Juniper SRX (Junos OS) 建立自訂的帳戶類別(login class)

-

Juniper SRX (Junos OS) 建立自訂的帳戶類別(login class)

為何我們需要建立自訂的帳戶類別(login class)?
我們可以從下列之訊息來了解:
root@srx210# set system login user admin class ?
Possible completions:
  <class>              Login class
  operator             permissions [ clear network reset trace view ]
  read-only            permissions [ view ]
  super-user           permissions [ all ]
  unauthorized         permissions [ none ]
[edit]

root@srx210#

我們可以看到預設的帳戶類別只有四種,且權限太少不敷使用。
所以我們需要自訂新的帳戶類別才能符合我們的需求,如下:

login {
    /*這類用戶只能查看統計和配置。 他們不允許修改任何配置。 */
    class viewers {
        idle-timeout 5;
        permissions [ configure firewall interface network routing snmp system trace view];
    }
    /*這類用戶可以查看和修改配置。 */
    class operators {
        idle-timeout 5;
        permissions [admin clear configure interface interface-control network reset routing routing-control snmp snmp-control trace-control firewall-control rollback];
    }
    /*這類用戶有無限的訪問和控制。 */
    class administrators {
        idle-timeout 5;
        permissions all;
    }
}

login {
    /* 這是本地超級用戶帳戶。 如果RADIUS驗證伺服器故障或無法訪問,請恢復使用路由器上的本地帳戶。 */
    user admin {
        uid 1000;
        class administrators;
        authentication {
            ssh-dsa “XXXXXXXXXXXXX”; # Secure shell (ssh) RSA public key string
        }
    }
    /* 以下為三種帳戶類別樣版的使用範例。 */
    user user-viewers {
        uid 1001;
        class viewers;
    }
    user user-operators {
        uid 1002;
        class operators;
    }
    user user-admin {
        uid 1003;
        class administrators;
    }

}


下列為上述之CLI命令,如下:
set system login class administrators idle-timeout 5
set system login class administrators permissions all
set system login class operators idle-timeout 5
set system login class operators permissions admin
set system login class operators permissions clear
set system login class operators permissions configure
set system login class operators permissions firewall-control
set system login class operators permissions interface
set system login class operators permissions interface-control
set system login class operators permissions network
set system login class operators permissions reset
set system login class operators permissions rollback
set system login class operators permissions routing
set system login class operators permissions routing-control
set system login class operators permissions snmp
set system login class operators permissions snmp-control
set system login class operators permissions trace-control
set system login class viewers idle-timeout 5
set system login class viewers permissions configure
set system login class viewers permissions firewall
set system login class viewers permissions interface
set system login class viewers permissions network
set system login class viewers permissions routing
set system login class viewers permissions snmp
set system login class viewers permissions system
set system login class viewers permissions trace
set system login class viewers permissions view
set system login user user-admin uid 1003
set system login user user-admin class administrators
set system login user user-operators uid 1002
set system login user user-operators class operators
set system login user user-viewers uid 1001
set system login user user-viewers class viewers


Juniper SRX服務網關必須確保啟動UNIXshell的訪問僅限於root帳戶。
限制創建UNIXshell的權限限制了對這個強大功能的訪問。 系統管理員無論其他權限如何,都需要知道此訪問的root密碼,從而限制惡意或意外規避安全控制的可能性。
驗證每個login class是否配置為拒絕訪問UNIX shell
[edit]
show system login
shell, maintenance, all,

If each configured login class is not configured to deny access to the UNIX shell, this is a finding.

將以下命令添加到每個登錄類login class中。
set system login class administrators deny-commands "start shell"
set system login class operators deny-commands "start shell"
set system login class viewers deny-commands "start shell"

root@srx210# set system login user admin class ?   //我們可以看到多出三個自訂類別
Possible completions:
  <class>              Login class
  administrators
  operator             permissions [ clear network reset trace view ]
  operators
  read-only            permissions [ view ]
  super-user           permissions [ all ]
  unauthorized         permissions [ none ]
  viewers
[edit]

root@srx210#


了解管理角色Administrative Roles
系統用戶可以是允許用戶充當系統的特定管理員的類的成員。
要求查看或修改項目的特定角色限制了用戶可以從系統獲得的信息範圍。
它還限制了系統對用戶有意或無意的修改或觀察開放的程度。
我們建議您在設計管理角色時使用以下準則:
    不允許任何用戶以root身份登錄系統。
    將每個用戶限制為執行用戶職責所需的最小權限集。
    不允許任何用戶屬於包含shell權限標誌的登錄類。 shell權限標誌允許用戶從CLI運行啟動shell命令。
    允許用戶擁有回滾權限。回滾權限允許用戶撤消由管理員執行的操作,但不允許他們提交更改。

您可以通過將登錄類配置為具有該角色所需的權限來為用戶分配管理角色。您可以配置每個類以允許或拒絕按名稱訪問配置語句和命令。這些特定的限制覆蓋並優先於在該類中也配置的任何權限標誌。您可以將以下某個角色屬性分配給管理用戶。
    加密管理員Crypto-administrator - 允許用戶配置和監視加密數據。
    安全管理員Security-administrator - 允許用戶配置和監控安全數據。
    審計管理員Audit-administrator - 允許用戶配置和監視審計數據。
    入侵偵測管理員IDS-administrator - 允許用戶監視和清除入侵檢測服務(IDS - intrusion detection service)安全日誌。

您需要在為這些管理角色創建的類中設置security-role屬性。此屬性限制哪些用戶可以顯示和清除安全日誌,這些操作不能通過配置單獨執行。
例如,如果要限制清除並向IDS管理員角色顯示IDS日誌,則需要在為IDS管理員角色創建的ids-admin類中設置security-role屬性。同樣,您需要將安全角色設置為其他管理員值之一,以限制該類無法清除並僅顯示非IDS日誌。

注意:當用戶刪除現有配置時,已刪除配置(即,用戶無權修改的子對象)的層次結構下的配置語句現在保留在設備中。

關於login class operators security-role的相關說明請參考下列之原廠連結:
Understanding Administrative Roles
Example: Configuring Administrative Roles




配置基於時間的用戶訪問Configuring Time-Based User Access

我們可以在用戶登入類別中指定用戶可以在一個星期的哪幾天登入系統。
[edit system]
login {
    class class-name {
        allowed-days [ days-of-the-week ];   /* [ monday tuesday wednesday thursday friday saturday sunday ] */
    }
}

我們可以在用戶登入類別中指定用戶可以在一天的哪個時段登入系統。
[edit system]
login {
    class class-name {
        access-start HH:MM;
        access-end HH:MM;
    }
}

我們可以在用戶登入類別中指定用戶可以在一個星期的哪幾天中的哪個時段來登入系統。
[edit system]
login {
    class class-name {
        allowed-days [ days-of-the-week ];
        access-start HH:MM;
        access-end HH:MM;
    }
}

下面為設定範例。
[edit system]
login {
    class operator-day-shift {
        allowed-days [ monday wednesday friday ];
        access-start 0830;
        access-end 1630;
    }

}



配置本地管理員帳戶 Local Administrator Account
超級用戶權限授予用戶在路由器上使用任何命令的權限,並且通常為特定少數用戶(例如係統管理員)預留。 使用密碼保護本地管理員帳戶非常重要,以防止未經授權的用戶訪問可用於更改系統配置的超級用戶命令。 即使使用RADIUS身份驗證的用戶也應配置本地密碼。 如果RADIUS失敗或無法訪問,登錄過程將恢復為本地管理員帳戶的密碼驗證。

[edit]
system {
    login {
        user admin {
            uid 1000;
            class superuser;
            authentication {
                encrypted-password "<PASSWORD>"; # SECRET-DATA
            }
        }
    }

}



root@srx100-a# set system login class operators ?
Possible completions:
  access-end           End time for remote access (hh:mm)
  access-start         Start time for remote access (hh:mm)
  allow-commands       Regular expression for commands to allow explicitly
  allow-configuration  Regular expression for configure to allow explicitly
+ allow-configuration-regexps  Object path regular expressions to allow
+ allowed-days         Day(s) of week when access is allowed.
+ apply-groups         Groups from which to inherit configuration data
+ apply-groups-except  Don't inherit configuration data from these groups
  deny-commands        Regular expression for commands to deny explicitly
  deny-configuration   Regular expression for configure to deny explicitly
+ deny-configuration-regexps  Object path regular expressions to deny
  idle-timeout         Maximum idle time before logout (minutes)
  login-alarms         Display system alarms when logging in
  login-script         Execute this login-script when logging in
  login-tip            Display tip when logging in
+ permissions          Set of permitted operation categories
  security-role        Common Criteria security role
[edit]
root@srx100-a# set system login class operators security-role ?
Possible completions:
  audit-administrator  Audit administrator
  crypto-administrator  Cryptographic administrator
  ids-administrator    IDS administrator
  security-administrator  Security administrator
[edit]

root@srx100-a#


下列為所有可用的權限選項示範:
set system login class CLI-ALL permissions access
set system login class CLI-ALL permissions access-control
set system login class CLI-ALL permissions admin
set system login class CLI-ALL permissions admin-control
set system login class CLI-ALL permissions clear
set system login class CLI-ALL permissions configure
set system login class CLI-ALL permissions control
set system login class CLI-ALL permissions field
set system login class CLI-ALL permissions firewall
set system login class CLI-ALL permissions firewall-control
set system login class CLI-ALL permissions floppy
set system login class CLI-ALL permissions flow-tap
set system login class CLI-ALL permissions flow-tap-control
set system login class CLI-ALL permissions idp-profiler-operation
set system login class CLI-ALL permissions interface
set system login class CLI-ALL permissions interface-control
set system login class CLI-ALL permissions maintenance
set system login class CLI-ALL permissions network
set system login class CLI-ALL permissions pgcp-session-mirroring
set system login class CLI-ALL permissions pgcp-session-mirroring-control
set system login class CLI-ALL permissions reset
set system login class CLI-ALL permissions rollback
set system login class CLI-ALL permissions routing
set system login class CLI-ALL permissions routing-control
set system login class CLI-ALL permissions secret
set system login class CLI-ALL permissions secret-control
set system login class CLI-ALL permissions security
set system login class CLI-ALL permissions security-control
set system login class CLI-ALL permissions shell
set system login class CLI-ALL permissions snmp
set system login class CLI-ALL permissions snmp-control
set system login class CLI-ALL permissions system
set system login class CLI-ALL permissions system-control
set system login class CLI-ALL permissions trace
set system login class CLI-ALL permissions trace-control
set system login class CLI-ALL permissions view

root@srx100# run show cli authorization | no-more
Current user: 'root        ' class 'super-user'
Permissions:
    admin       -- Can view user accounts
    admin-control-- Can modify user accounts
    clear       -- Can clear learned network info
    control     -- Can modify any config
    edit        -- Can edit full files
    field       -- Can use field debug commands
    floppy      -- Can read and write the floppy
    interface   -- Can view interface configuration
    interface-control-- Can modify interface configuration
    network     -- Can access the network
    reset       -- Can reset/restart interfaces and daemons
    routing     -- Can view routing configuration
    routing-control-- Can modify routing configuration
    shell       -- Can start a local shell
    snmp        -- Can view SNMP configuration
    snmp-control-- Can modify SNMP configuration
    system      -- Can view system configuration
    system-control-- Can modify system configuration
    trace       -- Can view trace file settings
    trace-control-- Can modify trace file settings
    view        -- Can view current values and statistics
    maintenance -- Can become the super-user
    firewall    -- Can view firewall configuration
    firewall-control-- Can modify firewall configuration
    secret      -- Can view secret statements
    secret-control-- Can modify secret statements
    rollback    -- Can rollback to previous configurations
    security    -- Can view security configuration
    security-control-- Can modify security configuration
    access      -- Can view access configuration
    access-control-- Can modify access configuration
    view-configuration-- Can view all configuration (not including secrets)
    flow-tap    -- Can view flow-tap configuration
    flow-tap-control-- Can modify flow-tap configuration
    idp-profiler-operation-- Can Profiler data
    pgcp-session-mirroring-- Can view pgcp session mirroring configuration
    pgcp-session-mirroring-control-- Can modify pgcp session mirroring configuration
    storage     -- Can view fibre channel storage protocol configuration
    storage-control-- Can modify fibre channel storage protocol configuration
    all-control -- Can modify any configuration Individual command authorization:
    Allow regular expression: none
    Deny regular expression: none
    Allow configuration regular expression: none
    Deny configuration regular expression: none
[edit]

root@srx100#



關於每個權限的作用及可執行的CLI命令,請自行參考下列之網路連結:
用戶訪問權限的權限旗標Permission Flags for User Access Privileges

User Access and Authentication Feature Guide.pdf


root@srx210> show system login lockout
User accounts not locked

root@srx210> clear system login lockout all
root@srx210> clear system login lockout user admin
root@srx100> clear system login lockout ?
Possible completions:
  all                  Clear login locks on all user acounts
  user                 Name of user
root@srx100>

root@srx210# set system login class super-user-local security-role ?
Possible completions:
  audit-administrator  Audit administrator
  crypto-administrator  Cryptographic administrator
  ids-administrator    IDS administrator
  security-administrator  Security administrator
[edit]
root@srx210#


    login {
        retry-options {
            tries-before-disconnect 10;
            backoff-threshold 3;
            backoff-factor 5;
            minimum-time 30;
            maximum-time 60;
            lockout-period 30;
        }
        class super-user-local {
            permissions all;
            deny-commands "start shell";
            security-role audit-administrator;
        }
        user admin {
            uid 2002;
            class super-user;
            authentication {
                encrypted-password "$1$/kEYr1te$1jXrS/VuKbRtcjsPsxgPp/";
            }
        }
        user charlie {
            uid 2000;
            class super-user-local;
            authentication {
                encrypted-password "$1$XzgnKCCe$.G.oEnvNwI.Ad7aX.wup60";
            }
        }

    }



這個網誌中的熱門文章

如何測試網路連線--網路斷線了怎麼辦?

-
圖片
如何測試網路連線--網路斷線了怎麼辦? 如何測試網路連線 -- 網路不通了 DIY 自行檢測網路連線 當我們打開電腦,卻發現無法上網了,這時候我們該怎麼辦呢 ? 如果在公司的話,我們可以請電腦人員來處理,而若是在家裡,我們就必須 DIY 先自行檢查一遍,如果檢查後仍然不能上網的話,我們也只能請朋友或是廠商來維修了。 而我們又要如何 DIY 先自行檢查呢 ? 請您依照下列步驟來進行: 第一步:進入 DOS 命令列模式。 按 " 視窗鍵 +R 鍵 " ,開啟執行視窗並輸入 " cmd " 後按 enter 鍵來進入 DOS 命令列模式。 第二步:檢查 ip 是否正常。 請輸入 " ipconfig " 來 檢查有無取得正常 IP 或是 IP 設定是否正確。 若電腦要上網,則每台電腦 一 定都要配有一個 IP 位址才行,本例的 IP 位址為 192.168.1.11 。 而 IP 位址分成 公共 IP 與 私有 IP 兩種, 只有公共 IP 才能上網 ( 網際網路 ) ,私有 IP 是無法直接上網的,私有 IP 只能在區域網路中使用 。而因為公共 IP 太少,所以要搭配私有 IP 來上網才行,這樣就可以達到以 100 台電腦,或是以 10000 台電腦,使用私有 IP 經過網路設備的轉換而達成只需使用 1 個公共 IP 就能讓大家一起上網的目的了。 私有 IP 無法直接連接網際網路,需要使用 網絡地址轉換( Network Address Translator , NAT ) 或者 代理伺服器   ( proxy server ) 來實現。與公網 IP 相比,私有 IP 是免費的,同時節省了 IP 位址資源,適合在區域網使用。私有 IP 常被用於家庭,學校和企業的區域網。 私有 IP 的範圍: 192.168.XX. XX 172.16. XX.XX – - 172.31. XX.XX 10. XX.XX.XX 我們只要看到 IP 位址開頭為上述範圍的 IP ,就表示您的 IP 為私有 IP 。 還有一種 ip 位址為 169.254. X.X , 這種
閱讀完整內容

筆記電腦刷BIOS失敗無法開機—用CH341A編程器重刷BIOS教學!

-
圖片
ASUS 筆記電腦更新 BIOS 失敗無法開機 —用 CH341A 編程 器重刷 BIOS 教學! 前一陣子買了一台新的筆記電腦 (∩_∩) ,因此讓跟了我多年的 ASUS A42JA 筆電因此就被束之高閣沒有再被使用了 ヽ (´ ー ` )┌ ,後來想說反正放著不用也是浪費,乾脆就整理一下拿到拍賣網站給便宜賣掉算了 (¬ ‿ ¬) ,於是便動手開始移除個人的資料, 把 WINDOWS 7 系統還原到出廠狀態,順便一起更新 BIOS 的版本 ,而更新的過程很順利,在寫入 100% 後便自行重開機,重開機後小弟發現電源燈與硬碟燈皆恆亮,且螢幕沒有畫面,但小弟當然得等著它繼續開機更新 BIOS ,可是 2 分鐘 .. , 5 分鐘過了 .. ,情況還是一樣,此時心中不禁起了疑惑   (• ิ _• ิ )? ,不會吧 ! 會不會更新失敗了 ? 難道這麼倒楣的事都讓小弟我給碰上了 ? 一直等到十分鐘過後,小弟我終於失去耐性了,便下定決心長按電源鍵來讓筆記電腦強行關機   ( ╯‵ □′) ╯ ︵ ╧═╧ ,然後再開機,結果依然還是沒有畫面,電源燈與硬碟燈都恆亮的情況,小弟仍不死心的又重試了幾次,問題最後終於明朗化了,他媽的 BIOS 真的更新失敗了,對小弟來說一直是傳說中的問題竟被我給遇上了 !!!   。゜゜ (´ O `) ゜゜。 因為這台 ASUS A42JA 筆電已購置多年,早就過保固了,因此小弟先上網 GOOGLE 下,發現這類問題 ASUS 原廠通常是換主機板(這是在論壇上討論的內容),且一片要價 $5000 元   ( ⊙ _ ⊙ ) ,所以送回原廠維修的方案小弟就不考慮了(超出了筆電的價值沒有維修的必要),小弟接著再努力的 GOOGLE 幾下,終於發現 BIOS 更新失敗後似乎可以自行使用燒錄器來重刷 BIOS  (¬_¬;) ,於是這便成為小弟唯一可行的解決方案了。 從網路上找到的刷 BIOS 案例中,發現大多是使用 ”CH341A 編程器 ( 燒錄器 ) ” 來進行燒錄作業,其基本作法是用烙鐵將主機板上的 BIOS 晶片( 芯片 ) 拆下,再用 CH341A 燒錄器將原廠下載的 BIOS 檔案燒入芯片中,最後再將 BIOS 芯片焊接回筆電主機板上。而因為小弟也是電子相關科系出身,也曾拿烙鐵來焊接電子零件,所以
閱讀完整內容

INTEL XTU使用教學以及對筆電應具備的XTU設定概念

-
圖片
INTEL XTU 使用教學以及對筆電應具備的 XTU 設定概念 這篇文章除了教您如何使用 Intel XTU 之外,還告訴您許多 XTU 設定上的觀念,以及如何使用 XTU 來優化您的筆電等,在文中還有新、舊版本的 Intel XTU 開機自啟動相關的設定方法提供給大家來參考看看。 本篇文章主要是從初學者的角度出發來撰寫的,所以內容較為初淺,且繁雜,尚請各位大大多多體諒 ! 內容多為網路上蒐集而來,由小弟加以整理並加入個人的看法,若有校稿不力或是觀念錯誤的地方,尚請各位大大不吝指正,小弟必盡速更正 ! 在此先萬分感謝各位大大的愛護與支持,感謝您 !   內文開始   Intel 原廠網站是這樣說明的: Intel® 極致調整公用程式( Intel ® Extreme Tuning Utility - Intel® XTU )是一種簡易的 Windows 效能調整應用程式,可讓新手和經驗豐富的愛好者超頻、監控和壓力系統。軟體介面有一系列強大的功能,在大部分玩家平臺中都很常見。這種介面在新的 Intel® 處理器和主機板上也有特殊功能。 PS:上面這段話的意思是 -- Intel XTU 是 Intel 所推出的 一種簡易的 Windows 效能調整應用程式,透過對 CPU 電壓與功耗限制等的調整,可讓新手和經驗豐富的愛好者來對 Intel CPU 進行 超頻 、 監控 和 做壓力測試 。以小弟的電腦來說, CPU 經過 XTU 適當的調教之後,可以憑空增加約 30% 左右的效能,這可是得多花好幾千塊錢買更好的電腦才辦的到的事哦 ! 適用於下列產品。     Intel® Core™ i3-7350K 處理器 ( 4M 快取記憶體, 4.20 GHz)     Intel® Core™ i3-8350K 處理器( 8M 快取記憶體, 4.00 GHz )     Intel® Core™ i3-9350K 處理器( 8M 快取記憶體,最高 4.60 GHz )     Intel® Core™ i3-9350KF 處理器( 8M 快取記憶體,最高 4.60 GHz )     Intel® Core™ i5-3570K 處理器 ( 6M 快取記憶體,最高 3.80 GHz)     I
閱讀完整內容