número de tentativas fracassadas antes que o usuário experimente um atraso em poder digitar uma senha novamente.
Para especificar o número de vezes que um usuário pode tentar digitar uma senha durante o login, inclua a retry-options declaração no nível de [edit system login] hierarquia:
[edit system login] retry-options { tries-before-disconnect number; backoff-threshold number; backoff-factor seconds; lockout-period minutes; maximum-time seconds minimum-time seconds; }
Você pode configurar as seguintes opções:
-
tries-before-disconnect— Número máximo de vezes que um usuário pode digitar uma senha ao fazer login no dispositivo por meio de SSH ou Telnet. A conexão se fecha se um usuário não fizer login após o número especificado. A faixa é de 1 a 10, e o padrão é 3. -
backoff-threshold— Limite para o número de tentativas de login falhadas antes que o usuário experimente um atraso em poder digitar uma senha novamente. O intervalo é de 1 a 3, e o padrão é 2. Use a opçãobackoff-factorpara especificar a duração do atraso. -
backoff-factor— Tempo de duração, em segundos, que o usuário deve esperar após uma tentativa de login fracassada acima dabackoff-threshold. O atraso aumenta pelo valor especificado para cada tentativa subsequente após obackoff-thresholdvalor. O intervalo é de 5 a 10, e o padrão é de 5 segundos. -
lockout-period— Tempo de duração, em minutos, em que uma conta de usuário é bloqueada após atingir otries-before-disconnectlimite. O intervalo é de 1 a 43.200 minutos. -
maximum-time seconds— Tempo máximo de duração, em segundos, de que a conexão permaneça aberta para que o usuário insira um nome de usuário e senha para fazer login. Se o usuário permanecer ocioso e não digitar um nome de usuário e senha dentro do configuradomaximum-time, a conexão se fecha. O intervalo é de 20 a 300 segundos, e o padrão é de 120 segundos. -
minimum-time— Tempo mínimo de duração, em segundos, de que uma conexão permaneça aberta enquanto um usuário tenta digitar uma senha correta. O intervalo é de 20 a 60, e o padrão é de 20 segundos.
Limitar o número de tentativas de login de SSH e Telnet por usuário é um dos métodos mais eficazes para impedir que ataques de força bruta comprometam a segurança de sua rede. Os invasores de força bruta executam um grande número de tentativas de login em um curto período de tempo para obter acesso ilegitimamente a uma rede privada. Ao configurar as retry-options declarações, você pode criar um atraso cada vez maior após cada tentativa de login falha, desconectando qualquer usuário que passar seu limite definido de tentativas de login.
Para limitar as tentativas de login quando um usuário faz login por SSH ou Telnet:
Para a configuração a seguir, o usuário experimenta um atraso de 5 segundos após a segunda tentativa de digitar uma senha correta falhar. Após cada tentativa falha subseqüente, o atraso aumenta em 5 segundos. Após a quarta e última tentativa fracassada de digitar uma senha correta, o usuário experimenta um atraso adicional de 10 segundos. A conexão se fecha após um total de 40 segundos.
[edit]
system {
login {
retry-options {
backoff-threshold 2;
backoff-factor 5;
minimum-time 40;
tries-before-disconnect 4;
}
}
}
Exemplo: Configure opções de tentativa de login
Este exemplo mostra como configurar opções de tentativa de login para proteger um dispositivo de usuários maliciosos.
Requisitos
Antes de começar, você deve entender Limite o número de tentativas de login de usuários para sessões de SSH e Telnet.
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.
Visão geral
Usuários maliciosos às vezes tentam fazer login em um dispositivo seguro adivinhando a senha de uma conta de usuário autorizada. Você pode bloquear uma conta de usuário após um certo número de tentativas de autenticação falhadas. Essa precaução ajuda a proteger dispositivos de usuários maliciosos.
Você pode configurar o número de tentativas de login com falha antes que o dispositivo bloqueie a conta do usuário, e você pode configurar o tempo que a conta permanece bloqueada. Você também pode configurar a quantidade de tempo que o usuário deve esperar entre tentativas de login falhadas.
Este exemplo inclui as seguintes configurações:
-
backoff-factor— Tempo de atraso em segundos que o usuário deve esperar após cada tentativa de login falhando acima dabackoff-threshold. O atraso aumenta por esse valor para cada tentativa de login subsequente após o valor especificado nabackoff-thresholddeclaração. -
backoff-threshold— Limite para o número de tentativas de login falhadas no dispositivo antes que o usuário experimente um atraso ao tentar reentrada em uma senha. Quando um usuário atinge o limite de tentativas de login fracassadas, o usuário experimenta o conjunto de atrasos nabackoff-factordeclaração. Após o atraso, o usuário pode fazer outra tentativa de login. -
lockout-period— Quantidade de minutos em que a conta do usuário é bloqueada após o usuário atingir otries-before-disconnectlimite. O usuário deve aguardar o número configurado de minutos antes de fazer login no dispositivo novamente. -
tries-before-disconnect— Número máximo de vezes que o usuário pode digitar uma senha para tentar fazer login no dispositivo por meio de SSH ou Telnet.
Se você estiver bloqueado fora do dispositivo, você pode fazer login na porta do console do dispositivo, o que ignora qualquer bloqueio de usuário. Isso fornece uma maneira de os administradores removerem o bloqueio do usuário em sua própria conta de usuário.
Este exemplo define a opção tries-before-disconnect para 3. Como resultado, o usuário tem três tentativas de fazer login no dispositivo. Se o número de tentativas de login falha for igual ao valor especificado na backoff-threshold declaração, o usuário deve aguardar o backoff-threshold multiplicado pelo backoff-factor intervalo, em segundos, para obter o prompt de login. Neste exemplo, o usuário deve esperar 5 segundos após a primeira tentativa de login falha e 10 segundos após a segunda tentativa de login falha na tentativa de obter o prompt de login. O dispositivo desconecta o usuário após a terceira tentativa fracassada.
Se o usuário não fizer login com sucesso após três tentativas, a conta do usuário será bloqueada. O usuário não pode fazer login até que 120 minutos tenham sido decorridos, a menos que um administrador de sistema limpe manualmente a fechadura durante esse período.
Um administrador de sistema pode desbloquear manualmente uma conta emitindo o clear system login lockout user <username> comando. O show system login lockout comando exibe quais contas de usuário estão bloqueadas e quando o período de bloqueio começa e termina para cada usuário.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.
set system login retry-options backoff-factor 5 set system login retry-options backoff-threshold 1 set system login retry-options lockout-period 120 set system login retry-options tries-before-disconnect 3
Procedimento passo a passo
Para configurar opções de nova tentativa de sistema:
-
Configure o fator backoff.
[edit] user@host# set system login retry-options backoff-factor 5
-
Configure o limite de backoff.
[edit] user@host# set system login retry-options backoff-threshold 1
-
Configure o número de minutos em que a conta do usuário permanece bloqueada após um usuário atingir o limite de tentativas de login fracassadas.
[edit] user@host# set system login retry-options lockout-period 120
-
Configure o número de vezes que um usuário pode tentar digitar uma senha.
[edit] user@host# set system login retry-options tries-before-disconnect 3
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show system login retry-options comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show system login retry-options tries-before-disconnect 3; backoff-threshold 1; backoff-factor 5; lockout-period 120;
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Exibir os logins de usuário bloqueados
Propósito
Verifique se a configuração de bloqueio de login está habilitada.
Ação
Tente três logins sem sucesso para um nome de usuário específico. O dispositivo ficará bloqueado para esse nome de usuário. Em seguida, faça login no dispositivo com um nome de usuário diferente. Do modo operacional, emita o show system login lockout comando para visualizar as contas bloqueadas.
user@host> show system login lockout User Lockout start Lockout end jsmith 2021-08-17 16:27:28 PDT 2021-08-17 18:27:28 PDT
Significado
Depois de realizar três tentativas de login mal sucedidas com um nome de usuário específico, o dispositivo fica bloqueado para esse usuário por 120 minutos, conforme configurado no exemplo. Você pode verificar se o dispositivo está bloqueado para esse usuário fazendo login no dispositivo com um nome de usuário diferente e entrando no show system login lockout comando.