Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Junos OS 로그인 설정

Junos OS 로그인한 후 사용자에 대한 다양한 설정을 지정할 수 있습니다. 로그인한 후 사용자에게 알릴 내용을 정의하거나, 시스템 알람을 표시하거나, 로그인 팁을 제공하거나, 시간 기반 사용자 액세스를 지정하고, 로그인 시도 횟수를 제한할 수 있습니다. 자세한 내용은 이 주제를 읽어 보시죠.

시스템 Junos OS 공지를 표시하기 위한 구성

로그인한 후에 인증된 사용자에게만 공지를 하려는 경우도 있습니다. 예를 들어, 유지 보수 이벤트를 발표할 수도 있습니다.

다음과 같은 특수 문자를 사용하여 공지 사항을 형식화할 수 있습니다.

  • \n—새로운 라인

  • \t—수평 탭

  • \'—단일 견적 표시

  • \"—이중 견적 표시

  • \\—백스래시

메시지 텍스트에 공백이 있는 경우 견적 마크에 동봉합니다.

기본적으로 로그인 공지가 표시되지 않습니다.

인증된 사용자만 볼 수 있는 공지를 구성하기 위해 다음을 수행할 수 있습니다.

  1. 구성에 announcement 명령문을 [edit system login] 포함합니다.

    몇 가지 예를 들면 다음과 같습니다.

  2. 구성을 커밋합니다.
  3. 새 세션에서 디바이스에 연결하여 새 배너의 존재를 확인합니다.

    이전 로그인 메시지 구성 예에서는 다음과 유사한 로그인 메시지를 생성합니다.

공지 텍스트에 공백이 있는 경우, 텍스트를 견적 마크에 동봉합니다.

시스템 로그인 공지는 사용자가 로그인한 후에 나타납니다. 사용자가 로그인하기 전에 시스템 로그인 메시지가 나타납니다.

팁:

시스템 로그인 공지 형식에 대해 설명된 동일한 특수 문자를 사용할 수 있습니다.

로그인 시 자동으로 나타나는 시스템 알람 구성

로그인 클래스가 주니퍼 네트웍스 사용자가 라우터 또는 스위치에 로그인할 때마다 라우터 및 스위치에서 명령을 실행할 수 show system alarmsadmin 있습니다. 이를 위해 계층 수준에서 login-alarms[edit system login class admin] 명령문을 포함해야 합니다.

명령에 대한 자세한 내용은 show system alarmsCLI.

로그인 팁 구성

이 Junos OS CLI 사용자에 대한 로그인 팁 구성 옵션을 제공합니다. 기본적으로 사용자가 tip 로그인하면 명령어가 활성화되지 않습니다.

  • 팁을 활성화하려면 계층 수준에서 login-tip[edit system login class class-name] 명령문을 포함하십시오.

이 명령문을 추가하면 사용자가 이 명령어를 사용하여 로그인한 경우 지정된 클래스에 tip CLI.

예제: 시간 기반 사용자 액세스 구성

다음 예제에서는 액세스 시간 또는 로그인 기간에 제한 없이 월요일부터 금요일까지 로그인 클래스에 대한 사용자 액세스를 구성하는 operator-round-the-clock-access 방법을 보여줍니다.

다음 예제에서는 월요일, 수요일, 금요일 오전 operator-day-shift 8시 30분 ~오후 4시 30분까지 로그인 클래스에 사용자 액세스를 구성하는 방법을 보여줍니다.

또는 로그인 클래스의 로그인 시작 시간 및 종료 시간을 오전 operator-day-shift 8시30분에서 오후 4시 30분까지 다음과 같은 형식으로 지정할 수도 있습니다.

다음 예제에서는 일주일 중 오전 operator-day-shift-all-days-of-the-week 8시 30분부터 오후 4시 30분까지 로그인 클래스에 대한 사용자 액세스를 구성하는 방법을 보여줍니다.

유휴 로그인 세션의 타임아웃 값 구성

유휴 로그인 세션은 이 CLI 작동 모드 프롬프트가 표시되지만 키보드의 입력은 없습니다. 기본적으로, 해당 세션이 유휴 상태인 경우에도 사용자가 라우터 또는 스위치에서 로그아웃할 때까지 로그인 세션이 설정됩니다. 유휴 세션을 자동으로 종료하려면 각 로그인 클래스에 대한 시간 제한을 구성해야 합니다. 해당 클래스에 있는 사용자가 설정한 세션이 구성된 시간 제한에 대해 유휴 상태로 유지되면 해당 세션은 자동으로 종료됩니다. Idle-timeout 사용자 정의 클래스에만 구성할 수 있습니다. 시스템에 사전 정의한 클래스에는 구성이 지원되지 않습니다. operator, read-only, super-user. 이러한 클래스의 값 및 권한은 편집할 수 없습니다.

유휴 로그인 세션의 타임아웃 값을 정의하기 위해 계층 수준에서 idle-timeout[edit system login class class-name] 명령문을 포함하십시오.

세션이 자동으로 종료되기 전에 유휴 시간을 지정할 수 있는 분 수를 지정합니다.

타임아웃 값을 구성한 경우 유휴 CLI 타이밍과 유사한 메시지를 표시하게 됩니다. 사용자에게 타이밍이 되기 5분 전에 이러한 메시지가 표시됩니다.

타임아웃 값을 구성하는 경우 사용자가 텔넷 또는 명령어를 사용한 인터페이스를 모니터링하지 않는 한, 지정된 시간이 경과한 후에 세션이 monitor interfacemonitor traffic 종료됩니다.

로그인 재시도 옵션

보안 관리자는 사용자가 올지 않은 로그인 자격 증명을 통해 장비에 로그인하려고 시도할 수 있는 횟수를 구성할 수 있습니다. 지정된 수의 인증 실패 이후에 장비가 잠겨 있을 수 있습니다. 이는 계정의 암호를 추측하여 시스템에 액세스를 시도하는 악의적인 사용자로부터 장치를 보호하는 데 도움이 됩니다. 보안 관리자는 사용자 계정의 잠금을 해제하거나 사용자 계정이 잠겨 있는 기간을 정의할 수 있습니다.

시스템은 지정된 수의 실패한 로그인 시도가 실패한 후 사용자 계정에 대해 장비가 잠겨 있을 수 있는 시간을 lockout-period 정의합니다.

보안 관리자는 비활성 세션이 잠겨 다시 인증의 잠금을 해제해야 하는 기간을 구성할 수 있습니다. 이는 세션이 종료되기 전에 장비가 오랫동안 유휴되지 못하게 하는 데 도움이 됩니다.

시스템은 세션 타임 아웃 전에 CLI 운영 모드 프롬프트가 활성 상태로 유지되는 idle-timeout 시간을 정의합니다.

보안 관리자는 신원 확인 및 인증 화면 앞에 표시될 공지가 있는 배너를 구성할 수 있습니다.

시스템은 message 시스템 로그인 메시지를 정의합니다. 이 메시지는 사용자가 로그인하기 전에 나타납니다.

디바이스가 허용하는 재조정의 수는 옵션에 의해 tries-before-disconnect 정의됩니다. 이 장치는 기본적으로 3개 실패한 시도를 허용하거나 관리자가 구성한 경우를 허용합니다. 이 장치는 보안 관리자가 수동으로 잠금을 지우거나 장비가 잠금된 상태로 유지되는 정의된 기간이 경과할 때까지 인증이 필요한 활동을 수행하도록 차단합니다. 그러나 사용자가 로컬 콘솔에서 로그인을 시도할 때 기존 잠금은 무시됩니다.

주:

관리자가 로그아웃하는 동안 콘솔을 지우기 위해 관리자는 메시지-스트링에 newline (\n) 문자와 \n 문자 끝에 로그인 배너 메시지를 포함하도록 구성해야 set system login message “message string” 합니다.

구성 정보가 완벽하게 지워지기 위해 관리자는 명령의 message-string에 50 \n 문자 이상을 입력할 수 set system login message “message string” 있습니다.

예를 들어 set system login message "\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n Welcome to Junos!!!"

SSH 및 Telnet 세션에 대한 사용자 로그인 시도 횟수 제한

SSH 또는 Telnet을 통해 로그인하는 동안 사용자가 암호를 입력하려고 시도할 수 있는 횟수를 제한할 수 있습니다. 사용자가 지정된 시도 횟수 이후 로그인에 실패하면 연결이 종료됩니다. 또한 사용자가 실패한 시도 이후 암호를 입력하려고 시도하기 전에 몇 초 만에 지연을 지정할 수 있습니다. 또한 사용자가 암호를 다시 입력할 수 없는 지연이 발생하기 전에 실패한 시도 횟수에 대한 임계값을 지정할 수 있습니다.

로그인하는 동안 사용자가 암호를 입력하려고 시도할 수 있는 횟수를 지정하려는 경우, 계층 수준에서 retry-options 명령문을 [edit system login] 포함하십시오.

다음과 같은 옵션을 구성할 수 있습니다.

  • tries-before-disconnect—사용자가 로그인할 때 암호를 입력하려고 시도할 수 있는 횟수 사용자가 지정된 수치 이후 로그인에 실패하면 연결이 종료됩니다. 범위는 1에서 10까지, 기본 설정은 10입니다.

  • backoff-threshold—사용자가 암호를 다시 입력하기가 지연되기 전에 로그인 시도 횟수에 대한 임계값을 설정합니다. 이 옵션을 사용하여 몇 초 만에 지연 시간을 backoff-factor 지정합니다. 범위는 1에서 3까지, 기본 설정은 2입니다.

  • backoff-factor—사용자가 실패한 시도 후에 로그인을 시도하기 전에 몇 초 만에 시간 시간입니다. 임계치 이후의 후속 시도에 대해 지정된 값에 따라 지연이 증가합니다. 범위는 5에서 10까지, 기본 설정은 5초입니다.

  • maximum-time seconds—사용자가 사용자 이름과 암호를 입력하여 로그인할 수 있도록 연결을 열어 두는 최대 시간(초)입니다. 사용자가 유휴 상태인 상태로 구성된 내에 사용자 이름과 암호를 입력하지 않은 경우 maximum-time 연결이 종료됩니다. 범위는 20~300초, 기본 설정은 120초입니다.

  • minimum-time—사용자가 올바른 암호를 입력하려고 시도하는 동안 연결이 열려 있는 것을 몇 초 만에 최소 시간입니다. 범위는 20에서 60까지, 기본 설정은 40입니다.

다음 예제에서는 사용자가 SSH 또는 Telnet을 통해 로그인하는 동안 암호를 입력할 때 사용자를 4회로 제한하는 방법을 보여줍니다.

사용자당 SSH 및 Telnet 로그인 시도의 수를 제한하는 것은 무차별적인 강제 공격이 네트워크 보안의 타협을 막는 가장 효과적인 방법 중의 하나입니다. 무차별적인 공격자가 개인 네트워크에 대한 무차별적인 액세스에 단시간에 많은 로그인 시도를 실행합니다. 명령어를 구성하면, 로그인 시도가 실패할 때마다 지연이 증가하게 되거나, 궁극적으로 로그인 시도 임계값을 통과하는 모든 사용자와의 연결을 retry-options 끊을 수 있습니다.

backoff-threshold2초, back-off-factor 5초, minimum-time 40초로 설정 사용자는 두 번째 시도에서 정정 암호 입력에 실패한 후 5초가 지연됩니다. 후속 시도에 실패할 때마다 지연은 5초가 증가합니다. 4번째이자 마지막 암호 입력에 실패한 후, 사용자는 10초의 추가 지연을 경험하게 되고 연결이 총 40초 후에 종료됩니다.

추가 변수는 이 예제에 maximum-timelockout-period 설정되지 않습니다.

주:

이 샘플에는 수정되는 [시스템 로그인 편집] 계층 수준만 표시됩니다.

예를 들면 다음과 같습니다. 로그인 재시도 옵션 구성

이 예에서는 악의적인 사용자로부터 장치를 보호하기 위해 시스템 재시도 옵션을 구성하는 방법을 보여줍니다.

요구 사항

시작하기 전에 로그인 재시도 옵션에 대해 이해해야 합니다.

이 기능을 구성하기 전에 장비 초기화 이외에는 특별한 구성이 필요하지 않습니다.

개요

악의적인 사용자는 인증된 사용자 계정의 암호를 추측하여 보안 장치에 로그인하려고 시도하기도 합니다. 여러 번 인증에 실패한 후 사용자 계정을 잠금하면 악의적인 사용자로부터 장치를 보호할 수 있습니다.

장치 잠금 기능을 사용하면 사용자 계정이 장치에 잠기기 전에 실패한 시도 횟수를 구성하고 사용자가 장비에 다시 로그인하기 전에 시간을 구성할 수 있습니다. 사용자 계정 로그인 시도에 실패한 로그인 시도 사이에 수행되는 시간의 시간을 구성할 수 있으며 사용자 계정을 수동으로 잠금 해제하고 잠금 해제할 수 있습니다.

주:

이 예에서는 다음과 같은 설정을 포함합니다.

  • backoff-factor — 로그인 시도가 실패할 때마다 초 만에 지연 시간 설정. 사용자가 올바르지 않은 것으로 장비에 로그인하면 사용자는 구성된 시간을 기다려야 다시 장비에 로그인합니다. 명령문에 지정된 값 이후의 로그인 시도에 대해 이 값에 따라 지연 시간이 backoff-threshold 증가합니다. 이 명령문의 기본값은 5초로, 범위는 5-10초입니다.

  • backoff-threshold — 사용자가 암호를 다시 입력하려고 시도할 때 지연이 발생하기 전에 장비에서 로그인 시도 실패 횟수에 대한 임계값을 설정합니다. 사용자가 잘못 장치에 로그인하고 실패한 로그인 시도 임계값에 도달하면 사용자에게 명령문에 설정된 지연이 발생하여 다시 장치에 로그인하려고 backoff-factor 시도합니다. 이 명령문의 기본값은 2입니다. 범위는 1에서 3까지입니다.

  • lockout-period — 명령문에 지정된 로그인 시도의 수로 인해 잠금 해제된 후 사용자가 장비에 로그인을 시도하기 전에 몇 분 만에 로그인하는 시간을 tries-before-disconnect 설정합니다. 명령문에 명시된 허용된 시도 수가 지난 후 사용자가 올바르게 로그인하지 못하면, 사용자는 지정된 수분 동안 기다려야 장비에 다시 로그인할 수 tries-before-disconnect 있습니다. 잠금 기간은 0보다 큰 것이 되어야 합니다. 잠금 기간을 구성할 수 있는 범위는 1~43,200분입니다.

  • tries-before-disconnect — 사용자가 암호를 입력하여 SSH 또는 Telnet을 통해 장비에 로그인하려고 시도하도록 허용되는 최대 횟수를 설정합니다. 사용자가 실패한 로그인 시도의 최대 횟수에 도달하면 해당 사용자는 장치에 고정됩니다. 사용자는 명령문에서 구성된 분 정도를 기다려야 장비에 다시 lockout-period 로그인할 수 있습니다. 명령문이 설정될 때 명령문을 설정해야 합니다. 그렇지 않은 경우 tries-before-disconnectlockout-period 명령문은 lockout-period 의미가 없습니다. 기본 시도 횟수는 10개, 시도 횟수는 10개입니다.

일단 사용자가 장치에 고정된 경우 보안 관리자인 경우 해당 명령을 사용하여 이 상태의 사용자를 수동으로 제거할 수 clear system login lockout <username> 있습니다. 또한 이 명령을 사용하여 현재 잠금된 사용자, 각 사용자에 대한 잠금 기간이 시작된 시기, 각 사용자에 대한 잠금 기간이 끝나는 경우를 볼 show system login lockout 수 있습니다.

보안 관리자가 장비에 고정되어 있는 경우 콘솔 포트에서 장비에 로그인할 수 있습니다. 이 포트는 사용자 잠금을 무시합니다. 따라서 관리자는 사용자 계정에 대한 사용자 잠금(lock)을 제거할 수 있습니다.

이 예에서는 사용자가 로그인 프롬프트를 표시하기 위해 몇 초 만에 간격을 backoff-thresholdbackoff-factor 배가할 때까지 기다립니다. 이 예에서는 사용자가 처음 로그인 시도에 실패한 후 5초, 두 번째 로그인에 실패한 후 10초 후에 로그인 프롬프트를 얻습니다. 이 옵션은 3으로 구성되어 있기 때문에 세 번째 시도에 실패한 후 15초 후에 연결이 tries-before-disconnect 끊어집니다.

보안 관리자는 더 빨리 잠금을 수동으로 지우지 않는 한, 120분 경과할 때까지 더 많은 로그인을 시도할 수 없습니다.

구성

절차

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, 계층 수준에서 명령어를 CLI 입력한 다음 구성 모드에서 [edit]commit 입력합니다.

단계별 절차

시스템 재시도 옵션을 구성하는 경우:

  1. 백오프 요인을 구성합니다.

  2. 백오프 임계값을 구성합니다.

  3. 시도에 실패한 후 디바이스가 잠금되는 시간의 양을 구성합니다.

  4. 실패한 시도의 수를 구성하고 디바이스의 잠금 해제를 유지하도록 구성합니다.

결과

구성 모드에서 명령을 입력하여 구성을 show system login retry-options 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제에서 구성 지침을 반복하여 수정합니다.

구성이 제대로 작동하고 있는지 확인합니다.

디바이스 구성이 완료되면 commit 구성 모드에서 입력합니다.

확인

잠금된 사용자 로그인 표시

목적

로그인 잠금 구성이 활성화되어 있는지 확인합니다.

실행

특정 사용자 이름에 대해 3개의 실패한 로그인을 시도합니다. 디바이스는 사용자 이름에 고정됩니다. 다른 사용자 이름으로 디바이스에 로그인합니다. 작동 모드에서 명령어를 show system login lockout 입력합니다.

의미

특정 사용자 이름을 사용하여 세 번의 실패한 로그인 시도를 수행하면 예에서 구성한 따라 5분 동안 해당 사용자에 대한 디바이스가 잠겨 있습니다. 다른 사용자 이름의 장비에 로그인하고 명령을 입력하여 해당 장치에 대한 잠금이 있는지 확인할 수 show system login lockout 있습니다.