SSHセッションでのユーザーログイン試行回数の制限

試行が失敗した後にデバイスがロックされる時間を設定します。 tries-before-disconnect ステートメントで指定されたログイン試行の失敗回数によりロックアウトされた後、ユーザーがデバイスへのログインを試行できるようになるまでの時間(分単位)。 tries-before-disconnect ステートメントで指定された許可された試行回数を超えてもユーザーが正しくログインできない場合、ユーザーはデバイスへのログインを再試行する前に、設定された分分待つ必要があります。このロックアウト期間中も、リモート セッション ユーザーは root ユーザーとしてコンソールから TOE にアクセスできます。

lockout-periodはゼロより大きくなければなりません。lockout-periodを設定できる範囲は、1 分から 43,200 分です。

SSH経由でログインしている間、パスワードの入力試行回数を制限するようにデバイスを設定できます。以下のコマンドを使用して、接続します。

ここでは、ユーザーがログイン時にパスワードの入力を試みることができる回数が tries-before-disconnect です。指定された番号を超えてユーザーがログインしなかった場合、接続は閉じます。範囲は2から10で、デフォルト値は3です。

ログイン試行が複数回失敗したためにリモート管理が永続的または一時的に利用できなくなった場合でも、ローカル管理者のアクセスは維持されます。ローカル管理用のコンソールログインは、ロックアウト期間中、ユーザーが利用できるようになります。

また、パスワードの入力に失敗した後に、ユーザーがパスワードの入力を試みるまでの遅延時間を秒単位で設定することもできます。

ここでは、ユーザーがパスワードを再度入力できるように遅延が発生するまでのログイン試行の失敗回数のしきい値 backoff-threshold です。範囲は1から3で、デフォルト値は2秒です。

さらに、デバイスは、ユーザーがパスワードの再入力に遅延を感じるまでの試行失敗回数のしきい値を指定するように設定できます。

ここで、 backoff-factor は、失敗した後にユーザーがログインを試みることができるまでの時間の長さ(秒単位)です。遅延は、しきい値以降の試行ごとに指定された値だけ増加します。範囲は5〜10で、デフォルト値は5秒です。

SSHを介してユーザーアクセスを制御できます。 ssh root-login deny を設定することで、他のリモートユーザーがログオフしている場合でも、rootアカウントがアクティブな状態を維持し、TOEに対するローカル管理者権限を持ち続けることができます。

SSH2プロトコルは、安全な暗号化を利用してセキュアな端末セッションを提供します。SSH2プロトコルは、鍵交換フェーズを実行し、セッションの暗号化キーと整合性キーを変更することを強制します。鍵交換は、指定された秒数後、または指定されたバイトのデータが接続を介して通過した後、定期的に行われます。SSH鍵更新のしきい値、FCS_SSHS_EXT.1.8およびFCS_SSHC_EXT.1.8を設定できます。TSFは、SSH接続内で同じセッションキーが1時間以下、送信データの1ギガバイト以下のしきい値に使用されることを保証します。いずれかのしきい値に達した場合は、鍵更新を実行する必要があります。

セッションキーを再ネゴシエーションするまでの時間制限は、1分から1440分です。

セッションキーを再ネゴシエーションする前のデータ制限は、51200〜4294967295バイトです。

注:

意図せずSSH接続が切断された場合は、SSH接続を再開してTOEにログインする必要があります。