Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuración de inicio de sesión Junos OS

Junos OS le permite especificar varias configuraciones para los usuarios después de haber iniciado sesión. Puede definir a qué notificar a los usuarios después de haber iniciado una sesión, Mostrar alarmas del sistema, proporcionar sugerencias de inicio de sesión o especificar el acceso de usuarios basado en tiempo y limitar el número de intentos de inicio de sesión. Lea este tema para obtener más información.

Configuración de Junos OS para mostrar un anuncio de inicio de sesión del sistema

En ocasiones sólo desea hacer anuncios a usuarios autorizados después de haber iniciado sesión. Por ejemplo, es posible que desee anunciar un evento de mantenimiento próximo.

Puede dar formato al anuncio con los siguientes caracteres especiales:

  • \n: nueva línea

  • \t: pestaña Horizontal

  • \': una sola comilla

  • \": comilla doble

  • \\: barra diagonal inversa

Si el texto del mensaje contiene espacios, inclúyalo entre comillas.

De forma predeterminada, no se muestra ningún anuncio de inicio de sesión.

Para configurar un anuncio que sólo puedan ver los usuarios autorizados:

  1. Incluya la announcement instrucción en la [edit system login] configuración.

    Por ejemplo:

  2. Confirme la configuración.
  3. Conéctese al dispositivo en una nueva sesión para comprobar la presencia de la nueva pancarta.

    El anterior ejemplo de configuración de mensaje de inicio de sesión genera un mensaje de inicio de sesión similar al siguiente:

Si el texto del anuncio contiene espacios, encierre el texto entre comillas.

Aparecerá un anuncio de inicio de sesión del sistema después de que el usuario inicie sesión. Aparecerá un mensaje de inicio de sesión del sistema antes de que el usuario inicie sesión.

Consejo:

Puede utilizar los caracteres especiales que se describen para dar formato al anuncio de inicio de sesión del sistema.

Configuración de las alarmas del sistema para que aparezcan automáticamente al iniciar sesión

Puede configurar enrutadores y conmutadores Juniper Networks para ejecutar show system alarms el comando cada vez que un usuario con admin la clase login (inicio de sesión) inicie sesión en el enrutador o conmutador. Para ello, incluya la login-alarms instrucción en el nivel [edit system login class admin] de jerarquía.

Para obtener más información sobre show system alarms el comando, consulte el CLI Explorer.

Configuración de sugerencias de inicio de sesión

La CLI de Junos OS ofrece la opción de configurar sugerencias de inicio de sesión para el usuario. De forma predeterminada, tip el comando no está habilitado cuando un usuario inicia sesión.

  • Para habilitar las sugerencias, incluya login-tip el resumen en [edit system login class class-name] el nivel de jerarquía:

Si agrega esta instrucción, tip se habilitará el comando para la clase especificada, siempre que el usuario inicie sesión con la CLI.

Cita Configuración del acceso de usuarios basado en tiempo

En el ejemplo siguiente se muestra cómo configurar el acceso de operator-round-the-clock-access usuario para la clase login de lunes a viernes sin ninguna restricción sobre el tiempo de acceso o la duración del inicio de sesión:

El ejemplo siguiente muestra cómo configurar el acceso de usuario para operator-day-shift la clase login el lunes, el miércoles y el viernes de 8:30 AM a 4:30 PM:

De manera alternativa, también puede especificar que la hora de inicio y finalización de operator-day-shift inicio de sesión de la clase de inicio de sesión sea de 8:30 AM a 4:30 PM en el formato siguiente:

En el ejemplo siguiente se muestra cómo configurar el acceso de operator-day-shift-all-days-of-the-week usuario para que la clase de inicio de sesión esté activada todos los días de la semana, desde el 8:30 am hasta el 4:30 PM:

Configurar el valor de tiempo de espera para sesiones de inicio de sesión inactiva

Una sesión de inicio de inactividad es una en la que se muestra el mensaje de modo operativo de CLI, pero no hay ninguna entrada del teclado. De forma predeterminada, se mantiene establecida una sesión de inicio hasta que un usuario cierra su sesión en el enrutador o conmutador, incluso si esa sesión está inactiva. Para cerrar las sesiones inactivas automáticamente, debe configurar un límite de tiempo para cada clase de inicio de sesión. Si una sesión establecida por un usuario en esa clase permanece inactiva para el límite de tiempo configurado, la sesión se cierra automáticamente. Idle-timeout solo se puede configurar para clases definidas por el usuario. La configuración no funcionará para las clases predefinidas del sistema: operator, read-only, super-user. Los valores y los permisos de estas clases no son modificables.

Para definir el valor de tiempo de espera de las sesiones de idle-timeout inicio de sesión [edit system login class class-name] inactivas, incluya la instrucción en el nivel de jerarquía:

Especifique el número de minutos durante los cuales puede estar inactiva una sesión antes de que se cierre automáticamente.

Si ha configurado un valor de tiempo de espera, la CLI muestra mensajes similares a los siguientes cuando se agota el tiempo de espera de un usuario inactivo. Comienza a mostrar estos mensajes 5 minutos antes de que el usuario no lo controle.

Si configura un valor de tiempo de espera, la sesión se cierra cuando haya transcurrido el tiempo especificado, a menos que el usuario esté ejecutando telnet o monitor interface interfaces monitor traffic de supervisión con el comando or.

Opciones de reintento de inicio de sesión

El administrador de seguridad puede configurar el número de veces que un usuario puede intentar iniciar sesión en el dispositivo con credenciales de inicio de sesión no válidas. El dispositivo puede bloquearse después del número especificado de intentos fallidos de autenticación. Esto ayuda a proteger el dispositivo de usuarios maliciosos que intentan acceder al sistema adivinando la contraseña de una cuenta. El administrador de seguridad puede desbloquear la cuenta de usuario o definir un periodo de tiempo para que la cuenta de usuario permanezca bloqueada.

El sistema lockout-period define la cantidad de tiempo que el dispositivo puede bloquearse para una cuenta de usuario tras un número especificado de intentos fallidos de inicio de sesión.

El administrador de seguridad puede configurar un período de tiempo tras el cual una sesión inactiva será bloqueada y exigir que se desbloquee la reautenticación. Esto ayuda a proteger el dispositivo para que no esté inactivo durante un periodo de tiempo antes de que se agote el tiempo de espera de la sesión.

El sistema idle-timeout define la cantidad de tiempo que la solicitud del modo operativo de CLI permanece activa antes de que se agote el tiempo de espera de la sesión.

El administrador de seguridad puede configurar una pancarta con un aviso de aviso para que se muestre antes que la pantalla identificación y autenticación.

El sistema message define el mensaje de inicio de sesión del sistema. Este mensaje aparece antes de que un usuario inicie sesión.

La tries-before-disconnect opción define el número de reintentos que permite el dispositivo. El dispositivo permite 3 intentos fallidos de forma predeterminada o tal y como lo configuró el administrador. El dispositivo impide que los usuarios bloqueados realicen actividades que requieran autenticación, hasta que un administrador de seguridad borre manualmente el bloqueo o transcurra el periodo de tiempo definido para que el dispositivo permanezca bloqueado. Sin embargo, los bloqueos existentes se omiten cuando el usuario intenta iniciar sesión desde la consola local.

Nota:

Para borrar la consola durante un cierre de sesión iniciado por un administrador, el administrador set system login message “message string” debe configurar la cadena de mensajes de forma que contenga caracteres de nueva línea (\n) y un mensaje de banner de inicio de sesión al final de los \n caracteres.

Para garantizar que la información de configuración se borra por completo, el administrador puede escribir el 50 o más caracteres \n en la cadena de set system login message “message string”mensaje del comando.

Por ejemplo,set system login message "\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n Welcome to Junos!!!"

Limitación del número de intentos de inicio de sesión de los usuarios en las sesiones de SSH y telnet

Puede limitar el número de veces que un usuario puede intentar escribir una contraseña durante el inicio de sesión a través de SSH o Telnet. La conexión finaliza si un usuario no puede iniciar sesión después del número de intentos especificado. También puede especificar un retraso, en segundos, antes de que un usuario pueda intentar escribir una contraseña después de un intento fallido. Además, puede especificar el umbral del número de intentos fallidos antes de que el usuario experimente un retraso en la posibilidad de volver a escribir una contraseña.

Para especificar el número de veces que un usuario puede intentar escribir una contraseña durante el inicio de sesión, retry-options incluya la instrucción [edit system login] en el nivel de jerarquía:

Puede configurar las siguientes opciones:

  • tries-before-disconnect: número de veces que un usuario puede intentar ingresar una contraseña al iniciar sesión. La conexión se cierra si un usuario no puede iniciar sesión después del número especificado. El rango está comprendido entre 1 y 10, y el valor predeterminado es 10.

  • backoff-threshold: umbral para la cantidad de intentos de inicio de sesión fallidos antes de que el usuario experimenta un retraso en poder volver a ingresar una contraseña. Utilice la backoff-factor opción para especificar la duración del retardo en segundos. El rango está comprendido entre 1 y 3, y el valor predeterminado es 2.

  • backoff-factor: duración del tiempo, en segundos, antes de que un usuario pueda intentar iniciar sesión después de un intento fallido. El retardo aumenta según el valor especificado para cada intento subsiguiente después del umbral. El rango está comprendido entre 5 y 10 y el valor predeterminado es 5 segundos.

  • maximum-time seconds: duración máxima de tiempo, en segundos, de que la conexión permanezca abierta para que el usuario escriba un nombre de usuario y una contraseña para iniciar sesión. Si el usuario permanece inactivo y no introduce un nombre de usuario y contraseña en maximum-timeel configurados, la conexión se cierra. El rango está comprendido entre 20 y 300 segundos, mientras que el predeterminado es de 120 segundos.

  • minimum-time: duración mínima de tiempo, en segundos, de que una conexión permanezca abierta mientras un usuario intenta ingresar una contraseña correcta. El rango está comprendido entre 20 y 60, mientras que el predeterminado es 40.

El siguiente ejemplo muestra cómo limitar el usuario a cuatro intentos cuando el usuario escribe una contraseña mientras inicia sesión a través de SSH o Telnet:

Limitar el número de intentos de inicio de sesión de SSH y telnet por usuario es uno de los métodos más efectivos para detener los ataques de fuerza bruta para poner en peligro la seguridad de la red. Los atacantes fuerzan la ejecución de un gran número de intentos de inicio de sesión durante un breve periodo de tiempo para obtener acceso ilegítimo a una red privada. Al configurar el retry-options comando, puede crear un retraso cada vez mayor después de cada intento fallido de inicio de sesión, con lo que finalmente desconectará a cualquier usuario que supere el umbral establecido de intentos de inicio de sesión.

Establezca el backoff-threshold en 2, los back-off-factor cinco segundos y el minimum-time para 40 segundos. El usuario experimenta un retraso de 5 segundos después de que se produzca un error en el segundo intento de escribir la contraseña correcta. Después de cada intento fallido subsiguiente, el retardo se incrementa en 5 segundos. Después del cuarto y último intento fallido de introducir una contraseña correcta, el usuario experimenta un retraso adicional de 10 segundos y la conexión se cierra después de un total de 40.

Las variables maximum-time adicionales y lockout-period no se establecen en este ejemplo.

Nota:

Este ejemplo solo muestra la parte del nivel de jerarquía [editar inicio de sesión del sistema] que se está modificando.

Ejemplo Configuración de opciones de reintento de inicio de sesión

En este ejemplo se muestra cómo configurar las opciones de reintentos del sistema para proteger el dispositivo frente a usuarios malintencionados.

Aplicables

Antes de comenzar, debe comprender las opciones de reintento de inicio de sesión.

Antes de configurar esta característica, es necesaria una configuración especial más allá de la inicialización del dispositivo.

Descripción general

A veces, los usuarios maliciosos intentan iniciar sesión en un dispositivo seguro adivinando la contraseña de una cuenta de usuario autorizada. Bloquear una cuenta de usuario después de varios intentos erróneos de autenticación ayuda a proteger el dispositivo frente a usuarios malintencionados.

El bloqueo de dispositivos le permite configurar el número de intentos fallidos antes de bloquear la cuenta de usuario del dispositivo y configurar la cantidad de tiempo antes de que el usuario pueda volver a iniciar sesión en el dispositivo. Puede configurar la cantidad de tiempo en entre los intentos de inicio de sesión incorrectos de una cuenta de usuario y bloquear y desbloquear manualmente las cuentas de usuario.

Nota:

Este ejemplo incluye la siguiente configuración:

  • backoff-factor : establece la longitud de la demora en segundos después de cada intento de inicio de sesión fallido. Cuando un usuario inicia sesión incorrectamente en el dispositivo, debe esperar la cantidad de tiempo configurada antes de intentar iniciar sesión de nuevo en el dispositivo. La longitud del retraso aumenta según este valor para cada intento de inicio de sesión posterior al valor especificado backoff-threshold en la instrucción. El valor predeterminado de esta instrucción es de cinco segundos, con un rango de cinco a diez segundos.

  • backoff-threshold : establece el umbral para la cantidad de intentos de inicio de sesión fallidos en el dispositivo antes de que el usuario experimenta un retraso al intentar volver a escribir una contraseña. Cuando un usuario inicia sesión incorrectamente en el dispositivo y alcanza el umbral de intentos de inicio de sesión erróneos, el usuario experimenta un retraso que se backoff-factor establece en la instrucción antes de intentar iniciar sesión de nuevo en el dispositivo. El valor predeterminado de esta instrucción es dos, con un rango de uno a tres.

  • lockout-period : establece la cantidad de tiempo en minutos antes de que el usuario pueda intentar iniciar sesión en el dispositivo después de haber estado bloqueado debido a la cantidad de intentos de inicio de sesión fallidos especificados en la tries-before-disconnect instrucción. Cuando un usuario no puede iniciar sesión correctamente después de la cantidad de intentos permitidos tries-before-disconnect especificada por la instrucción, el usuario debe esperar la cantidad configurada de minutos antes de intentar iniciar sesión de nuevo en el dispositivo. El período de bloqueo debe ser mayor que cero. El rango en el que puede configurar el período de bloqueo es de uno a 43.200 minutos.

  • tries-before-disconnect : establece el número máximo de veces que se le permite al usuario ingresar una contraseña para intentar iniciar sesión en el dispositivo mediante SSH o Telnet. Cuando el usuario alcanza el número máximo de intentos fallidos de inicio de sesión, el usuario queda bloqueado en el dispositivo. El usuario debe esperar la cantidad de minutos configurados lockout-period en la instrucción antes de intentar volver a iniciar sesión en el dispositivo. La tries-before-disconnect instrucción debe establecerse cuando se lockout-period establece la instrucción; de lo contrario lockout-period , la instrucción carece de sentido. El número predeterminado de intentos es diez, con un intervalo de uno a diez intentos.

Una vez bloqueado un usuario del dispositivo, si es el administrador de seguridad, puede quitar manualmente el usuario de este estado con el clear system login lockout <username> comando. También puede utilizar el show system login lockout comando para ver qué usuarios están bloqueados actualmente, Cuándo empezó el período de bloqueo para cada usuario y cuándo finaliza el período de bloqueo para cada usuario.

Si el administrador de seguridad está bloqueado fuera del dispositivo, puede iniciar sesión en el dispositivo desde el puerto de la consola, lo que ignora cualquier bloqueo del usuario. Esto proporciona al administrador una manera de quitar el bloqueo de usuario en su propia cuenta de usuario.

En este ejemplo, el usuario espera por lo multiplicado por el backoff-thresholdbackoff-factor intervalo, en cuestión de segundos, para obtener el mensaje de inicio de sesión. En este ejemplo, el usuario debe esperar 5 segundos después del primer intento fallido de inicio de sesión y 10 segundos después del segundo intento de inicio de sesión fallido para obtener el mensaje de inicio de sesión. El usuario se desconecta al cabo de 15 segundos después del tercer intento fallido porque la tries-before-disconnect opción está configurada como 3.

El usuario no puede intentar otro inicio de sesión hasta que transcurran 120 minutos, a menos que un administrador de seguridad borre manualmente el bloqueo más pronto.

Automática

Modalidades

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

Para configurar las opciones de reintento del sistema:

  1. Configure el factor multiplicador.

  2. Configure el umbral de multiplicador.

  3. Configure la cantidad de tiempo que el dispositivo se bloquea después de intentos incorrectos.

  4. Configure el número de intentos incorrectos durante los cuales, el dispositivo puede permanecer desbloqueado.

Resultados

Desde el modo de configuración, escriba el show system login retry-options comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Confirme que la configuración funciona correctamente.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Comproba

Mostrar los inicios de sesión de usuario bloqueados

Purpose

Compruebe que la configuración de bloqueo de inicio de sesión está habilitada.

Intervención

Intente tres inicios de sesión incorrectos para un nombre de usuario determinado. El dispositivo se bloqueará para ese nombre de usuario; a continuación, inicie sesión en el dispositivo con un nombre de usuario diferente. En modo operativo, escriba el show system login lockout comando.

Efectos

Cuando se realizan tres intentos fallidos de inicio de sesión con un nombre de usuario determinado, el dispositivo queda bloqueado para ese usuario durante cinco minutos, según se ha configurado en el ejemplo. Puede comprobar que el dispositivo está bloqueado para dicho usuario iniciando sesión en el dispositivo con un nombre de usuario diferente y escribiendo show system login lockout el comando.