限制 SSH 会话的用户登录尝试次数
远程管理员可以通过 SSH 登录到设备。管理员凭据存储在本地设备上。如果远程管理员提供有效的用户名和密码,则授予对 TOE 的访问权限。如果凭据无效,TOE 允许在 1 秒后开始并呈指数增长的间隔后重试身份验证。如果身份验证尝试次数超过配置的最大值,则在配置的时间间隔内不接受任何身份验证尝试。当间隔到期时,将再次接受身份验证尝试。
您可以将设备配置为限制通过 SSH 登录时尝试输入密码的次数。使用以下命令,如果用户在指定的尝试次数后无法登录,则可以终止连接:
[edit system login] user@host# set retry-options tries-before-disconnect <number>
tries-before-disconnect
下面是用户在登录时可以尝试输入密码的次数。如果用户在指定号码后无法登录,则连接将关闭。范围为 1 到 10,默认值为 10。
您还可以配置延迟(以秒为单位),然后用户在尝试失败后尝试输入密码。
[edit system login] user@host# set retry-options backoff-threshold <number>
backoff-threshold
下面是用户在再次输入密码时遇到延迟之前失败登录尝试次数的阈值。使用该backoff-factor
选项指定延迟长度(以秒为单位)。范围为 1 到 3,默认值为 2 秒。
此外,还可以将设备配置为在用户再次输入密码时遇到延迟之前指定失败尝试次数的阈值。
[edit system login] user@host# set retry-options backoff-factor <number>
此处是 backoff-factor
用户在尝试失败后尝试登录之前的时间长度(以秒为单位)。延迟将增加为阈值之后的每次后续尝试指定的值。范围为 5 到 10,默认值为 5 秒。
您可以通过 SSH 控制用户访问。通过配置 ssh 根登录拒绝,管理员可以确保根帐户保持活动状态,并继续对 TOE 具有本地管理权限,即使其他远程用户已注销也是如此。
[edit system login] user@host# set services ssh root-login deny
SSH2 协议利用安全加密提供安全的终端会话。SSH2 协议强制运行密钥交换阶段并更改会话的加密和完整性密钥。密钥交换在指定的秒数或指定的数据字节通过连接后定期执行。可以配置 SSH 密钥更新的阈值。TSF 确保在 SSH 连接中,相同的会话密钥用于不超过一小时的阈值,并且传输的数据不超过一千兆字节。当达到任一阈值时,必须执行重新生成密钥。
[edit system login] user@host# set services ssh rekey time-limit number
重新协商会话密钥之前的时间限制为 1 到 1440 分钟。
[edit system login] user@host# set services ssh rekey data-limit number
重新协商会话密钥之前的数据限制为 51200 到 4294967295 字节。