Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

로그인 설정

Junos OS 디바이스에 로그인할 때 사용자를 위한 다양한 설정을 정의할 수 있습니다. 귀사(시스템 관리자)는 다음을 구성할 수 있습니다.

  • 로그인 전후에 표시할 메시지 또는 공지 사항
  • 로그인 시 시스템 알람을 표시할지 여부
  • 로그인 팁
  • 시간 기반 사용자 액세스
  • 유휴 세션에 대한 타임아웃 값
  • 로그인 시도 수 제한
  • 여러 번의 인증 실패 시도 후 사용자 계정을 잠글지 여부

시스템 로그인 공지 사항 또는 메시지 표시

때로는 장비에 로그인한 후에만 인증 받은 사용자에게만 공지를 하고 싶을 때도 있습니다. 예를 들어, 곧 있을 유지 보수 이벤트를 발표할 수도 있습니다. 장비에 연결하는 모든 사용자에게 보안 경고와 같은 메시지를 표시하는 것이 적절할 수 있습니다.

기본적으로 Junos OS 로그인 메시지나 공지가 표시되지 않습니다. 명령문 또는 명령 [edit system login] 문을 계층 수준에 포함 message 시킴으로써 장비가 로그인 메시지 또는 announcement 공지를 표시하도록 구성할 수 있습니다. 장비는 사용자가 장비에 연결한 후 로그인 message 을 표시하지만 사용자가 로그인하기 전에 사용자가 장비에 성공적으로 로그인한 후에만 표시됩니다 announcement .

다음 특수 문자를 사용하여 메시지 또는 공지문 텍스트의 형식을 지정할 수 있습니다. 텍스트에 공백이 있는 경우, 다음을 따옴표로 동봉합니다.

  • \n—새로운 라인

  • \t—수평 탭

  • \'—단일 견적표

  • \"—이중 견적표

  • \\—백슬래시

인증 받은 사용자만이 볼 수 있는 공지 사항과 사용자가 볼 수 있는 메시지를 구성하려면 다음을 수행합니다.

  1. announcement 계층 수준에서 명령문과 message 명령문을 [edit system login] 포함합니다.

    예를 들어,

  2. 구성을 커밋합니다.
  3. 디바이스에 연결하여 새 메시지의 존재를 확인합니다.

    앞의 구성 예는 사용자가 장비에 연결한 후 다음 로그인 메시지를 표시합니다. 예제에서는 사용자가 로그인한 후 공지를 표시합니다.

로그인 시 시스템 알람 표시

지정된 로그인 클래스의 show system alarms 사용자가 장비에 로그인할 때마다 주니퍼 네트웍스 디바이스를 구성하여 명령을 실행할 수 있습니다.

특정 로그인 클래스의 사용자가 장비에 로그인할 때마다 알람을 표시하려면 다음을 수행합니다.

  1. 적절한 로그인 클래스에 login-alarms 대한 명령문을 구성합니다.

    예를 들어 로그인 클래스의 admin 사용자가 디바이스에 로그인할 때마다 알람을 표시합니다.

  2. 구성을 커밋합니다.

지정된 로그인 클래스의 사용자가 장치에 로그인하면 디바이스가 현재 알람을 표시합니다.

로그인 팁 구성

지정된 로그인 클래스의 Junos OS 사용자가 장치에 로그인할 때마다 CLI를 구성하여 팁을 표시할 수 있습니다. 디바이스는 기본적으로 팁을 표시하지 않습니다.

팁을 사용하려면 다음을 수행합니다.

  1. login-tip 계층 수준에서 명령 [edit system login class class-name] 문을 구성합니다.
  2. 구성을 커밋합니다.

명령문을 구성 login-tip 하면 디바이스에 로그인하는 지정된 클래스의 모든 사용자에게 팁을 표시합니다.

시간 기반 사용자 액세스 구성

지원되는 주니퍼 네트웍스 디바이스를 구성하여 해당 클래스의 사용자에게 시간 기반 사용자 액세스를 적용할 수 있습니다. 시간 기반 사용자 액세스는 클래스에 속하는 모든 사용자에 대한 사용자 로그인 시간과 기간을 제한합니다. 요일 또는 요일에 따라 사용자 액세스를 제한할 수 있습니다.

사용자 액세스를 특정 일 또는 몇 번으로 제한하려면 계층 수준에서 다음 진술을 [edit system login class class-name] 포함하십시오.

  • allowed-days—특정 요일에 사용자 액세스를 구성합니다.

  • access-startaccess-end—지정된 시작 시간과 종료 시간hh:mm()사이에 사용자 액세스를 구성합니다.

시간 기반 사용자 액세스를 구성하려면 다음을 수행합니다.

  1. 특정 요일에 대한 액세스를 활성화합니다.

    예를 들어, 액세스 시간에 대한 operator-round-the-clock-access 제한 없이 월요일부터 금요일까지 로그인 클래스에 대한 사용자 액세스를 구성합니다.

  2. 하루 중 특정 시간에 액세스를 지원합니다.

    예를 들어, 평일 오전 8시 30분부터 오후 4시 30분까지 로그인 클래스에 대한 operator-day-shift-all-days-of-the-week 사용자 액세스를 구성하려면 다음을 수행합니다.

또한 액세스를 구성하여 요일 및 시간을 모두 포함할 수 있습니다. 다음 예제에서는 월요일, 수요일, 금요일 오전 8시 30분부터 오후 4시 30분까지 로그인 클래스에 대한 operator-day-shift 사용자 액세스를 구성합니다.

또는 다음 형식을 사용하여 로그인 클래스의 operator-day-shift 로그인 시작 시간과 종료 시간을 지정할 수 있습니다.

주:

액세스 시작 및 종료 시간은 해당일 오전 12:00에 걸쳐 있을 수 있습니다. 이 경우 사용자는 명령문에서 해당 날을 명시적으로 구성하지 않더라도 다음 날 allowed-days 까지 액세스할 수 있습니다.

유휴 로그인 세션에 대한 타임아웃 값 구성

유휴 로그인 세션은 CLI가 작동 모드 또는 구성 모드 프롬프트를 표시하지만 키보드의 입력이 없는 세션입니다. 기본적으로 로그인 세션은 해당 세션이 유휴 상태에 있더라도 사용자가 장비에서 로그아웃할 때까지 설정됩니다. 유휴 세션을 자동으로 닫려면 각 로그인 클래스에 대한 시간 제한을 구성해야 합니다. 해당 클래스에서 사용자가 설정한 세션이 구성된 시간 제한에 대해 유휴 상태로 유지되면 세션이 자동으로 종료됩니다. 유휴 로그인 세션을 자동으로 종료하면 악의적인 사용자가 장치에 액세스하고 인증된 사용자 계정으로 작업을 수행하는 것을 방지할 수 있습니다.

사용자 정의 클래스에 대해서만 유휴 타임아웃을 구성할 수 있습니다. 시스템에서 미리 정의된 클래스에 대해 이 옵션을 구성할 수 없습니다. operator, read-only또는 superuser, super-user .unauthorized

유휴 로그인 세션에 대한 타임아웃 값을 정의하려면 다음을 수행합니다.

  1. 시스템이 자동으로 세션을 닫기 전에 세션이 유휴 상태가 될 수 있는 분 수를 지정합니다.

    예를 들어, 클래스에서 15분 후에 유휴 상태의 사용자 admin 세션을 자동으로 분리하려면 다음을 수행합니다.

  2. 구성을 커밋합니다.

타임아웃 값을 구성하면, CLI는 유휴 사용자를 타이밍 아웃할 때 아래와 유사한 메시지를 표시합니다. CLI는 사용자의 연결을 끊기 전에 5분 전에 이러한 메시지를 표시하기 시작합니다.

타임아웃 값을 구성하면 다음 경우를 제외하고 지정된 시간이 경과한 후에 세션이 종료됩니다.

  • 사용자가 실행 중 ssh 이거나 telnet 명령입니다.

  • 사용자는 로컬 UNIX 셸에 로그인합니다.

  • 사용자는 명령 또는 명령을 사용하여 인터페이스를 monitor interface 모니터링합니다 monitor traffic .

로그인 재시도 옵션

주니퍼 네트웍스 디바이스에서 로그인 재시도 옵션을 구성하여 악의적인 사용자로부터 디바이스를 보호할 수 있습니다. 다음과 같은 옵션을 구성할 수 있습니다.

  • 시스템이 연결을 닫기 전에 사용자가 잘못된 로그인 인증서를 입력할 수 있는 횟수입니다.

  • 사용자가 인증 실패 시도의 임계값에 도달한 후 사용자 계정을 잠글 수 있는지 여부 및 기간

로그인 시도를 제한하고 사용자 계정을 잠금하면 인증된 사용자 계정의 암호를 추측하여 시스템에 액세스하려고 시도하는 악의적인 사용자로부터 장치를 보호할 수 있습니다. 사용자 계정의 잠금을 해제하거나 사용자 계정의 잠금 유지 기간을 정의할 수 있습니다.

계층 수준에서 로그인 재시도 옵션을 [edit system login retry-options] 구성합니다. 이 문은 tries-before-disconnect 디바이스가 사용자의 연결을 끊기 전에 로그인 시도가 실패한 임계값을 정의합니다. 이 장치는 기본적으로 세 번의 실패한 로그인 시도를 허용합니다.

이 명령문은 lockout-period 사용자가 로그인 시도가 실패한 임계값에 도달하면 지정된 시간 동안 장비에 사용자 계정을 잠글 것을 지시합니다. 잠금 기능은 잠금 기간이 경과하거나 시스템 관리자가 수동으로 잠금을 지울 때까지 인증이 필요한 활동을 수행하는 것을 방지합니다. 사용자가 로컬 콘솔에서 로그인을 시도하면 기존 잠금은 무시됩니다.

로그인 재시도 옵션을 구성하려면 다음을 수행합니다.

  1. 사용자가 암호를 입력하려고 시도할 수 있는 횟수를 구성합니다.

    예를 들어, 디바이스가 연결을 닫기 전에 사용자가 암호를 네 번 입력할 수 있도록 합니다.

  2. 사용자가 로그인 시도에 실패한 임계값에 도달한 후 사용자 계정이 잠기게 되는 분 수를 구성합니다.

    예를 들어 사용자가 로그인 시도 실패의 임계값에 도달한 후 120분 동안 사용자 계정을 잠급니다.

  3. 구성을 커밋합니다.

주:

관리자가 시작한 로그아웃 중에 콘솔을 지우려면 계층 수준에서 명령 [edit system login] 문을 구성할 message 때 새 라인(\n) 문자를 포함합니다. 콘솔을 완전히 지우기 위해 관리자는 메시지 문자열에 50개 이상의 \n 문자를 입력할 수 있습니다. 예를 들어,

SSH 및 Telnet 세션에 대한 사용자 로그인 시도 수 제한

SSH 또는 Telnet을 통해 장비에 로그인하는 동안 사용자가 암호를 입력하려고 시도할 수 있는 횟수를 제한할 수 있습니다. 사용자가 지정된 시도 횟수 이후 로그인에 실패하면 장비가 연결을 종료합니다. 또한 사용자가 실패 한 후 암호를 입력하려고 시도하기 전에 몇 초 만에 지연을 지정할 수 있습니다. 또한 사용자가 암호를 다시 입력하는 데 지연이 발생하기 전에 실패한 시도 횟수에 대한 임계값을 지정할 수 있습니다.

로그인하는 동안 사용자가 암호를 입력하려고 시도할 수 있는 횟수를 지정하려면 계층 수준에 있는 명령 [edit system login] 문을 포함합니다retry-options.

다음과 같은 옵션을 구성할 수 있습니다.

  • tries-before-disconnect—SSH 또는 Telnet을 통해 장비에 로그인할 때 사용자가 암호를 입력할 수 있는 최대 횟수입니다. 사용자가 지정된 번호 이후 로그인에 실패하면 연결이 닫힙니다. 범위는 1에서 10까지이며 기본 범위는 3입니다.

  • backoff-threshold—사용자가 암호를 다시 입력하는 데 지연이 발생하기 전에 로그인 실패 시도 횟수에 대한 임계값입니다. 범위는 1에서 3이고 기본 범위는 2입니다. backoff-factor 이 옵션을 사용하여 지연 기간을 지정합니다.

  • backoff-factor—로그인에 장애가 backoff-threshold발생한 후 사용자가 1초 이내에 기다려야 하는 시간 . 이후 각 후속 시도에 대해 지정된 값에 따라 지연이 backoff-threshold 증가합니다. 범위는 5 ~10이며, 기본값은 5초입니다.

  • lockout-period—임계값에 도달한 후 사용자 계정이 잠기게 되는 시간(몇 분) tries-before-disconnect . 범위는 1 ~ 43,200 분입니다.

  • maximum-time seconds—사용자가 로그인할 사용자 이름과 암호를 입력할 수 있도록 연결이 열려 있는 최대 시간(초). 사용자가 유휴 상태로 남아 있고 구성된 maximum-time사용자 이름 및 암호를 입력하지 않으면 연결이 닫힙니다. 범위는 20초에서 300초, 기본 범위는 120초입니다.

  • minimum-time—사용자가 올바른 암호 입력을 시도하는 동안 연결이 열려 있는 최소 시간(초 단위). 범위는 20~60이며, 기본 범위는 20초입니다.

사용자당 SSH 및 Telnet 로그인 시도 횟수를 제한하는 것은 무차별적인 공격이 네트워크 보안을 손상시키는 것을 막는 가장 효과적인 방법 중 하나입니다. 무차별 대입 공격자들은 단기간에 많은 수의 로그인 시도를 실행하여 불법적으로 전용 네트워크에 액세스할 수 있습니다. 명령문을 구성 retry-options 하면 로그인 시도가 실패할 때마다 지연이 증가할 수 있으며, 결국 로그인 시도의 설정된 임계값을 통과하는 사용자의 연결을 끊을 수 있습니다.

사용자가 SSH 또는 Telnet을 통해 로그인할 때 로그인 시도를 제한하려면 다음을 수행합니다.

  1. 로그인 시도 횟수 제한을 구성합니다.
  2. 사용자가 지연을 경험하기 전에 로그인 시도 횟수를 구성합니다.
  3. 값에 도달한 후 사용자가 로그인 프롬프트를 기다려야 하는 backoff-threshold 초 수를 구성합니다.
  4. 사용자가 로그인을 시도하는 동안 연결이 열린 상태로 유지되는 초 수를 구성합니다.

다음 구성에서는 올바른 암호를 입력하려는 두 번째 시도가 실패하면 사용자가 5초의 지연을 경험합니다. 후속 시도가 실패할 때마다 지연은 5초 증가합니다. 네 번째 및 마지막에 올바른 암호를 입력하려고 시도하지 못한 후 사용자는 10초의 추가 지연을 경험합니다. 연결은 총 40초 후에 종료됩니다.

예를 들면 다음과 같습니다. 로그인 재시도 옵션 구성

이 예에서는 악의적인 사용자로부터 장치를 보호하기 위해 로그인 재시도 옵션을 구성하는 방법을 보여줍니다.

요구 사항

시작하기 전에 이해해야 합니다 SSH 및 Telnet 세션에 대한 사용자 로그인 시도 수 제한.

이 기능을 구성하기 전에 디바이스 초기화 이외에는 특별한 구성이 필요하지 않습니다.

개요

악의적인 사용자는 인증된 사용자 계정의 암호를 추측하여 보안 장치에 로그인하려고 시도하는 경우가 있습니다. 특정 수의 인증 실패 시도 후에 사용자 계정을 잠글 수 있습니다. 이 예방 조치를 통해 악의적인 사용자로부터 장치를 보호할 수 있습니다.

장비가 사용자 계정을 잠가 두기 전에 로그인 시도 실패 횟수를 구성할 수 있으며, 계정이 잠겨 있는 시간을 구성할 수 있습니다. 또한 사용자가 로그인 실패 시도 사이에 기다려야 하는 시간을 구성할 수도 있습니다.

주:

이 예에는 다음 설정이 포함됩니다.

  • backoff-factor—사용자가 로그인에 실패할 때마다 1초만에 지연 시간을 backoff-threshold기록합니다. 이 값에 따라 지연은 명령문에 지정된 값 이후의 후속 로그인 시도에 backoff-threshold 대해 증가합니다.

  • backoff-threshold—사용자가 암호 재입원을 시도할 때 지연이 발생하기 전에 장비에서 로그인 시도 실패 횟수에 대한 임계치. 사용자가 로그인 실패 시도의 임계값에 도달하면 사용자는 명령문에 설정된 지연을 backoff-factor 경험합니다. 지연이 끝나면 사용자가 또 다른 로그인을 시도할 수 있습니다.

  • lockout-period—사용자가 임계값에 도달 tries-before-disconnect 한 후 사용자 계정이 잠기게 되는 분 수입니다. 사용자는 장비에 다시 로그인하기 전에 구성된 수 분을 기다려야 합니다.

  • tries-before-disconnect—사용자가 SSH 또는 Telnet을 통해 장비에 로그인을 시도하기 위해 암호를 입력할 수 있는 최대 횟수입니다.

주:

장비가 잠겨 있는 경우 장비의 콘솔 포트에 로그인할 수 있으며, 이는 사용자 잠금을 무시합니다. 이를 통해 관리자는 사용자 계정에서 사용자 잠금을 제거할 수 있습니다.

이 예에서는 tries-before-disconnect 옵션을 3으로 설정합니다. 그 결과 사용자는 장치에 세 번의 로그인을 시도합니다. 로그인 시도 실패 횟수가 명령문에 backoff-threshold 지정된 값과 같으면 사용자는 로그인 프롬프트를 얻기 위해 backoff-threshold 간격이 backoff-factor 몇 초만에 배가될 때까지 기다려야 합니다. 이 예에서는 사용자가 첫 번째 로그인 시도에 실패한 후 5초, 두 번째 로그인에 실패한 후 10초 후에 로그인 프롬프트를 얻도록 기다려야 합니다. 세 번째 시도에 실패한 후 디바이스의 연결이 끊어집니다.

세 번의 시도 끝에 사용자가 로그인하지 못하면 사용자 계정이 잠깁니다. 시스템 관리자가 해당 시간 동안 잠금을 수동으로 지우지 않는 한 사용자는 120분이 경과할 때까지 로그인할 수 없습니다.

시스템 관리자는 명령을 발행하여 계정을 수동으로 잠금 해제할 clear system login lockout user <username> 수 있습니다. 이 show system login lockout 명령은 어떤 사용자 계정이 잠겨 있는지, 그리고 각 사용자에 대한 잠금 기간이 시작되고 종료되는 시점을 표시합니다.

구성

절차

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣고, 줄 바꿈을 제거하고, 네트워크 구성에 필요한 세부 정보를 변경하고, 명령을 계층 수준에서 CLI [edit] 에 복사 및 붙여넣은 다음 구성 모드에서 입력 commit 합니다.

단계별 절차

시스템 재시도 옵션을 구성하려면 다음을 수행합니다.

  1. 백오프 요소를 구성합니다.

  2. 백오프 임계값을 구성합니다.

  3. 사용자가 로그인 시도에 실패한 임계값에 도달한 후 사용자 계정이 잠기게 되는 분 수를 구성합니다.

  4. 사용자가 암호를 입력하려고 시도할 수 있는 횟수를 구성합니다.

결과

구성 모드에서 명령을 입력하여 구성을 show system login retry-options 확인합니다. 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 완료한 경우 구성 모드에서 입력 commit 합니다.

확인

잠근 사용자 로그인 표시

목적

로그인 잠금 구성이 활성화되었는지 확인합니다.

실행

특정 사용자 이름에 대해 3개의 실패한 로그인을 시도합니다. 해당 사용자 이름에 대해 디바이스가 잠기게 됩니다. 그런 다음 다른 사용자 이름을 가진 장비에 로그인합니다. 운영 모드에서 잠금된 show system login lockout 계정을 보려면 명령을 실행합니다.

의미

특정 사용자 이름을 사용해 3번의 로그인 시도가 실패한 후, 예제에 구성된 대로 디바이스가 해당 사용자에 대해 120분 동안 잠깁니다. 다른 사용자 이름을 가진 장비에 로그인하고 명령을 입력 show system login lockout 하여 디바이스가 해당 사용자에 대해 잠겨 있는지 확인할 수 있습니다.