Sur cette page
Affichage d’une annonce ou d’un message de connexion au système
Configurer la valeur du délai d’expiration pour les sessions de connexion inactives
Limiter le nombre de tentatives de connexion des utilisateurs pour les sessions SSH et Telnet
Exemple : Configurer les options de nouvelle tentative de connexion
Paramètres de connexion
Junos OS Permet de définir différents paramètres pour les utilisateurs lorsqu’ils se connectent à un appareil. Vous (l’administrateur système) pouvez configurer :
- Messages ou annonces à afficher avant ou après la connexion
- Indique s’il faut afficher les alarmes du système lors de la connexion
- Conseils de connexion
- Accès utilisateur basé sur le temps
- Valeurs de délai d’expiration pour les sessions inactives
- Limites du nombre de tentatives de connexion
- Indique s’il faut verrouiller un compte d’utilisateur après un certain nombre de tentatives d’authentification infructueuses
Affichage d’une annonce ou d’un message de connexion au système
Parfois, vous souhaitez faire des annonces uniquement aux utilisateurs autorisés une fois qu’ils se sont connectés à un appareil. Par exemple, vous pouvez annoncer un événement de maintenance à venir. À d’autres moments, il peut être approprié d’afficher un message, tel qu’un avertissement de sécurité, à tout utilisateur qui se connecte à l’appareil.
Par défaut, Junos OS n’affiche aucun message ou annonce de connexion. Vous pouvez configurer l’appareil pour qu’il affiche un message ou une annonce de connexion en incluant l’instruction ou l’instruction message
announcement
au niveau de la [edit system login]
hiérarchie. Alors que l’appareil affiche une connexion message après qu’un utilisateur se connecte à l’appareil mais avant que l’utilisateur ne se connecte, il affiche une announcement seule fois que l’utilisateur s’est connecté avec succès à l’appareil.
Vous pouvez mettre en forme le texte du message ou de l’annonce à l’aide des caractères spéciaux suivants. Si le texte contient des espaces, mettez-le entre guillemets :
-
\n—Nouvelle ligne
-
\t : onglet Horizontal (Horizontal)
-
\' : guillemet simple
-
\ » : guillemet double
-
\\—Barre oblique inverse
Pour configurer une annonce que seuls les utilisateurs autorisés peuvent voir et un message que tous les utilisateurs peuvent voir :
Affichage des alarmes du système lors de la connexion
Vous pouvez configurer les équipements Juniper Networks pour qu’ils exécutent la show system alarms
commande chaque fois qu’un utilisateur d’une classe de connexion donnée se connecte à l’équipement.
Pour afficher des alarmes chaque fois qu’un utilisateur d’une classe de connexion spécifique se connecte à l’appareil :
Lorsqu’un utilisateur de la classe de connexion donnée se connecte à l’appareil, celui-ci affiche les alarmes actuelles.
$ ssh user@host.example.com Password: --- JUNOS 21.1R2.6-EVO Linux (none) 4.8.28-WR2.2.1_standard-g3999f55 #1 SMP PREEMPT Fri Jun 4 00:19:58 PDT 2021 x86_64 x86_64 x86_64 GNU/Linux 2 alarms currently active Alarm time Class Description 2021-07-22 15:00:14 PDT Minor port-1/0/0: Optics does not support configured speed 2021-07-22 15:00:14 PDT Minor port-1/0/1: Optics does not support configured speed
Configurer les conseils de connexion
Vous pouvez configurer l’interface de ligne de commande pour qu’elle affiche un pourboire chaque fois qu’un utilisateur de la classe de connexion donnée se connecte à l’appareil Junos OS . L’appareil n’affiche pas les pourboires par défaut.
Pour activer les pourboires :
Lorsque vous configurez l’instruction, l’appareil affiche une astuce à tout utilisateur de la classe spécifiée qui se connecte à l’appareil login-tip
.
$ ssh user@host.example.com Password: JUNOS tip: In configuration mode, the [edit] banner displays the current location in the configuration hierarchy. user@host>
Configurer l’accès utilisateur basé sur le temps
Vous pouvez configurer les équipements Juniper Networks pris en charge pour appliquer un accès utilisateur basé sur le temps aux utilisateurs d’une classe donnée. L’accès utilisateur basé sur le temps limite l’heure et la durée des connexions utilisateur pour tous les utilisateurs appartenant à la classe. Vous pouvez restreindre l’accès des utilisateurs en fonction de l’heure de la journée ou du jour de la semaine.
Pour restreindre l’accès de l’utilisateur à certains jours ou heures, incluez les instructions suivantes au niveau de la [edit system login class class-name]
hiérarchie :
-
allowed-days
: configurez l’accès des utilisateurs à des jours spécifiques de la semaine. -
access-start
et : configurez l’accès de l’utilisateur entre l’heure de début etaccess-end
l’heure de fin spécifiées (hh:mm).
Pour configurer l’accès utilisateur basé sur le temps :
-
Activez l’accès certains jours de la semaine.
[edit system login class class-name] user@host# set allowed-days [ day1 day2 ]
Par exemple, pour configurer l’accès utilisateur à la
operator-round-the-clock-access
classe de connexion du lundi au vendredi sans aucune restriction de temps d’accès :[edit system login class operator-round-the-clock-access] user@host# set allowed-days [ monday tuesday wednesday thursday friday ]
-
Activez l’accès à des moments précis de la journée.
[edit system login class class-name] user@host# set access-start hh:mm user#host# set access-end hh:mm
Par exemple, pour configurer l’accès utilisateur à la classe de connexion de 8 h 30 à 16 h 30 tous les jours de la
operator-day-shift-all-days-of-the-week
semaine :[edit system login class operator-day-shift-all-days-of-the-week] user@host# set access-start 08:30 user#host# set access-end 16:30
Vous pouvez également configurer l’accès pour inclure à la fois les jours et les heures. L’exemple suivant configure l’accès utilisateur pour la operator-day-shift
classe de connexion les lundis, mercredis et vendredis de 8 h 30 à 16 h 30 :
[edit system login class operator-day-shift] user@host# set allowed-days [ monday wednesday friday ] user@host# set access-start 08:30 user@host# set access-end 16:30
Vous pouvez également spécifier l’heure de début et l’heure de fin de la connexion pour la operator-day-shift
classe de connexion à l’aide du format suivant :
[edit system login class operator-day-shift] user@host# set allowed-days [ monday wednesday friday ] user@host# set access-start 08:30am user@host# set access-end 04:30pm
Les heures de début et de fin d’accès peuvent s’étendre sur 12h00 un jour donné. Dans ce cas, l’utilisateur y a toujours accès jusqu’au lendemain, même si vous ne configurez pas explicitement ce jour dans l’instruction allowed-days
.
Configurer la valeur du délai d’expiration pour les sessions de connexion inactives
Une session de connexion inactive est une session dans laquelle l’interface de ligne de commande affiche l’invite du mode de fonctionnement ou du mode de configuration, mais il n’y a pas d’entrée du clavier. Par défaut, une session de connexion reste établie jusqu’à ce qu’un utilisateur se déconnecte de l’appareil, même si cette session est inactive. Pour fermer automatiquement les sessions inactives, vous devez configurer une limite de temps pour chaque classe de connexion. Si une session établie par un utilisateur de cette classe reste inactive pendant la limite de temps configurée, la session se ferme automatiquement. La fermeture automatique des sessions de connexion inactives permet d’empêcher les utilisateurs malveillants d’accéder à l’appareil et d’effectuer des opérations avec un compte d’utilisateur autorisé.
Vous ne pouvez configurer un délai d’inactivité que pour les classes définies par l’utilisateur. Vous ne pouvez pas configurer cette option pour les classes prédéfinies du système : operator
, , super-user
ou superuser
, read-only
et unauthorized
.
Pour définir la valeur du délai d’expiration pour les sessions de connexion inactives :
Si vous configurez une valeur de délai d’expiration, l’interface de ligne de commande affiche des messages similaires aux suivants lors de l’expiration du délai d’attente d’un utilisateur inactif. La CLI commence à afficher ces messages 5 minutes avant de déconnecter l’utilisateur.
user@host> Session will be closed in 5 minutes if there is no activity. Warning: session will be closed in 1 minute if there is no activity Warning: session will be closed in 10 seconds if there is no activity Idle timeout exceeded: closing session
Si vous configurez un délai d’expiration, la session se ferme après l’expiration du délai spécifié, sauf dans les cas suivants :
-
L’utilisateur exécute la
ssh
commande outelnet
. -
L’utilisateur est connecté à l’interpréteur de commandes UNIX local.
-
L’utilisateur surveille les interfaces à l’aide de la commande ou de la
monitor interface
monitor traffic
commande.
Options de nouvelle tentative de connexion
Vous pouvez configurer les options de nouvelle tentative de connexion sur les équipements réseau Juniper afin de les protéger des utilisateurs malveillants. Vous pouvez configurer les options suivantes :
-
Nombre de fois qu’un utilisateur peut entrer des identifiants de connexion non valides avant que le système ne ferme la connexion.
-
Si et pendant combien de temps verrouiller un compte d’utilisateur une fois que l’utilisateur a atteint le seuil des tentatives d’authentification infructueuses.
Limiter les tentatives de connexion et verrouiller le compte d’utilisateur permet de protéger l’appareil contre les utilisateurs malveillants qui tentent d’accéder au système en devinant le mot de passe d’un compte d’utilisateur autorisé. Vous pouvez déverrouiller le compte d’utilisateur ou définir une période pendant laquelle le compte d’utilisateur doit rester verrouillé.
Vous configurez les options de nouvelle tentative de connexion au niveau de la [edit system login retry-options]
hiérarchie. L’instruction tries-before-disconnect
définit le seuil de tentatives de connexion infructueuses avant que l’appareil ne déconnecte l’utilisateur. L’appareil autorise trois tentatives de connexion infructueuses par défaut.
L’instruction lockout-period
indique à l’appareil de verrouiller le compte d’utilisateur pendant la durée spécifiée si l’utilisateur atteint le seuil de tentatives de connexion infructueuses. Le verrou empêche l’utilisateur d’effectuer des activités nécessitant une authentification jusqu’à ce que la période de verrouillage soit écoulée ou qu’un administrateur système efface manuellement le verrou. Tous les verrous existants sont ignorés lorsque l’utilisateur tente de se connecter à partir de la console locale.
Pour configurer les options de nouvelle tentative de connexion :
-
Configurez le nombre de tentatives de saisie d’un mot de passe par un utilisateur.
[edit system login retry-options] user@host# set tries-before-disconnect number
Par exemple, pour permettre à un utilisateur d’entrer un mot de passe quatre fois avant que l’appareil ne ferme la connexion :
[edit system login retry-options] user@host# set tries-before-disconnect 4
- Configurez le nombre de minutes pendant lesquelles le compte d’utilisateur reste verrouillé une fois qu’un utilisateur a atteint le seuil des tentatives de connexion infructueuses.
[edit system login retry-options] user@host# set lockout-period minutes
Par exemple, pour verrouiller un compte d’utilisateur pendant 120 minutes après qu’un utilisateur a atteint le seuil des tentatives de connexion infructueuses :
[edit system login retry-options] user@host# set lockout-period 120
-
Validez la configuration.
[edit system login retry-options] user@host# commit
Pour effacer la console lors d’une déconnexion initiée par l’administrateur, incluez des caractères de nouvelle ligne (\n) lorsque vous configurez l’instruction message
au niveau de la [edit system login]
hiérarchie. Pour effacer complètement la console, l’administrateur peut entrer 50 caractères \n ou plus dans la chaîne de message. Par exemple :
user@host# set system login message "\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n Welcome to Junos!!!"
Limiter le nombre de tentatives de connexion des utilisateurs pour les sessions SSH et Telnet
Vous pouvez limiter le nombre de tentatives de saisie d’un mot de passe par un utilisateur lorsqu’il se connecte à un appareil via SSH ou Telnet. L’appareil met fin à la connexion si un utilisateur ne parvient pas à se connecter après le nombre de tentatives spécifié. Vous pouvez également spécifier un délai, en secondes, avant qu’un utilisateur puisse essayer de saisir un mot de passe après une tentative infructueuse. En outre, vous pouvez spécifier le seuil du nombre de tentatives infructueuses avant que l’utilisateur ne subisse un délai pour pouvoir saisir à nouveau un mot de passe.
Pour spécifier le nombre de tentatives qu’un utilisateur peut saisir un mot de passe lors de la connexion, incluez l’instruction retry-options
au niveau de la [edit system login]
hiérarchie :
[edit system login] retry-options { tries-before-disconnect number; backoff-threshold number; backoff-factor seconds; lockout-period minutes; maximum-time seconds minimum-time seconds; }
Vous pouvez configurer les options suivantes :
-
tries-before-disconnect
: nombre maximal de fois qu’un utilisateur peut saisir un mot de passe lorsqu’il se connecte à l’appareil via SSH ou Telnet. La connexion se ferme si un utilisateur ne parvient pas à se connecter après le numéro spécifié. La plage est comprise entre 1 et 10 et la valeur par défaut est 3. -
backoff-threshold
: seuil du nombre de tentatives de connexion infructueuses avant que l’utilisateur ne subisse un délai pour pouvoir saisir à nouveau un mot de passe. La plage est comprise entre 1 et 3 et la valeur par défaut est 2. Utilisez l’optionbackoff-factor
pour spécifier la durée du délai. -
backoff-factor
: durée, en secondes, pendant laquelle l’utilisateur doit attendre après l’échec d’une tentative de connexion au-dessus de .backoff-threshold
Le délai augmente de la valeur spécifiée pour chaque tentative suivante après labackoff-threshold
valeur. La plage est comprise entre 5 et 10 et la valeur par défaut est de 5 secondes. -
lockout-period
: durée, en minutes, pendant laquelle un compte d’utilisateur est verrouillé après avoir atteint letries-before-disconnect
seuil. La plage est comprise entre 1 et 43 200 minutes. -
maximum-time seconds
: durée maximale, en secondes, pendant laquelle la connexion reste ouverte pour que l’utilisateur puisse saisir un nom d’utilisateur et un mot de passe pour se connecter. Si l’utilisateur reste inactif et ne saisit pas de nom d’utilisateur et de mot de passe dans le ,maximum-time
la connexion se ferme. La plage est comprise entre 20 et 300 secondes, et la valeur par défaut est de 120 secondes. -
minimum-time
: durée minimale, en secondes, pendant laquelle une connexion reste ouverte pendant qu’un utilisateur tente d’entrer un mot de passe correct. La plage est comprise entre 20 et 60 et la valeur par défaut est de 20 secondes.
Limiter le nombre de tentatives de connexion SSH et Telnet par utilisateur est l’une des méthodes les plus efficaces pour empêcher les attaques par force brute de compromettre la sécurité de votre réseau. Les attaquants par force brute exécutent un grand nombre de tentatives de connexion dans un court laps de temps pour accéder illégitimement à un réseau privé. En configurant les retry-options
instructions, vous pouvez créer un délai croissant après chaque tentative de connexion infructueuse, déconnectant éventuellement tout utilisateur qui dépasse le seuil de tentatives de connexion que vous avez défini.
Pour limiter les tentatives de connexion lorsqu’un utilisateur se connecte via SSH ou Telnet :
Pour la configuration suivante, l’utilisateur subit un délai de 5 secondes après l’échec de la deuxième tentative de saisie d’un mot de passe correct. Après chaque tentative infructueuse, le délai augmente de 5 secondes. Après la quatrième et dernière tentative infructueuse de saisie d’un mot de passe correct, l’utilisateur subit un délai supplémentaire de 10 secondes. La connexion se ferme après un total de 40 secondes.
[edit] system { login { retry-options { backoff-threshold 2; backoff-factor 5; minimum-time 40; tries-before-disconnect 4; } } }
Exemple : Configurer les options de nouvelle tentative de connexion
Cet exemple montre comment configurer les options de nouvelle tentative de connexion pour protéger un appareil contre les utilisateurs malveillants.
Conditions préalables
Avant de commencer, vous devez comprendre Limiter le nombre de tentatives de connexion des utilisateurs pour les sessions SSH et Telnet.
Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cette fonctionnalité.
Présentation
Les utilisateurs malveillants tentent parfois de se connecter à un appareil sécurisé en devinant le mot de passe d’un compte d’utilisateur autorisé. Vous pouvez verrouiller un compte d’utilisateur après un certain nombre de tentatives d’authentification infructueuses. Cette précaution permet de protéger les appareils contre les utilisateurs malveillants.
Vous pouvez configurer le nombre de tentatives de connexion infructueuses avant que l’appareil ne verrouille le compte d’utilisateur, ainsi que la durée pendant laquelle le compte reste verrouillé. Vous pouvez également configurer le temps que l’utilisateur doit attendre entre les tentatives de connexion infructueuses.
Cet exemple inclut les paramètres suivants :
-
backoff-factor
: durée du délai en secondes que l’utilisateur doit attendre après chaque tentative de connexion infructueuse au-dessus de la valeurbackoff-threshold
. Le délai augmente de cette valeur pour chaque tentative de connexion suivante après la valeur spécifiée dans l’instructionbackoff-threshold
. -
backoff-threshold
: seuil du nombre de tentatives de connexion infructueuses sur l’appareil avant que l’utilisateur ne subisse un délai lorsqu’il tente de saisir à nouveau un mot de passe. Lorsqu’un utilisateur atteint le seuil des tentatives de connexion infructueuses, il subit le délai défini dans l’instructionbackoff-factor
. Après ce délai, l’utilisateur peut effectuer une autre tentative de connexion. -
lockout-period
: nombre de minutes pendant lesquelles le compte d’utilisateur est verrouillé une fois que l’utilisateur a atteint letries-before-disconnect
seuil. L’utilisateur doit attendre le nombre de minutes configuré avant de pouvoir se reconnecter à l’appareil. -
tries-before-disconnect
: nombre maximal de fois que l’utilisateur peut entrer un mot de passe pour tenter de se connecter à l’appareil via SSH ou Telnet.
Si l’accès de l’appareil est verrouillé, vous pouvez vous connecter au port de console de l’appareil, qui ignore les verrous utilisateur. Cela permet aux administrateurs de supprimer le verrou d’utilisateur sur leur propre compte d’utilisateur.
Dans cet exemple, l’option tries-before-disconnect
est définie sur 3. Par conséquent, l’utilisateur dispose de trois tentatives pour se connecter à l’appareil. Si le nombre de tentatives de connexion infructueuses est égal à la valeur spécifiée dans l’instruction, l’utilisateur doit attendre le backoff-threshold
multiplié par l’intervalle, en secondes, pour obtenir l’invite backoff-threshold
backoff-factor
de connexion. Dans cet exemple, l’utilisateur doit attendre 5 secondes après la première tentative de connexion infructueuse et 10 secondes après la deuxième tentative de connexion infructueuse pour obtenir l’invite de connexion. L’appareil déconnecte l’utilisateur après la troisième tentative infructueuse.
Si l’utilisateur ne parvient pas à se connecter après trois tentatives, le compte utilisateur est verrouillé. L’utilisateur ne peut pas se connecter tant que 120 minutes ne se sont pas écoulées, à moins qu’un administrateur système n’efface manuellement le verrou pendant ce temps.
Un administrateur système peut déverrouiller manuellement un compte en exécutant la clear system login lockout user <username>
commande. La show system login lockout
commande affiche quels comptes d’utilisateur sont verrouillés et quand la période de verrouillage commence et se termine pour chaque utilisateur.
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set system login retry-options backoff-factor 5 set system login retry-options backoff-threshold 1 set system login retry-options lockout-period 120 set system login retry-options tries-before-disconnect 3
Procédure étape par étape
Pour configurer les options de nouvelle tentative du système :
-
Configurez le facteur d’interruption.
[edit] user@host# set system login retry-options backoff-factor 5
-
Configurez le seuil d’interruption.
[edit] user@host# set system login retry-options backoff-threshold 1
-
Configurez le nombre de minutes pendant lesquelles le compte d’utilisateur reste verrouillé une fois qu’un utilisateur a atteint le seuil des tentatives de connexion infructueuses.
[edit] user@host# set system login retry-options lockout-period 120
-
Configurez le nombre de tentatives de saisie d’un mot de passe par un utilisateur.
[edit] user@host# set system login retry-options tries-before-disconnect 3
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show system login retry-options
commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit] user@host# show system login retry-options tries-before-disconnect 3; backoff-threshold 1; backoff-factor 5; lockout-period 120;
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Vérification
Afficher les identifiants d’utilisateur verrouillés
But
Vérifiez que la configuration de verrouillage de connexion est activée.
Action
Essayez trois connexions infructueuses pour un nom d’utilisateur particulier. L’appareil sera verrouillé pour ce nom d’utilisateur. Connectez-vous ensuite à l’appareil avec un autre nom d’utilisateur. À partir du mode opérationnel, exécutez la show system login lockout
commande pour afficher les comptes verrouillés.
user@host> show system login lockout User Lockout start Lockout end jsmith 2021-08-17 16:27:28 PDT 2021-08-17 18:27:28 PDT
Sens
Après avoir effectué trois tentatives de connexion infructueuses avec un nom d’utilisateur particulier, l’appareil est verrouillé pour cet utilisateur pendant 120 minutes, comme configuré dans l’exemple. Vous pouvez vérifier que l’appareil est verrouillé pour cet utilisateur en vous connectant à l’appareil avec un autre nom d’utilisateur et en entrant la show system login lockout
commande.