Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Junos OS 登录设置

Junos OS 允许您在用户登录后为其指定各种设置。您可以定义在用户登录之后向其发送通知的内容、显示系统报警、提供登录提示或指定基于时间的用户访问权限,以及限制登录尝试次数。有关详细信息,请阅读本主题。

配置 Junos OS 以显示系统登录公告

有时,您希望仅在授权用户登录后才向其发出通知。例如,您可能想要通告即将发生的维护活动。

您可以使用以下特殊字符来格式化公告:

  • \n — 新线路

  • \t — 水平选项卡

  • —单引号

  • \"—双引号

  • \\—Backslash

如果消息文本中包含任何空格,请用引号将其引起来。

默认情况下,不显示登录通知。

要配置仅可由授权用户看到的公告:

  1. announcement语句包含在[edit system login]配置中。

    例如:

  2. 提交配置。
  3. 连接到新会话中的设备,以验证新横幅是否存在。

    上述登录消息配置示例产生类似于以下内容的登录消息:

如果公告文本包含任何空格,请将文本放在引号内。

用户登录 ,系统将出现系统登录声明。系统登录 消息 在用户登录之前显示。

提示:

您可以使用与描述的相同特殊字符来设置系统登录公告的格式。

将系统报警配置为在登录时自动显示

您可以将瞻博网络路由器和交换机配置为只要show system alarms具有登录类admin的用户登录到路由器或交换机,即可运行此命令。为此,请将login-alarms语句包含在[edit system login class admin]层次结构级别。

有关该命令的信息 show system alarms ,请参阅 CLI Explorer

配置登录提示

Junos OS CLI 提供为用户配置登录提示的选项。默认情况下, tip用户登录时不启用该命令。

  • 要启用提示,请将login-tip语句包含在[edit system login class class-name]层次结构级别:

如果用户使用 CLI 登录tip ,添加此语句将为指定的类启用命令。

例子配置基于时间的用户访问

下面的示例演示如何配置从星期一到星期五的operator-round-the-clock-access登录类的用户访问权限,并且不限制访问时间或登录持续时间:

以下示例显示如何在星期一、星期三和星期五( operator-day-shift从 8:30 AM 到 4:30 PM)上配置登录类的用户访问:

或者,您也可以按以下格式指定operator-day-shift登录类的登录开始时间和结束时间为 8:30 AM 到 4:30 PM:

下面的示例演示如何将operator-day-shift-all-days-of-the-week登录类的用户访问配置为从 8:30 AM 到 4:30 PM 的星期数:

配置空闲登录会话的超时值

空闲登录会话是一种显示 CLI 操作模式提示但没有键盘输入的情况。默认情况下,登录会话一直保持建立,直到用户注销路由器或交换机为止,即使该会话空闲也是如此。要自动关闭空闲会话,您必须为每个登录类配置时间限制。如果用户在此类中建立的会话在配置的时间限制内保持空闲,会话将自动关闭。 Idle-timeout 只能为用户定义的类配置。配置对系统预定义的类不起作用:operator, read-only, super-user. 这些类的值和权限不可编辑。

要定义空闲登录会话的超时值,请将idle-timeout语句包含在[edit system login class class-name]层次结构级别:

指定会话在自动关闭前可处于空闲状态的分钟数。

如果您已配置超时值,则在超时空闲用户时,CLI 将显示类似以下内容的消息。它会在用户超时前 5 分钟开始显示这些消息。

如果配置超时值,会话将在指定时间过后关闭,除非用户使用monitor interfacemonitor traffic命令运行 telnet 或监控接口。

登录重试选项

安全管理员可配置用户可尝试使用无效登录凭据登录设备的次数。在不成功的身份验证尝试次数后,设备可被锁定。这有助于保护设备免遭恶意用户尝试通过猜测帐户密码访问系统。安全管理员可以解锁用户帐户或定义用户帐户保持锁定的时间段。

系统lockout-period定义了在指定次数不成功的登录尝试后,设备可为用户帐户锁定的时间量。

安全管理员可以配置一个时间段,在此时段之后不活动的会话将被锁定,需要重新身份验证才能解除锁定。这有助于防止设备在会话超时之前空闲很长时间。

系统idle-timeout定义 CLI 操作模式提示在会话超时之前保持活动状态的时间长度。

安全管理员可以使用识别和认证屏幕之前显示的建议声明来配置标题。

系统message将定义系统登录消息。此消息在用户登录之前显示。

设备允许的 reattempts 数量由tries-before-disconnect选项定义。默认情况下,设备允许3次未成功尝试,或者由管理员配置。该设备可防止锁定用户执行需要认证的活动,直到安全管理员清除锁定或定义设备保持锁定的时间段已过。但是,当用户尝试从本地控制台登录时,将忽略现有锁定。

注:

要在管理员启动的注销过程中清除控制台,管理员必须对此进行 set system login message “message string”配置,使消息字符串包含换行符(\n)字符,并在 \n 字符结尾处出现登录标志消息。

为确保完全清除配置信息,管理员可在命令 set system login message “message string”消息字符串中输入50或更多 \n 字符。

例如, set system login message "\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n Welcome to Junos!!!"

限制 SSH 和 Telnet 会话的用户登录尝试次数

您可以限制用户在通过 SSH 或 Telnet 登录时可尝试输入密码的次数。如果用户在指定的尝试次数后未能登录,连接将终止。您还可以指定用户在尝试失败后尝试输入密码之前的延迟(以秒为单位)。此外,您还可以在用户遇到再次输入密码的延迟之前,指定失败尝试次数的阈值。

要指定用户在登录时尝试输入密码的次数,请将retry-options语句包含在[edit system login]层次结构级别:

您可以配置以下选项:

  • tries-before-disconnect—用户在登录时可尝试输入密码多次。如果用户未能在指定的号码后登录,连接将关闭。范围为1到10,默认值为10。

  • backoff-threshold—在用户遇到再次输入密码延迟之前,登录尝试失败次数的阈值。使用backoff-factor选项指定延迟长度(秒)。范围为1到3,默认值为2。

  • backoff-factor—在尝试失败后,用户可以尝试登录的时间长度,以秒为秒。延迟将按阈值后每次后续尝试的指定值增加。范围为5到10,默认值为5秒。

  • maximum-time seconds—连接保持开放的最大时间长度(以秒为秒)供用户输入用户名和密码以登录。如果用户保持空闲,并且未在配置maximum-time内输入用户名和密码,则连接将关闭。范围为20到300秒,默认值为120秒。

  • minimum-time—用户尝试输入正确密码时连接保持打开的最小时间长度(以秒为秒)。其范围为20到60,默认值为40。

下面的示例演示如何在用户在通过 SSH 或 Telnet 登录时输入密码时,限制用户尝试四次:

限制每个用户的 SSH 和 Telnet 登录尝试次数是阻止强力攻击以抵御网络安全威胁的最有效方法之一。暴力攻击者在短时间内执行大量登录尝试,illegitimately 访问私有网络。通过配置retry-options命令,您可以在每次登录尝试失败后创建一个不断增加的延迟,最终会断开经过您设定的登录尝试阈值的任何用户的连接。

将设置backoff-threshold为2、 back-off-factor 5 秒和minimum-time到40秒。在第二次尝试输入正确密码失败后,用户会经历5秒的延迟。在每次后续失败尝试之后,延迟将增加5秒。第四次和最后一次尝试输入正确的密码后,用户将经历10秒的额外延迟,并且连接将在总40秒后关闭。

附加变量maximum-timelockout-period在此示例中未设置。

注:

此示例仅显示正在修改的 [编辑系统登录] 层次结构级别的部分。

示例:配置登录重试选项

此示例显示如何配置系统重试选项,以保护设备免遭恶意用户的攻击。

要求

开始之前,您应该了解登录重试选项

在配置此功能之前,不需要进行设备初始化以外的特殊配置。

概述

恶意用户有时会通过猜测授权用户帐户的密码,尝试登录安全设备。在身份验证尝试失败后锁定用户帐户可帮助保护设备免遭恶意用户的攻击。

设备锁定允许您在用户帐户锁定到设备之外之前配置失败尝试次数,并配置用户再次尝试登录设备之前的时间量。您可以配置用户帐户登录尝试失败的间隔时间,并可手动锁定和解锁用户帐户。

注:

此示例包括以下设置:

  • backoff-factor — 设置每次登录尝试失败后的延迟长度(以秒为秒)。当用户错误地登录设备时,用户必须等待配置的时间量,然后再尝试再次登录设备。在backoff-threshold语句中指定的值之后,每次后续登录尝试的该值都会增加此值的延迟长度。此语句的默认值为5秒,范围为5到10秒。

  • backoff-threshold — 设置在用户尝试重新输入密码时出现延迟之前设备上失败的登录尝试次数的阈值。当用户错误地登录设备并达到失败登录尝试次数的极限时,用户会在尝试再次登录设备之前,遇到在backoff-factor语句中设置的延迟。此语句的默认值为2,范围为1到3。

  • lockout-period — 设置用户在因语句中指定的登录尝试失败次数而被锁定后可以尝试登录设备的时间量(以分钟 tries-before-disconnect 为秒)。如果用户未能在tries-before-disconnect语句指定的允许尝试次数后正确登录,则用户必须等待配置的分钟数,然后再尝试再次登录设备。锁定周期必须大于零。可在此范围内配置锁定时间段为一到43200分钟。

  • tries-before-disconnect — 设置允许用户输入密码以尝试通过 SSH 或 Telnet 登录设备的最大次数。当用户达到最大失败登录尝试次数时,用户将被锁定在设备之外。尝试重新登录设备之前,用户必须等待lockout-period语句中配置的分钟数。设置tries-before-disconnectlockout-period语句时必须设置语句;否则, lockout-period语句毫无意义。默认尝试次数为10,范围为一到十次尝试。

用户锁定设备后,如果您是安全管理员,则可以使用clear system login lockout <username>命令从这种状态中手动删除用户。您还可以使用show system login lockout命令查看当前锁定的用户、每个用户的锁定时间段以及每个用户的锁定期间的结束时间。

如果安全管理员已锁定在设备之外,他可以从 console 端口登录到设备,这将忽略任何用户锁定。这为管理员提供了一种在自己的用户帐户上卸下用户锁的方法。

在此例中,用户等待间隔倍数(以秒为单位) backoff-thresholdbackoff-factor 获取登录提示。在此示例中,用户必须在第一次登录尝试失败后等待5秒钟,在第二次失败登录尝试之后10秒后,才能获取登录提示。第三次失败尝试后的15秒后,用户会断开tries-before-disconnect连接,因为该选项配置为3。

除非安全管理员更快地手动清除锁定,否则用户不能尝试 anther 登录,直到超过120分钟。

配置

操作

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

要配置系统重试选项:

  1. 配置回退因子。

  2. 配置回退阈值。

  3. 配置尝试失败后设备锁定的时间量。

  4. 配置尝试失败的次数,设备可以保持解锁状态。

成果

从配置模式,输入show system login retry-options命令以确认您的配置。如果输出未显示预期配置,请重复此示例中的配置说明进行更正。

确认配置是否正常工作。

如果您完成了设备配置,请从commit配置模式进入。

针对

显示锁定的用户登录

用途

验证是否启用了登录锁定配置。

行动

尝试三次不成功的特定用户名登录。将为该用户名锁定设备;然后使用不同的用户名登录设备。在操作模式下,输入show system login lockout命令。

含义

当您使用特定用户名执行三次失败的登录尝试时,该用户的设备将被锁定为五分钟,如示例中所配置。您可以通过使用不同的用户名登录设备并输入show system login lockout命令,来验证设备是否已为该用户锁定。