SSHセッションに対するユーザーログイン試行の数を制限する
リモート管理者は、SSH経由でデバイスにログインできます。管理者の資格情報は、デバイスにローカルに保存されます。リモート管理者が有効なユーザー名とパスワードを提示した場合、TOE へのアクセスが付与されます。認証情報が無効な場合、TOEは、1秒後に開始し、指数関数的に増加する間隔の後に認証を再試行することを許可します。認証試行の数が設定された最大回数を超える場合、設定された時間の間、認証試行は受け入れされません。間隔が終了すると、認証の試みが再び受け入れられます。
SSH経由でログを記録する際にパスワードを入力する試行回数を制限するようにデバイスを設定できます。以下のコマンドを使用すると、指定した回数の試行後にユーザーがログインに失敗した場合、接続を終了できます。
[edit system login] user@host# set retry-options tries-before-disconnect <number>
これは、 tries-before-disconnect
ユーザーがログイン時にパスワードを入力しようと試みる回数です。指定された番号の後にユーザーがログインに失敗すると、接続が閉じます。範囲は 1~10 で、デフォルト値は 10 です。
また、ユーザーが失敗した後にパスワードの入力を試みる前に、秒単位で遅延を設定することもできます。
[edit system login] user@host# set retry-options backoff-threshold <number>
これは、 backoff-threshold
ユーザーが再びパスワードを入力するのに遅延が発生する前の、ログイン試行の失敗回数のしきい値です。オプションを backoff-factor
使用して、遅延の長さを秒単位で指定します。範囲は 1~3 で、デフォルト値は 2 秒です。
さらに、ユーザーがパスワードの再入力に遅延を経験する前に、デバイスが失敗した試行回数のしきい値を指定するように設定できます。
[edit system login] user@host# set retry-options backoff-factor <number>
これは、 backoff-factor
ユーザーが試行に失敗した後にログインを試みることができるまでの時間(秒単位)の長さです。遅延は、閾値後の後続の試行ごとに指定された値によって増加します。範囲は 5~10 で、デフォルト値は 5 秒です。