EN ESTA PÁGINA
Configuración de inicio de sesión
Junos OS permite definir varias opciones de configuración para los usuarios cuando inician sesión en un dispositivo. Usted (el administrador del sistema) puede configurar:
- Mensajes o anuncios para mostrar antes o después del inicio de sesión
- Si desea mostrar las alarmas del sistema al iniciar sesión
- Consejos para iniciar sesión
- Acceso de usuarios basado en el tiempo
- Valores de tiempo de espera para sesiones inactivas
- Límites en el número de intentos de inicio de sesión
- Si se debe bloquear una cuenta de usuario después de varios intentos fallidos de autenticación
Mostrar un anuncio o mensaje de inicio de sesión del sistema
A veces desea hacer anuncios solo a usuarios autorizados después de que inicien sesión en un dispositivo. Por ejemplo, es posible que desee anunciar un próximo evento de mantenimiento. En otras ocasiones, puede ser apropiado mostrar un mensaje, como una advertencia de seguridad, a cualquier usuario que se conecte al dispositivo.
De forma predeterminada, Junos OS no muestra ningún mensaje de inicio de sesión ni anuncio. Puede configurar el dispositivo para que muestre un mensaje de inicio de sesión o un anuncio incluyendo la message
instrucción o la announcement
instrucción en el nivel jerárquico [edit system login]
. Mientras que el dispositivo muestra un inicio de sesión message después de que un usuario se conecta al dispositivo pero antes de que el usuario inicie sesión, muestra un announcement solo después de que el usuario inicie sesión correctamente en el dispositivo.
Puede dar formato al texto del mensaje o anuncio con los siguientes caracteres especiales. Si el texto contiene espacios, escríbalo entre comillas:
-
\n—Nueva línea
-
\t: pestaña horizontal
-
\'—comillas simples
-
\"—comillas dobles
-
\\—Barra diagonal inversa
Para configurar un anuncio que solo puedan ver los usuarios autorizados y un mensaje que pueda ver cualquier usuario:
Mostrar alarmas del sistema al iniciar sesión
Puede configurar dispositivos de Juniper Networks para que ejecuten el show system alarms
comando siempre que un usuario de una clase de inicio de sesión determinada inicie sesión en el dispositivo.
Para mostrar alarmas cada vez que un usuario de una clase de inicio de sesión específica inicia sesión en el dispositivo:
Cuando un usuario de la clase de inicio de sesión dada inicia sesión en el dispositivo, el dispositivo muestra las alarmas actuales.
$ ssh user@host.example.com Password: --- JUNOS 21.1R2.6-EVO Linux (none) 4.8.28-WR2.2.1_standard-g3999f55 #1 SMP PREEMPT Fri Jun 4 00:19:58 PDT 2021 x86_64 x86_64 x86_64 GNU/Linux 2 alarms currently active Alarm time Class Description 2021-07-22 15:00:14 PDT Minor port-1/0/0: Optics does not support configured speed 2021-07-22 15:00:14 PDT Minor port-1/0/1: Optics does not support configured speed
Configurar consejos de inicio de sesión
Puede configurar la Junos OS CLI para que muestre una sugerencia cada vez que un usuario de la clase de inicio de sesión dada inicie sesión en el dispositivo. El dispositivo no muestra las puntas de forma predeterminada.
Para habilitar las sugerencias:
Cuando se configura la login-tip
instrucción, el dispositivo muestra una sugerencia a cualquier usuario de la clase especificada que inicie sesión en el dispositivo.
$ ssh user@host.example.com Password: JUNOS tip: In configuration mode, the [edit] banner displays the current location in the configuration hierarchy. user@host>
Configurar el acceso de usuarios basado en tiempo
Puede configurar los dispositivos compatibles de Juniper Networks para exigir el acceso de usuario basado en tiempo para los usuarios de una clase determinada. El acceso de usuario basado en tiempo restringe el tiempo y la duración de los inicios de sesión de usuario para todos los usuarios que pertenecen a la clase. Puede restringir el acceso de los usuarios en función de la hora del día o del día de la semana.
Para restringir el acceso de los usuarios a determinados días u horas, incluya las siguientes instrucciones en el nivel jerárquico [edit system login class class-name]
:
-
allowed-days
: configure el acceso de los usuarios en días específicos de la semana. -
access-start
yaccess-end
—Configurar el acceso de los usuarios entre la hora de inicio especificada y la hora de finalización (hh:mm).
Para configurar el acceso de usuario basado en tiempo:
-
Habilite el acceso en días específicos de la semana.
[edit system login class class-name] user@host# set allowed-days [ day1 day2 ]
Por ejemplo, para configurar el acceso de los usuarios para la
operator-round-the-clock-access
clase de inicio de sesión de lunes a viernes sin ninguna restricción de tiempo de acceso:[edit system login class operator-round-the-clock-access] user@host# set allowed-days [ monday tuesday wednesday thursday friday ]
-
Habilite el acceso en momentos específicos del día.
[edit system login class class-name] user@host# set access-start hh:mm user#host# set access-end hh:mm
Por ejemplo, para configurar el acceso de usuario para la
operator-day-shift-all-days-of-the-week
clase de inicio de sesión de 8:30 a.m. a 4:30 p.m. todos los días de la semana:[edit system login class operator-day-shift-all-days-of-the-week] user@host# set access-start 08:30 user#host# set access-end 16:30
También puede configurar el acceso para incluir días y horas. En el ejemplo siguiente se configura el acceso de usuario para la operator-day-shift
clase de inicio de sesión los lunes, miércoles y viernes de 8:30 a.m. a 4:30 p.m.:
[edit system login class operator-day-shift] user@host# set allowed-days [ monday wednesday friday ] user@host# set access-start 08:30 user@host# set access-end 16:30
Como alternativa, puede especificar la hora de inicio y finalización del inicio de sesión para la clase de operator-day-shift
inicio de sesión utilizando el siguiente formato:
[edit system login class operator-day-shift] user@host# set allowed-days [ monday wednesday friday ] user@host# set access-start 08:30am user@host# set access-end 04:30pm
Las horas de inicio y finalización del acceso pueden abarcar las 12:00 a.m. de un día determinado. En ese caso, el usuario seguirá teniendo acceso hasta el día siguiente, incluso si no configura explícitamente ese día en la allowed-days
instrucción.
Configurar el valor de tiempo de espera para sesiones de inicio de sesión inactivas
Una sesión de inicio de sesión inactiva es aquella en la que la CLI muestra el indicador del modo operativo o del modo de configuración, pero no hay ninguna entrada desde el teclado. De forma predeterminada, una sesión de inicio de sesión permanece establecida hasta que un usuario cierra sesión en el dispositivo, incluso si esa sesión está inactiva. Para cerrar las sesiones inactivas automáticamente, debe configurar un límite de tiempo para cada clase de inicio de sesión. Si una sesión establecida por un usuario de esa clase permanece inactiva durante el límite de tiempo configurado, la sesión se cierra automáticamente. El cierre automático de las sesiones de inicio de sesión inactivas ayuda a evitar que usuarios malintencionados obtengan acceso al dispositivo y realicen operaciones con una cuenta de usuario autorizada.
Puede configurar un tiempo de espera de inactividad solo para clases definidas por el usuario. No puede configurar esta opción para las clases predefinidas del sistema: operator
, read-only
, o superuser
, y unauthorized
. super-user
Para definir el valor de tiempo de espera para las sesiones de inicio de sesión inactivas:
Si configura un valor de tiempo de espera, la CLI muestra mensajes similares a los siguientes al agotar el tiempo de espera de un usuario inactivo. La CLI comienza a mostrar estos mensajes 5 minutos antes de desconectar al usuario.
user@host> Session will be closed in 5 minutes if there is no activity. Warning: session will be closed in 1 minute if there is no activity Warning: session will be closed in 10 seconds if there is no activity Idle timeout exceeded: closing session
Si configura un valor de tiempo de espera, la sesión se cierra después de que transcurra el tiempo especificado, excepto en los siguientes casos:
-
El usuario está ejecutando el
ssh
comando otelnet
. -
El usuario ha iniciado sesión en el shell local de UNIX.
-
El usuario supervisa las interfaces mediante el
monitor interface
monitor traffic
comando o.
Opciones de reintento de inicio de sesión
Puede configurar las opciones de reintento de inicio de sesión en dispositivos de la red de Juniper para protegerlos de usuarios malintencionados. Puede configurar las siguientes opciones:
-
Número de veces que un usuario puede introducir credenciales de inicio de sesión no válidas antes de que el sistema cierre la conexión.
-
Si se debe bloquear una cuenta de usuario después de que el usuario alcance el umbral de intentos fallidos de autenticación y durante cuánto tiempo.
Limitar los intentos de inicio de sesión y bloquear la cuenta de usuario ayuda a proteger el dispositivo de usuarios malintencionados que intentan acceder al sistema adivinando la contraseña de una cuenta de usuario autorizada. Puede desbloquear la cuenta de usuario o definir un período de tiempo para que la cuenta de usuario permanezca bloqueada.
Las opciones de reintento de inicio de sesión se configuran en el nivel jerárquico [edit system login retry-options]
. La tries-before-disconnect
instrucción define el umbral de intentos fallidos de inicio de sesión antes de que el dispositivo desconecte al usuario. El dispositivo permite tres intentos de inicio de sesión fallidos de forma predeterminada.
La lockout-period
instrucción indica al dispositivo que bloquee la cuenta de usuario durante el tiempo especificado si el usuario alcanza el umbral de intentos de inicio de sesión fallidos. El bloqueo impide que el usuario realice actividades que requieren autenticación hasta que haya transcurrido el período de bloqueo o un administrador del sistema borre manualmente el bloqueo. Los bloqueos existentes se omiten cuando el usuario intenta iniciar sesión desde la consola local.
Para configurar las opciones de reintento de inicio de sesión:
-
Configure el número de veces que un usuario puede intentar escribir una contraseña.
[edit system login retry-options] user@host# set tries-before-disconnect number
Por ejemplo, para permitir que un usuario escriba una contraseña cuatro veces antes de que el dispositivo cierre la conexión:
[edit system login retry-options] user@host# set tries-before-disconnect 4
- Configure el número de minutos que la cuenta de usuario permanece bloqueada después de que un usuario alcanza el umbral de intentos fallidos de inicio de sesión.
[edit system login retry-options] user@host# set lockout-period minutes
Por ejemplo, para bloquear una cuenta de usuario durante 120 minutos después de que un usuario alcance el umbral de intentos fallidos de inicio de sesión:
[edit system login retry-options] user@host# set lockout-period 120
-
Confirme la configuración.
[edit system login retry-options] user@host# commit
Para borrar la consola durante un cierre de sesión iniciado por el administrador, incluya caracteres de nueva línea (\n) cuando configure la message
instrucción en el nivel de [edit system login]
jerarquía. Para borrar completamente la consola, el administrador puede introducir 50 o más \n caracteres en la cadena de mensaje. Por ejemplo:
user@host# set system login message "\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n Welcome to Junos!!!"
Limitar el número de intentos de inicio de sesión de usuario para sesiones SSH y Telnet
Puede limitar el número de veces que un usuario puede intentar escribir una contraseña mientras inicia sesión en un dispositivo a través de SSH o Telnet. El dispositivo finaliza la conexión si un usuario no puede iniciar sesión después del número de intentos especificados. También puede especificar un retraso, en segundos, antes de que un usuario pueda intentar introducir una contraseña después de un intento fallido. Además, puede especificar el umbral para el número de intentos fallidos antes de que el usuario experimente un retraso en poder volver a escribir una contraseña.
Para especificar el número de veces que un usuario puede intentar escribir una contraseña mientras inicia sesión, incluya la retry-options
instrucción en el nivel de [edit system login]
jerarquía:
[edit system login] retry-options { tries-before-disconnect number; backoff-threshold number; backoff-factor seconds; lockout-period minutes; maximum-time seconds minimum-time seconds; }
Puede configurar las siguientes opciones:
-
tries-before-disconnect
: número máximo de veces que un usuario puede ingresar una contraseña al iniciar sesión en el dispositivo a través de SSH o Telnet. La conexión se cierra si un usuario no puede iniciar sesión después del número especificado. El intervalo va del 1 al 10 y el valor predeterminado es 3. -
backoff-threshold
: umbral para el número de intentos fallidos de inicio de sesión antes de que el usuario experimente un retraso en la posibilidad de volver a introducir una contraseña. El intervalo va del 1 al 3 y el valor predeterminado es 2. Utilice labackoff-factor
opción para especificar la duración del retraso. -
backoff-factor
: Período de tiempo, en segundos, que el usuario debe esperar después de un intento fallido de inicio de sesión por encima delbackoff-threshold
. El retraso aumenta en el valor especificado para cada intento posterior después delbackoff-threshold
valor. El intervalo es de 5 a 10 y el valor predeterminado es de 5 segundos. -
lockout-period
: Período de tiempo, en minutos, que una cuenta de usuario se bloquea después de alcanzar eltries-before-disconnect
umbral. El rango es de 1 a 43,200 minutos. -
maximum-time seconds
: tiempo máximo, en segundos, que la conexión permanece abierta para que el usuario introduzca un nombre de usuario y una contraseña para iniciar sesión. Si el usuario permanece inactivo y no introduce un nombre de usuario y contraseña dentro de la configuraciónmaximum-time
, la conexión se cierra. El intervalo es de 20 a 300 segundos y el valor predeterminado es de 120 segundos. -
minimum-time
: tiempo mínimo, en segundos, que una conexión permanece abierta mientras un usuario intenta introducir una contraseña correcta. El intervalo es de 20 a 60 y el valor predeterminado es de 20 segundos.
Limitar el número de intentos de inicio de sesión SSH y Telnet por usuario es uno de los métodos más eficaces para evitar que los ataques de fuerza bruta pongan en peligro la seguridad de su red. Los atacantes de fuerza bruta ejecutan una gran cantidad de intentos de inicio de sesión en un corto período de tiempo para obtener acceso ilegítimo a una red privada. Al configurar las retry-options
instrucciones, puede crear un retraso creciente después de cada intento de inicio de sesión fallido y, finalmente, desconectar a cualquier usuario que supere el umbral establecido de intentos de inicio de sesión.
Para limitar los intentos de inicio de sesión cuando un usuario inicia sesión a través de SSH o Telnet:
Para la siguiente configuración, el usuario experimenta un retraso de 5 segundos después de que falla el segundo intento de escribir una contraseña correcta. Después de cada intento fallido posterior, el retraso aumenta en 5 segundos. Después del cuarto y último intento fallido de ingresar una contraseña correcta, el usuario experimenta un retraso adicional de 10 segundos. La conexión se cierra después de un total de 40 segundos.
[edit] system { login { retry-options { backoff-threshold 2; backoff-factor 5; minimum-time 40; tries-before-disconnect 4; } } }
Ejemplo: Configurar las opciones de reintento de inicio de sesión
En este ejemplo se muestra cómo configurar las opciones de reintento de inicio de sesión para proteger un dispositivo de usuarios malintencionados.
Requisitos
Antes de comenzar, debe comprender Limitar el número de intentos de inicio de sesión de usuario para sesiones SSH y Telnet.
No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.
Descripción general
Los usuarios malintencionados a veces intentan iniciar sesión en un dispositivo seguro adivinando la contraseña de una cuenta de usuario autorizada. Puede bloquear una cuenta de usuario después de un cierto número de intentos fallidos de autenticación. Esta precaución ayuda a proteger los dispositivos de usuarios malintencionados.
Puede configurar el número de intentos fallidos de inicio de sesión antes de que el dispositivo bloquee la cuenta de usuario y puede configurar la cantidad de tiempo que la cuenta permanece bloqueada. También puede configurar la cantidad de tiempo que el usuario debe esperar entre intentos fallidos de inicio de sesión.
En este ejemplo se incluye la siguiente configuración:
-
backoff-factor
: duración del retraso en segundos que el usuario debe esperar después de cada intento fallido de inicio de sesión por encima delbackoff-threshold
. El retraso aumenta en este valor para cada intento de inicio de sesión posterior después del valor especificado en labackoff-threshold
instrucción. -
backoff-threshold
: umbral para el número de intentos fallidos de inicio de sesión en el dispositivo antes de que el usuario experimente un retraso al intentar volver a escribir una contraseña. Cuando un usuario alcanza el umbral de intentos fallidos de inicio de sesión, el usuario experimenta el retraso establecido en labackoff-factor
instrucción. Después del retraso, el usuario puede hacer otro intento de inicio de sesión. -
lockout-period
: número de minutos que la cuenta de usuario está bloqueada después de que el usuario alcanza eltries-before-disconnect
umbral. El usuario debe esperar el número de minutos configurado para poder volver a iniciar sesión en el dispositivo. -
tries-before-disconnect
: número máximo de veces que el usuario puede ingresar una contraseña para intentar iniciar sesión en el dispositivo a través de SSH o Telnet.
Si no puede acceder al dispositivo, puede iniciar sesión en el puerto de consola del dispositivo, que ignora los bloqueos de usuario. Esto proporciona una manera para que los administradores eliminen el bloqueo de usuario en su propia cuenta de usuario.
En este ejemplo se establece la tries-before-disconnect
opción en 3. Como resultado, el usuario tiene tres intentos de iniciar sesión en el dispositivo. Si el número de intentos de inicio de sesión fallidos es igual al valor especificado en la backoff-threshold
instrucción, el usuario debe esperar a que se multiplique por backoff-threshold
el backoff-factor
intervalo, en segundos, para obtener el mensaje de inicio de sesión. En este ejemplo, el usuario debe esperar 5 segundos después del primer intento de inicio de sesión fallido y 10 segundos después del segundo intento de inicio de sesión fallido para obtener el mensaje de inicio de sesión. El dispositivo desconecta al usuario después del tercer intento fallido.
Si el usuario no inicia sesión correctamente después de tres intentos, la cuenta de usuario se bloqueará. El usuario no puede iniciar sesión hasta que hayan transcurrido 120 minutos, a menos que un administrador del sistema borre manualmente el bloqueo durante ese tiempo.
Un administrador del sistema puede desbloquear manualmente una cuenta emitiendo el clear system login lockout user <username>
comando. El show system login lockout
comando muestra qué cuentas de usuario están bloqueadas y cuándo comienza y termina el período de bloqueo para cada usuario.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit]
y, luego, ingrese commit
desde el modo de configuración.
set system login retry-options backoff-factor 5 set system login retry-options backoff-threshold 1 set system login retry-options lockout-period 120 set system login retry-options tries-before-disconnect 3
Procedimiento paso a paso
Para configurar las opciones de reintento del sistema:
-
Configure el factor de retroceso.
[edit] user@host# set system login retry-options backoff-factor 5
-
Configure el umbral de retroceso.
[edit] user@host# set system login retry-options backoff-threshold 1
-
Configure el número de minutos que la cuenta de usuario permanece bloqueada después de que un usuario alcanza el umbral de intentos fallidos de inicio de sesión.
[edit] user@host# set system login retry-options lockout-period 120
-
Configure el número de veces que un usuario puede intentar escribir una contraseña.
[edit] user@host# set system login retry-options tries-before-disconnect 3
Resultados
Desde el modo de configuración, confírmela con el comando show system login retry-options
. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show system login retry-options tries-before-disconnect 3; backoff-threshold 1; backoff-factor 5; lockout-period 120;
Cuando termine de configurar el dispositivo, ingrese commit
en el modo de configuración.
Verificación
Mostrar los inicios de sesión de usuario bloqueados
Propósito
Compruebe que la configuración de bloqueo de inicio de sesión esté habilitada.
Acción
Intente tres inicios de sesión fallidos para un nombre de usuario en particular. El dispositivo se bloqueará para ese nombre de usuario. A continuación, inicie sesión en el dispositivo con un nombre de usuario diferente. Desde el modo operativo, ejecute el show system login lockout
comando para ver las cuentas bloqueadas.
user@host> show system login lockout User Lockout start Lockout end jsmith 2021-08-17 16:27:28 PDT 2021-08-17 18:27:28 PDT
Significado
Después de realizar tres intentos de inicio de sesión fallidos con un nombre de usuario determinado, el dispositivo se bloquea para ese usuario durante 120 minutos, como se configura en el ejemplo. Puede comprobar que el dispositivo está bloqueado para ese usuario iniciando sesión en el dispositivo con un nombre de usuario diferente e ingresando el show system login lockout
comando.