Limitar el número de intentos de inicio de sesión de usuario para sesiones SSH
Un administrador puede iniciar sesión en un dispositivo a través de SSH. Las credenciales de administrador se almacenan localmente en el dispositivo. Si el administrador remoto presenta un nombre de usuario y una contraseña válidos, se concede acceso al objetivo de evaluación (TOE). Si las credenciales no son válidas, el TOE permite volver a intentar la autenticación después de un intervalo que comienza después de 1 segundo y aumenta exponencialmente. Si el número de intentos de autenticación supera el máximo configurado, no se aceptan intentos de autenticación durante un intervalo de tiempo configurado. Cuando expira el intervalo, se vuelven a aceptar los intentos de autenticación.
Usted configura la cantidad de tiempo que el dispositivo se bloquea después de intentos fallidos. La cantidad de tiempo en minutos antes de que el usuario pueda intentar iniciar sesión en el dispositivo después de haber sido bloqueado debido a la cantidad de intentos de inicio de sesión fallidos especificados en la tries-before-disconnect
instrucción. Cuando un usuario no puede iniciar sesión correctamente después del número de intentos permitidos especificado por la instrucción, el usuario debe esperar la tries-before-disconnect
cantidad configurada de minutos antes de intentar iniciar sesión en el dispositivo de nuevo. El lockout-period
debe ser mayor que cero. El rango en el que puede configurar el lockout-period
es de uno a 43.200 minutos.
[edit system login] user@host# set retry-options lockout-period <number>
Puede configurar el dispositivo para limitar el número de intentos de ingresar una contraseña mientras inicia sesión a través de SSH. Mediante el siguiente comando, la conexión.
[edit system login] user@host# set retry-options tries-before-disconnect <number>
tries-before-disconnect
Este es el número de veces que un usuario puede intentar ingresar una contraseña al iniciar sesión. La conexión se cierra si un usuario no puede iniciar sesión después del número especificado. El intervalo va de 2 a 10 y el valor predeterminado es 3.
También puede configurar un retraso, en segundos, antes de que un usuario pueda intentar introducir una contraseña después de un intento fallido.
[edit system login] user@host# set retry-options backoff-threshold <number>
backoff-threshold
Aquí está el umbral para el número de intentos fallidos de inicio de sesión antes de que el usuario experimente un retraso en poder ingresar una contraseña nuevamente. El intervalo va de 1 a 3 y el valor predeterminado es de 2 segundos.
Además, el dispositivo se puede configurar para especificar el umbral del número de intentos fallidos antes de que el usuario experimente un retraso en la introducción de la contraseña de nuevo.
[edit system login] user@host# set retry-options backoff-factor <number>
backoff-factor
Este es el período de tiempo, en segundos, antes de que un usuario pueda intentar iniciar sesión después de un intento fallido. El retraso aumenta en el valor especificado para cada intento posterior después del umbral. El intervalo va de 5 a 10 y el valor predeterminado es de 5 segundos.
Puede controlar el acceso de los usuarios a través de SSH. Mediante la configuración ssh root-login deny
, puede asegurarse de que la cuenta raíz permanezca activa y siga teniendo privilegios administrativos locales en la TOE aunque otros usuarios remotos hayan cerrado sesión.
[edit system] user@host# set services ssh root-login deny
El protocolo SSH2 proporciona sesiones de terminal seguras utilizando el cifrado seguro. El protocolo SSH2 impone la ejecución de la fase de intercambio de claves y el cambio de las claves de cifrado e integridad para la sesión. El intercambio de claves se realiza periódicamente, después de segundos especificados o después de que bytes especificados de datos hayan pasado por la conexión. Puede configurar umbrales para la reintroducción de claves SSH FCS_SSHS_EXT.1.8 y FCS_SSHC_EXT.1.8. El TSF garantiza que dentro de las conexiones SSH se utilicen las mismas claves de sesión para un umbral de no más de una hora, y no más de un gigabyte de los datos transmitidos. Cuando se alcanza cualquiera de los umbrales, se debe realizar una nueva clave.
[edit system] user@host# set services ssh rekey time-limit number
El límite de tiempo antes de renegociar las claves de sesión es de 1 a 1440 minutos.
[edit system] user@host# set services ssh rekey data-limit number
El límite de datos antes de renegociar las claves de sesión es de 51200 a 4294967295 bytes.