限制 SSH 会话的用户登录尝试次数
管理员可以通过 SSH 远程登录设备。管理员凭证存储在本地设备上。如果远程管理员提供有效的用户名和密码,则授予对 TOE 的访问权限。如果凭证无效,则 TOE 允许在 1 秒后开始并以指数方式增加的间隔后重试身份验证。如果身份验证尝试次数超过配置的最大值,则在配置的时间间隔内不接受任何身份验证尝试。当间隔到期时,将再次接受身份验证尝试。
您可以配置设备在尝试失败后被锁定的时间。由于语句中指定的 tries-before-disconnect
登录尝试失败次数而被锁定后,用户可以尝试登录设备之前的时间(以分钟为单位)。当用户在语句指定的 tries-before-disconnect
允许尝试次数后无法正确登录时,用户必须等待配置的分钟数,然后才能再次尝试登录设备。在此锁定期内,远程会话用户仍可以作为 root 用户通过控制台访问 TOE。
锁定期必须大于零。您可以配置锁定期的范围为 1 到 43,200 分钟。
[edit system login] security-administrator@host:fips# set retry-options lockout-period number
您可以将设备配置为限制通过 SSH 登录时尝试输入密码的次数。使用以下命令,连接。
[edit system login] security-administrator@host:fips# set retry-options tries-before-disconnect number
这里是 tries-before-disconnect
用户在登录时可以尝试输入密码的次数。如果用户在指定数量后无法登录,则连接将关闭。范围为 1 到 10,默认值为 10。
即使由于多次登录尝试失败而使远程管理永久或暂时不可用,本地管理员访问权限也将保持不变。在锁定期间,用户可以使用用于本地管理的控制台登录。
您还可以配置一个延迟(以秒为单位),然后用户才能在尝试失败后尝试输入密码。
[edit system login] security-administrator@host:fips# set retry-options backoff-threshold number
此处是 backoff-threshold
用户再次输入密码时遇到延迟之前登录尝试失败次数的阈值。使用选项 backoff-factor
指定延迟的长度(以秒为单位)。范围为 1 到 3,默认值为 2 秒。
此外,还可以将设备配置为指定在用户再次输入密码时遇到延迟之前失败尝试次数的阈值。
[edit system login] security-administrator@host:fips# set retry-options backoff-factor number
此处是 backoff-factor
用户在尝试失败后可以尝试登录之前的时间长度(以秒为单位)。延迟将增加阈值后为每次后续尝试指定的值。范围为 5 到 10,默认值为 5 秒。
您可以通过 SSH 控制用户访问。通过配置 ssh root-login deny
,您可以确保 root 账户保持活动状态,并继续拥有 TOE 的本地管理权限,即使其他远程用户已注销。
[edit system] security-administrator@host:fips# set services ssh root-login deny
SSH2 协议利用安全加密提供安全的终端会话。SSH2 协议强制运行密钥交换阶段并更改会话的加密密钥和完整性密钥。密钥交换定期完成,在指定的秒数后或通过连接传递指定字节的数据。您可以为 SSH 重新生成密钥、FCS_SSHS_EXT.1.8 和 FCS_SSHC_EXT.1.8 配置阈值。TSF 确保在 SSH 连接中,使用相同的会话密钥的阈值不超过一小时,传输的数据不超过 1 GB。当达到任一阈值时,必须执行重新生成密钥。
[edit system] security-administrator@host:fips# set services ssh rekey time-limit number
重新协商会话密钥之前的时间限制为 1 到 1440 分钟。
[edit system] security-administrator@host:fips# set services ssh rekey data-limit number
重新协商会话密钥之前的数据限制为 51200 到 4294967295 字节。
对于 SSH 连接意外断开,我们需要重新启动 SSH 连接以重新登录 TOE。