Limitar el número de intentos de inicio de sesión de usuario para sesiones SSH
Un administrador remoto puede iniciar sesión en un dispositivo a través de SSH. Las credenciales de administrador se almacenan localmente en el dispositivo. Si el administrador remoto presenta un nombre de usuario y una contraseña válidos, se concede acceso al TONE. Si las credenciales no son válidas, el TOE permite volver a intentar la autenticación después de un intervalo que comienza después de 1 segundo y aumenta exponencialmente. Si el número de intentos de autenticación supera el máximo configurado, no se aceptan intentos de autenticación durante un intervalo de tiempo configurado. Cuando expira el intervalo, se vuelven a aceptar los intentos de autenticación.
Puede configurar el dispositivo para limitar el número de intentos de ingresar una contraseña mientras inicia sesión a través de SSH. Con el siguiente comando, la conexión puede finalizar si un usuario no puede iniciar sesión después de un número especificado de intentos:
El número de reintentos que permite el dispositivo se define mediante la tries-before-disconnect opción. El dispositivo permite 3 intentos fallidos de forma predeterminada o según lo configurado por el administrador. El dispositivo impide que los usuarios bloqueados realicen actividades que requieren autenticación, hasta que un administrador de seguridad borra manualmente el bloqueo o ha transcurrido el período de tiempo definido para que el dispositivo permanezca bloqueado. Sin embargo, los bloqueos existentes se omiten cuando el usuario intenta iniciar sesión desde la consola local
[edit system login] user@host# set retry-options tries-before-disconnect <number>
tries-before-disconnect Este es el número de veces que un usuario puede intentar ingresar una contraseña al iniciar sesión. La conexión se cierra si un usuario no puede iniciar sesión después del número especificado. El intervalo va del 1 al 10 y el valor predeterminado es 10.
También puede configurar un retraso, en segundos, antes de que un usuario pueda intentar introducir una contraseña después de un intento fallido.
[edit system login] user@host# set retry-options backoff-threshold <number>
backoff-threshold Aquí está el umbral para el número de intentos fallidos de inicio de sesión antes de que el usuario experimente un retraso en poder ingresar una contraseña nuevamente. El intervalo va de 1 a 3 y el valor predeterminado es de 2 segundos. Utilice la backoff-factor opción para especificar la duración del retraso en segundos.
Además, el dispositivo se puede configurar para especificar el umbral del número de intentos fallidos antes de que el usuario experimente un retraso en la introducción de la contraseña de nuevo.
[edit system login] user@host# set retry-options backoff-factor <number>
backoff-factor Este es el período de tiempo, en segundos, antes de que un usuario pueda intentar iniciar sesión después de un intento fallido. El retraso aumenta en el valor especificado para cada intento posterior después del umbral. El intervalo va de 5 a 10 y el valor predeterminado es de 5 segundos.