限制 SSH 会话的用户登录尝试次数
管理员可以通过 SSH 远程登录设备。管理员凭据存储在设备本地。如果远程管理员提供有效的用户名和密码,则授予对 TOE 的访问权限。如果凭据无效,TOE 允许在 1 秒后开始并呈指数增长的间隔后重试身份验证。如果身份验证尝试次数超过配置的最大值,则在配置的时间间隔内不接受任何身份验证尝试。当间隔到期时,再次接受身份验证尝试。
您可以配置设备在尝试失败后被锁定的时间。由于语句中指定的 tries-before-disconnect 登录尝试失败次数而被锁定后,用户可以尝试登录设备之前的时间量(以分钟为单位)。如果用户在语句指定的 tries-before-disconnect 允许尝试次数之后未能正确登录,则用户必须等待配置的分钟数,然后才能尝试再次登录设备。在此锁定期间,远程会话用户仍可作为 root 用户通过控制台访问 TOE。
锁定期必须大于零。可以配置锁定期的范围为 1 到 43,200 分钟。
[edit system login] security-administrator@host:fips# set retry-options lockout-period number
您可以将设备配置为限制通过 SSH 登录时尝试输入密码的次数。使用以下命令,连接。
[edit system login] security-administrator@host:fips# set retry-options tries-before-disconnect number
下面, tries-before-disconnect 是用户在登录时可以尝试输入密码的次数。如果用户在指定的号码之后无法登录,则连接将关闭。范围是从 1 到 10,默认值是 10。
即使由于多次登录尝试失败而使远程管理永久或暂时不可用,本地管理员访问权限也将保持不变。在锁定期间,用户将可以使用本地管理的控制台登录。
您还可以配置延迟(以秒为单位),以便用户在尝试失败后尝试输入密码。
[edit system login] security-administrator@host:fips# set retry-options backoff-threshold number
backoff-threshold此处是用户在再次输入密码时遇到延迟之前失败的登录尝试次数的阈值。backoff-factor使用选项指定延迟的长度(以秒为单位)。范围为 1 到 3,默认值为 2 秒。
此外,设备可以配置为在用户再次输入密码时遇到延迟之前,指定失败尝试次数的阈值。
[edit system login] security-administrator@host:fips# set retry-options backoff-factor number
backoff-factor此处是用户在尝试失败后尝试登录之前的时间长度(以秒为单位)。在阈值之后,延迟将按为每次后续尝试指定的值增加。范围为 5 到 10,默认值为 5 秒。
您可以通过 SSH 控制用户访问。通过配置 ssh root-login deny,您可以确保 root 帐户保持活动状态,并继续具有对 TOE 的本地管理权限,即使其他远程用户已注销也是如此。
[edit system] security-administrator@host:fips# set services ssh root-login deny
SSH2 协议利用安全加密提供安全的终端会话。SSH2 协议强制运行密钥交换阶段,并更改会话的加密密钥和完整性密钥。在指定的秒数或指定的数据字节通过连接传递之后,会定期进行密钥交换。您可以配置 SSH 密钥、FCS_SSHS_EXT.1.8 和 FCS_SSHC_EXT.1.8 的阈值。TSF 确保在 SSH 连接中,相同的会话密钥用于不超过一小时的阈值,并且传输的数据不超过 1 GB。当达到任一阈值时,必须执行重新生成密钥。
[edit system] security-administrator@host:fips# set services ssh rekey time-limit number
重新协商会话密钥之前的时间限制为 1 到 1440 分钟。
[edit system] security-administrator@host:fips# set services ssh rekey data-limit number
重新协商会话密钥之前的数据限制为 51200 到 4294967295 字节。
对于无意中断的SSH连接,我们需要重新启动SSH连接才能登录回TOE。