登录设置
Junos OS 演化版 允许您在用户登录设备时为其定义各种设置。您(系统管理员)可以配置:
- 登录前后显示的消息或公告
- 登录时是否显示系统警报
- 登录提示
- 空闲会话的超时值
- 是否在多次身份验证尝试失败后锁定用户帐户
显示系统登录通知或消息
有时,您只想在授权用户登录设备后向他们发布公告。例如,您可能希望宣布即将发生的维护事件。在其他时候,可能适合向连接到设备的任何用户显示消息,例如安全警告。
默认情况下,Junos OS 演化版不显示任何登录消息或公告。您可以通过在层次结构级别包含message[edit system login]语句或announcement语句来配置设备以显示登录消息或通知。设备在用户连接到设备之后但在用户登录之前显示登录message,而仅在用户成功登录到设备后显示announcement登录。
您可以使用以下特殊字符设置消息或公告文本的格式。如果文本包含空格,请用引号将其括起来:
-
\n - 换行符
-
\t - 水平选项卡
-
\' - 单引号
-
\“ - 双引号
-
\\ - 反斜杠
要配置只有授权用户才能看到的公告和任何用户都能看到的消息,请执行以下操作:
登录时显示系统警报
您可以将瞻博网络设备配置为每当给定登录类中的用户登录到设备时执行 show system alarms 命令。
要在特定登录类中的用户登录设备时显示警报,请执行以下操作:
当给定登录类中的用户登录到设备时,设备将显示当前警报。
$ ssh user@host.example.com Password: --- JUNOS 21.1R2.6-EVO Linux (none) 4.8.28-WR2.2.1_standard-g3999f55 #1 SMP PREEMPT Fri Jun 4 00:19:58 PDT 2021 x86_64 x86_64 x86_64 GNU/Linux 2 alarms currently active Alarm time Class Description 2021-07-22 15:00:14 PDT Minor port-1/0/0: Optics does not support configured speed 2021-07-22 15:00:14 PDT Minor port-1/0/1: Optics does not support configured speed
配置登录提示
您可以将 Junos OS 演化 版 CLI 配置为每当给定登录类中的用户登录到设备时显示提示。默认情况下,设备不显示提示。
要启用提示:
配置语句 login-tip 时,设备会向指定类中登录到该设备的任何用户显示提示。
$ ssh user@host.example.com Password: JUNOS tip: In configuration mode, the [edit] banner displays the current location in the configuration hierarchy. user@host>
配置空闲登录会话的超时值
空闲登录会话是指 CLI 显示操作模式或配置模式提示,但没有来自键盘的输入的会话。默认情况下,登录会话将保持已建立状态,直到用户注销设备为止,即使该会话处于空闲状态也是如此。要自动关闭空闲会话,必须为每个登录类配置时间限制。如果该类中的用户建立的会话在配置的时间限制内保持空闲状态,则该会话将自动关闭。自动关闭空闲登录会话有助于防止恶意用户访问设备并使用授权用户帐户执行操作。
只能为用户定义的类配置空闲超时。不能为系统预定义的类配置此选项:operator、 read-only或 superusersuper-user 、 和 unauthorized。
要定义空闲登录会话的超时值,请执行以下操作:
如果配置超时值,CLI 会在空闲用户超时时显示类似于以下内容的消息。CLI 在断开用户连接前 5 分钟开始显示这些消息。
user@host> Session will be closed in 5 minutes if there is no activity. Warning: session will be closed in 1 minute if there is no activity Warning: session will be closed in 10 seconds if there is no activity Idle timeout exceeded: closing session
如果配置超时值,则会话将在指定的时间过后关闭,但以下情况除外:
-
用户正在运行
ssh或telnet命令。 -
用户登录到本地 UNIX 外壳程序。
-
用户正在使用或命令监视
monitor interfacemonitor traffic接口。
登录重试选项
您可以在瞻博网络设备上配置登录重试选项,以保护设备免受恶意用户的侵害。您可以配置以下选项:
-
在系统关闭连接之前,用户可以输入无效登录凭据的次数。
-
在用户达到身份验证尝试失败的阈值后,是否锁定用户帐户以及锁定多长时间。
限制登录尝试并锁定用户帐户有助于保护设备免受恶意用户试图通过猜测授权用户帐户的密码来访问系统的侵害。您可以解锁用户帐户或定义用户帐户保持锁定状态的时间段。
您可以在层次结构级别配置登录重试选项 [edit system login retry-options] 。Junos OS 演化版允许在设备断开用户连接之前尝试三次不成功的登录。您无法修改失败登录尝试的默认阈值。
该 lockout-period 语句指示设备在用户达到登录尝试失败的阈值时将用户帐户锁定指定的时间量。锁定会阻止用户执行需要身份验证的活动,直到锁定时间段过后或系统管理员手动清除锁定为止。当用户尝试从本地控制台登录时,将忽略任何现有锁。
要配置登录重试选项:
- 配置用户达到登录尝试失败阈值后用户帐户保持锁定状态的分钟数。
[edit system login retry-options] user@host# set lockout-period minutes
例如,要在用户达到登录尝试失败阈值后将用户帐户锁定 120 分钟,请执行以下操作:
[edit system login retry-options] user@host# set lockout-period 120
-
提交配置。
[edit system login retry-options] user@host# commit
要在管理员启动的注销期间清除控制台,请在层次结构级别配置message[edit system login]语句时包括换行符 (\n)。要完全清除控制台,管理员可以在消息字符串中输入 50 个或更多 \n 个字符。例如:
user@host# set system login message "\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n Welcome to Junos!!!"