SSHセッションのユーザーログイン試行回数の制限
管理者は、SSH を介してデバイスにリモートでログインできます。管理者の資格情報は、デバイスにローカルに保存されます。管理者が有効なユーザー名とパスワードを提示すると、評価対象(TOE)へのアクセスが許可されます。資格情報が無効な場合、TOE では、1 秒後に開始され、指数関数的に増加する間隔の後に認証を再試行できます。認証試行回数が設定した最大値を超えた場合、設定された時間間隔で認証試行は受け付けられません。この間隔が経過すると、認証の試行が再び受け入れられます。
試行が失敗した後にデバイスがロックされる時間を設定します。 tries-before-disconnect
ステートメントで指定されたログイン試行の失敗回数により、ロックアウトされた後、ユーザーがデバイスへのログインを試行できるようになるまでの時間 (分単位)。 tries-before-disconnect
ステートメントで指定された試行回数を超えてユーザーが正しくログインに失敗した場合、ユーザーはデバイスへのログインを再試行する前に、設定された時間 (分) 待つ必要があります。このロックアウト期間中も、リモート セッション ユーザーはコンソールから root ユーザーとして TOE にアクセスできます。
lockout-period
は 0 より大きくなければなりません。lockout-period
を設定できる範囲は、1 分から 43,200 分です。
[edit system login] user@host# set retry-options lockout-period number
SSH経由でログインしている間にパスワードを入力する回数を制限するようにデバイスを設定できます。次のコマンドを使用して、接続します。
[edit system login] user@host# set retry-options tries-before-disconnect number
ここで、 tries-before-disconnect
は、ユーザーがログイン時にパスワードの入力を試行できる回数です。指定された番号の後にユーザーがログインに失敗すると、接続は閉じられます。範囲は 2 から 10 で、デフォルト値は 3 です。
ローカル管理者のアクセス権は、ログイン試行が複数回失敗したためにリモート管理が永続的または一時的に使用できなくなった場合でも維持されます。ローカル管理用のコンソール ログインは、ロックアウト期間中、ユーザーが使用できるようになります。
また、試行が失敗した後にユーザーがパスワードの入力を試行できるようになるまでの遅延時間を秒単位で設定することもできます。
[edit system login] user@host# set retry-options backoff-threshold number
ここで、 backoff-threshold
は、ユーザーがパスワードを再度入力できるようになるまでの遅延を経験するまでの、失敗したログイン試行回数のしきい値です。範囲は 1 から 3 で、デフォルト値は 2 秒です。
さらに、ユーザーがパスワードを再入力する際に遅延を経験する前に、失敗した試行回数のしきい値を指定するようにデバイスを構成できます。
[edit system login] user@host# set retry-options backoff-factor number
ここで、 backoff-factor
は、試行が失敗した後にユーザーがログインを試行できるようになるまでの時間 (秒単位) です。遅延は、しきい値の後、後続の試行ごとに指定された値だけ増加します。範囲は 5 から 10 で、デフォルト値は 5 秒です。
SSH経由でユーザーアクセスを制御できます。 ssh root-login deny
を設定することで、他のリモート ユーザがログオフしている場合でも、ルート アカウントがアクティブなままで、TOE に対するローカル管理者権限を持ち続けることができます。
[edit system] user@host# set services ssh root-login deny
SSH2プロトコルは、安全な暗号化を利用して安全な端末セッションを提供します。SSH2 プロトコルは、鍵交換フェーズの実行と、セッションの暗号化鍵と整合性鍵の変更を強制します。鍵交換は、指定された秒数の後、または指定されたデータのバイトが接続を通過した後に、定期的に行われます。SSH 鍵更新のしきい値、FCS_SSHS_EXT.1.8 および FCS_SSHC_EXT.1.8 を設定できます。TSFは、SSH接続内で、同じセッションキーが1時間以内のしきい値、および送信データの1ギガバイト以下で使用されることを保証します。いずれかのしきい値に達した場合は、キー更新を実行する必要があります。
[edit system] security-administrator@host:fips# set services ssh rekey time-limit number
セッションキーを再ネゴシエーションするまでの制限時間は、1 分から 1440 分です。
[edit system] security-administrator@host:fips# set services ssh rekey data-limit number
セッションキーを再ネゴシエーションするまでのデータ制限は、4294967295バイトで51200です。
SSH接続が意図せずに切断された場合は、SSH接続を再度開始してTOEにログインし直す必要があります。