Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

登录设置

Junos OS 允许您在用户登录设备时为其定义各种设置。您(系统管理员)可以配置:

  • 在登录之前或之后显示的消息或公告
  • 是否在登录时显示系统报警
  • 登录提示
  • 基于时间的用户访问
  • 空闲会话的超时值
  • 对登录尝试次数的限制
  • 在多次身份验证尝试失败后是否锁定用户帐户

显示系统登录公告或消息

有时,您只想在用户登录设备后向授权用户发布公告。例如,您可能需要宣布即将举行的维护活动。在其他时候,可能适合向连接到设备的任何用户显示一条消息,如安全警告。

默认情况下, Junos OS 不会显示任何登录消息或公告。您可以将设备配置为显示登录消息或公告,方法是将语句或announcement语句包含message[edit system login]层次结构级别。而设备在用户连接到设备后显示登录 message ,但在用户登录之前,仅在用户成功登录设备之后才会显示 announcement 登录。

您可以使用以下特殊字符格式化消息或公告文本。如果文本中包含空格,请用引号括起来:

  • \n — 新线路

  • \t — 水平选项卡

  • \'— 单个报价标记

  • \“— 双报价标记

  • \\— 反斜杠

要配置只有授权用户才能查看的公告以及任何用户都能看到的消息:

  1. 在层次结构级别包括语 announcement 句和 message 语句 [edit system login]

    例如:

  2. 提交配置。
  3. 连接到设备以验证新消息是否存在。

    前面的配置示例显示用户连接到设备之后的以下登录消息。此示例显示用户登录后的公告:

登录时显示系统报警

只要给定登录类日志中的用户登录设备,您就可以配置瞻博网络设备来执行 show system alarms 命令。

只要特定登录类中的用户登录设备,请显示报警:

  1. login-alarms配置相应登录类的语句。

    例如,只要登录类中的 admin 用户登录设备,将显示报警:

  2. 提交配置。

当给定登录类中的用户登录设备时,设备将显示当前报警。

配置登录提示

只要给定登录类日志中的用户登录设备, Junos OS 您就可以将 CLI 配置为显示提示。默认情况下,设备不会显示提示。

要启用提示:

  1. 在层次结构级别配置 login-tip 语句 [edit system login class class-name]
  2. 提交配置。

配置语 login-tip 句时,设备会向指定类中登录设备的任何用户显示提示。

配置基于时间的用户访问

您可以配置受支持的瞻博网络设备,为给定类中的用户实施基于时间的用户访问。基于时间的用户访问会限制属于该类的所有用户的用户登录的时间和持续时间。您可以根据一周中的时间限制用户访问权限。

要限制用户访问某些天或时间,请在层次结构级别上 [edit system login class class-name] 包括以下语句:

  • allowed-days—在一周中的特定日配置用户访问权限。

  • access-startaccess-end— 在指定的启动时间和结束时间 (hh:mm) 之间配置用户访问。

要配置基于时间的用户访问,

  1. 在一周中的特定日启用访问。

    例如,要在周一到周五对登录类进行用户访问 operator-round-the-clock-access 配置,而不会限制访问时间:

  2. 在一天中的特定时间启用访问。

    例如,要在一周中的所有时间上午 8:30 到下午 4:30 为登录类配置用户访问 operator-day-shift-all-days-of-the-week

您也可配置访问权限,包括日数和时间。以下示例配置周一、周三和周五上午 8:30 到下午 4:30 的登录类用户访问 operator-day-shift

或者,您也可以使用以下格式为 operator-day-shift 登录类指定登录开始时间和结束时间:

注:

在给定时间上午 12:00 时,接入开始和结束时间可能会跨越。在这种情况下,用户仍然有权访问到第二天,即使您在语句中 allowed-days 未显式配置当日。

配置空闲登录会话的超时值

空闲登录会话是指 CLI 显示操作模式或配置模式提示但键盘上没有输入的会话。默认情况下,登录会话将保持不变,直到用户从设备中注销,即使该会话是空闲的。要自动关闭空闲会话,您必须为每个登录类配置时间限制。如果该类中的用户建立的会话在配置的时间限制下仍然空闲,则会话将自动关闭。自动关闭空闲登录会话有助于防止恶意用户访问设备,并使用授权用户帐户执行操作。

只能为用户定义的类配置空闲超时。您无法为系统预定义的类配置此选项:operatorread-onlysuper-usersuperuserunauthorized.

要定义空闲登录会话的超时值:

  1. 指定在系统自动关闭会话之前,会话可以空闲的分钟数。

    例如,要在十五分钟后自动断开班内用户空闲会话的 admin 连接:

  2. 提交配置。

如果配置超时值,CLI 将显示与空闲用户计时类似以下消息。CLI 在断开用户连接前 5 分钟开始显示这些消息。

如果配置超时值,会话会在指定时间过后结束,以下情况下除外:

  • 用户正在运行 sshtelnet 命令。

  • 用户登录到本地 UNIX 外壳。

  • 用户使用 或 monitor traffic 命令监控接口monitor interface

登录重试选项

您可以在瞻博网络设备上配置登录重试选项,以保护设备免受恶意用户的使用。您可以配置以下选项:

  • 用户在系统关闭连接之前输入无效登录凭据的次数。

  • 用户达到失败身份验证尝试阈值之后锁定用户帐户的时间是否长。

限制登录尝试和锁定用户帐户有助于通过猜测授权用户帐户的密码来保护设备免受试图访问系统的恶意用户的距离。您可以解锁用户帐户或定义用户帐户锁定的时间段。

您可在 [edit system login retry-options] 层次结构级别配置登录重试选项。该 tries-before-disconnect 语句定义设备断开用户连接之前失败的登录尝试阈值。默认情况下,该设备允许三次失败的登录尝试。

lockout-period 语句指示设备在用户达到失败的登录尝试阈值时锁定用户帐户指定的时间量。锁定可防止用户执行需要认证的活动,直到锁定时间期过长或系统管理员手动清除锁定。当用户尝试从本地控制台登录时,任何现有锁均会被忽略。

要配置登录重试选项,请执行以下操作:

  1. 配置用户尝试输入密码的次数。

    例如,要使用户在设备关闭连接前四次输入密码:

  2. 配置用户帐户在用户达到登录尝试失败阈值后仍然锁定的分钟数。

    例如,在用户达到登录尝试失败阈值后锁定用户帐户 120 分钟:

  3. 提交配置。

注:

要在管理员发起的注销期间清除控制台,在层级配置 message 语句 [edit system login] 时,请包含新行 (\n) 字符。要完全清除控制台,管理员可以在消息字符串中输入 50 个或更多 \n 字符。例如:

限制 SSH 和 Telnet 会话的用户登录尝试次数

您可以限制用户在通过 SSH 或 Telnet 登录设备时尝试输入密码的次数。如果用户在指定尝试次数后未能登录,设备将终止连接。您还可以在几秒钟内指定延迟,用户才能尝试在尝试尝试失败后输入密码。此外,您还可以指定失败的尝试次数的阈值,然后用户才能在再次输入密码时遇到延迟。

要指定用户在登录时尝试输入密码的次数,请在层次结构级别中[edit system login]包含语retry-options句:

您可以配置以下选项:

  • tries-before-disconnect— 用户通过 SSH 或 Telnet 登录设备时输入密码的最大次数。如果用户在指定的编号后未能登录,连接将关闭。范围为 1 到 10,默认为 3。

  • backoff-threshold— 在用户遇到再次输入密码的延迟之前,登录尝试失败次数的阈值。范围为 1 到 3,默认为 2。使用 选项 backoff-factor 指定延迟长度。

  • backoff-factor—用户在上方的登录尝试失败后必须等待的时间长度(以秒为单位 backoff-threshold)。在值之后 backoff-threshold 的每次后续尝试中,延迟都会按指定值增加。范围为 5 到 10,默认为 5 秒。

  • lockout-period—达到阈值后 tries-before-disconnect ,用户帐户被锁定的时间长度(几分钟)。范围为 1 至 43,200 分钟。

  • maximum-time seconds—连接保持开放以供用户输入用户名和密码以登录时,以秒为单位的最大时间长度。如果用户保持空闲状态,并且未在配置 maximum-time的中输入用户名和密码,连接将关闭。范围为 20 至 300 秒,默认为 120 秒。

  • minimum-time—在用户尝试输入正确密码时,连接在几秒钟内保持开放的最小时间长度。范围为 20 至 60,默认为 20 秒。

限制每个用户的 SSH 和 Telnet 登录尝试次数是阻止暴力攻击损害网络安全的最有效方法之一。暴力攻击者在短时间内执行大量登录尝试,非法访问专用网络。通过配置 retry-options 语句,您可以在每次登录尝试失败后创建不断增加的延迟,最终断开通过设置登录尝试阈值的任何用户的连接。

要在用户通过 SSH 或 Telnet 登录时限制登录尝试:

  1. 配置登录尝试数量的限制。
  2. 在用户体验延迟之前配置登录尝试次数。
  3. 在达到值后,配置用户必须等待登录提示的 backoff-threshold 秒数。
  4. 在用户尝试登录时,配置连接保持开放的秒数。

对于以下配置,用户在第二次尝试输入正确密码失败后会出现延迟 5 秒。每次后续尝试失败后,延迟都会增加 5 秒。第四次也是最后一次尝试输入正确密码失败后,用户会经历额外的 10 秒延迟。连接在总共 40 秒后关闭。

示例:配置登录重试选项

此示例说明如何配置登录重试选项以保护设备免受恶意用户的使用。

要求

开始之前,您应该了解 限制 SSH 和 Telnet 会话的用户登录尝试次数

配置此功能之前,无需设备初始化以外的特殊配置。

概述

恶意用户有时会尝试通过猜测授权用户帐户的密码登录到安全设备。在一定数量的身份验证尝试失败后,您可以锁定用户帐户。此预防措施有助于保护设备免受恶意用户的使用。

您可以在设备锁定用户帐户之前配置失败的登录尝试次数,并且可以配置帐户仍然锁定的时间量。您还可以配置用户在失败的登录尝试之间必须等待的时间量。

注:

此示例包括以下设置:

  • backoff-factor— 每次登录尝试失败后,用户必须等待的秒内延迟长度。backoff-threshold 在语句中 backoff-threshold 指定的值之后,每次后续登录尝试的延迟都会按此值增加。

  • backoff-threshold— 在用户尝试重新输入密码时遇到延迟之前,设备上失败的登录尝试次数的阈值。当用户达到登录尝试失败阈值时,用户将体验语句中设置的 backoff-factor 延迟。延迟之后,用户可以进行另一次登录尝试。

  • lockout-period—用户达到阈值后,用户帐户锁定的 tries-before-disconnect 分钟数。用户必须等待配置的几分钟,然后才能再次登录设备。

  • tries-before-disconnect— 用户输入密码尝试通过 SSH 或 Telnet 登录设备的最大次数。

注:

如果被锁定在设备之外,则可以登录设备的控制台端口,而控制台端口会忽略任何用户锁。这为管理员消除其自有用户帐户上的用户锁定提供了一种方式。

此示例将 tries-before-disconnect 选项设置为 3。因此,用户有三次登录设备的尝试。如果失败的登录尝试次数等于语句中 backoff-threshold 指定的值,则用户必须等待 backoff-threshold 间隔 backoff-factor 乘以数秒,才能获得登录提示。在此示例中,用户在第一次登录失败尝试后必须等待 5 秒,第二次登录失败后必须等待 10 秒才能获得登录提示。第三次尝试失败后,设备将断开用户的连接。

如果用户在三次尝试后未成功登录,用户帐户将锁定。用户无法在 120 分钟后登录,除非系统管理员在此期间手动清除锁定。

系统管理员可手动解锁帐户, clear system login lockout user <username> 方法是发出 命令。命令 show system login lockout 显示哪些用户帐户被锁定,当每个用户的锁定期开始和结束时。

配置

程序

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改与网络配置匹配所需的任何详细信息,将命令复制并粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit

逐步过程

要配置系统重试选项,

  1. 配置回流因子。

  2. 配置后退阈值。

  3. 配置用户帐户在用户达到登录尝试失败阈值后仍然锁定的分钟数。

  4. 配置用户尝试输入密码的次数。

结果

在配置模式下,输入 show system login retry-options 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以将其更正。

如果完成设备配置,请在配置模式下输入 commit

验证

显示锁定用户登录

目的

验证登录锁定配置是否启用。

行动

尝试三次未成功登录特定用户名。设备将锁定该用户名。然后使用不同的用户名登录设备。在操作模式下 show system login lockout ,发出 命令以查看锁定帐户。

意义

使用特定用户名执行三次失败的登录尝试后,设备将锁定该用户 120 分钟,如示例中配置。您可以验证设备是否已锁定该用户,方法是使用不同的用户名登录设备并输入 show system login lockout 命令。