限制 SSH 会话的用户登录尝试次数
管理员可以通过 SSH 远程登录设备。管理员凭据存储在设备上本地。如果远程管理员提供有效的用户名和密码,将授予对 TOE 的访问权限。如果凭据无效,TOE 允许在 1 秒后开始并呈指数级增长的间隔之后重新尝试身份验证。如果身份验证尝试的次数超过配置的最大次数,则对于配置的时间间隔,不会接受任何身份验证尝试。间隔到期后,将再次接受身份验证尝试。
您可以配置尝试失败后设备被锁定的时间量。由于语句指定的 tries-before-disconnect
登录尝试失败次数,用户被锁定后,可以尝试登录设备前几分钟的时间量。如果用户在语句指定的 tries-before-disconnect
允许尝试次数之后无法正确登录,则用户必须等待配置的分钟数,然后才能再次尝试登录设备。
锁定期必须大于零。您可以配置锁定期的范围为 1 到 43,200 分钟。
[edit system login] security-administrator@host:fips# set retry-options lockout-period <number>
您可以将设备配置为限制通过 SSH 日志记录时输入密码的尝试次数。使用以下命令,连接。
[edit system login] security-administrator@host:fips# set retry-options tries-before-disconnect <number>
tries-before-disconnect
此处表示用户在登录时可以尝试输入密码的次数。如果用户在指定编号之后未能登录,则连接将关闭。范围为 1 到 10,默认值为 10。
即使远程管理因多次登录尝试失败而永久或暂时不可用,也将保持本地管理员访问权限。在锁定期间,用户可以使用用于本地管理的控制台登录。
在尝试失败后,您还可以配置用户尝试输入密码之前的延迟(以秒为单位)。
[edit system login] security-administrator@host:fips# set retry-options backoff-threshold <number>
backoff-threshold
此处是用户在无法再次输入密码时遇到延迟之前,登录尝试失败的次数的阈值。backoff-factor
使用选项指定延迟长度(以秒为单位)。范围为 1 到 3,默认值为 2 秒。
此外,还可以将设备配置为在用户再次输入密码时遇到延迟之前,指定失败尝试次数的阈值。
[edit system login] security-administrator@host:fips# set retry-options backoff-factor <number>
backoff-factor
此处是尝试失败后,用户才能尝试登录之前的时间长度(以秒为单位)。延迟会因阈值后每次后续尝试指定的值而增加。范围为 5 到 10,默认值为 5 秒。
您可以通过 SSH 控制用户访问。通过配置 ssh root-login deny
,您可以确保 root 帐户保持活动状态,并继续对 TOE 拥有本地管理权限,即使其他远程用户已经注销。
[edit system] security-administrator@host:fips# set services ssh root-login deny
SSH2 协议利用安全加密提供安全终端会话。SSH2 协议实施运行密钥交换阶段,并更改会话的加密和完整性密钥。在指定秒数后或连接传递指定数据字节之后,定期进行密钥交换。您可以配置 SSH 密钥重新设置阈值,FCS_SSHS_EXT.1.8 和 FCS_SSHC_EXT.1.8。TSF 可确保在 SSH 连接内,相同的会话密钥可用于不超过一小时的阈值,并且传输的数据不超过一 GB。当任何一个阈值达到时,必须执行密钥重新设置。
[edit system] security-administrator@host:fips# set services ssh rekey time-limit <number>
重新协商会话密钥之前的时间限制为 1 到 1440 分钟。
[edit system] security-administrator@host:fips# set services ssh rekey data-limit <number>
重新协商会话密钥之前的数据限制为 51200 到 4294967295 字节。