限制 SSH 会话的用户登录尝试次数
远程管理员可以通过 SSH 登录到设备。管理员凭据存储在本地设备上。如果远程管理员提供有效的用户名和密码,则授予对 TOE 的访问权限。如果凭据无效,TOE 允许在 1 秒后开始并呈指数增长的间隔后重试身份验证。如果身份验证尝试次数超过配置的最大值,则在配置的时间间隔内不接受任何身份验证尝试。当间隔到期时,将再次接受身份验证尝试。
您可以将设备配置为限制通过 SSH 登录时尝试输入密码的次数。使用以下命令,如果用户在指定的尝试次数后无法登录,则可以终止连接:
设备允许的重试次数由 tries-before-disconnect 选项定义。默认情况下或由管理员配置,设备允许 3 次不成功的尝试。设备会阻止锁定用户执行需要身份验证的活动,直到安全管理员手动清除锁定或设备保持锁定的定义时间段已过。但是,当用户尝试从本地控制台登录时,将忽略现有锁
[edit system login] user@host# set retry-options tries-before-disconnect <number>
tries-before-disconnect下面是用户在登录时可以尝试输入密码的次数。如果用户在指定号码后无法登录,则连接将关闭。范围为 1 到 10,默认值为 10。
您还可以配置延迟(以秒为单位),然后用户在尝试失败后尝试输入密码。
[edit system login] user@host# set retry-options backoff-threshold <number>
backoff-threshold下面是用户在再次输入密码时遇到延迟之前失败登录尝试次数的阈值。范围为 1 到 3,默认值为 2 秒。使用该backoff-factor选项指定延迟长度(以秒为单位)。
此外,还可以将设备配置为在用户再次输入密码时遇到延迟之前指定失败尝试次数的阈值。
[edit system login] user@host# set retry-options backoff-factor <number>
此处是 backoff-factor 用户在尝试失败后尝试登录之前的时间长度(以秒为单位)。延迟将增加为阈值之后的每次后续尝试指定的值。范围为 5 到 10,默认值为 5 秒。