強化Juniper SRX (Junos OS)帳戶登入的安全
強化Juniper SRX (Junos OS)帳戶登入的安全
強化帳戶登入的安全的目的是為了大大降低帳戶被暴力密碼破解的風險。我們可以分成兩個部分來敘述:強制執行密碼的複雜性
以及設定login retry-options,來大大降低帳戶被暴力密碼破解的風險。
強制執行密碼的複雜性
。設置一個複雜且冗長的密碼,一直都是提高帳號安全性最基本的方法,但是為了怕有人偷懶而造成安全性漏洞,所以我們要設定強制執行密碼的複雜性。
set system login password
minimum-length 16
set system login password
maximum-length 50
set system login password change-type
character-sets
set system login password
minimum-changes 4
通過將密碼character-set設置為字元集來強制執行密碼複雜性。
如果為change-type選項配置了character-set語句,則minimum-changes必須為5或更小,
Junos操作系統僅支援5個字元集(小寫字母,大寫字母,數字,標點符號和以下特殊字元: !@#$%^&*,+ <>:;)。
minimum-changes:指定密碼需要多少個字元集或字元集更改。 如果您不使用minimum-changes語句,則不會為Junos OS檢查字元集。
root@srx100#
set system
login password change-type ?
Possible
completions:
character-sets Count number of character type //計算字元類型的數量(若為4,則密碼中至少必須包含四種字元才行)
set-transitions Count changes in character type //計算字元類型的變化
[edit]
root@srx100#
set system
login password minimum-numerics 1 數字字元
set system
login password minimum-upper-cases 1 大寫字母
set system
login password minimum-lower-cases 1 小寫字母
set system
login password minimum-punctuations 1 特殊字元
上述灰色的部分Juniper SRX100/210設備不支援但是我們可以透過設定minimum-changes來達成相同的目的。root@srx100# set system login password ?Possible completions:+ apply-groups Groups
from which to inherit configuration data+ apply-groups-except Don't
inherit configuration data from these groups change-type Password change type format Encryption method to use for
password //用於密碼的加密方法 maximum-length Maximum password length for all users
(20..128) minimum-changes Minimum number of changes in
password //指定密碼需要多少個字元集或字元集更改 minimum-length Minimum password length for all users
(6..20)[edit]root@srx100#
設定login retry-options以降低暴力密碼破解的風險。
login retry-options最主要是設定帳戶登入失敗後,其重試間隔、最大重試次數、帳號鎖死間隔等參數,將時間間隔加大可以大大降低被暴力密碼破解的風險,但是若是設定過於嚴苛,也會造成用戶及管理上的困擾,
而如何去斟酌,則根據實際工作環境的要求而定。
set system
login retry-options tries-before-disconnect 6
//登錄失敗可以嘗試的次數,超過鎖定帳戶
set system
login retry-options backoff-threshold 2
//登錄失敗超過此數值後backoff-factor才開始作用
set system
login retry-options backoff-factor 5
//登錄失敗後的累加延遲時間,每次累加此數值
set system
login retry-options lockout-period 30
//帳戶鎖定時間(以分鐘為單位)
set system
login retry-options maximum-time 30
//登錄設備尚未輸入資料前的等待時間,超過斷線
set system
login retry-options minimum-time 120
//登錄設備輸入資料後的總等待時間,超過斷線
backoff-factor – 設置每次登錄嘗試失敗後的延遲時間(以秒為單位)。當用戶錯誤地登錄設備時,用戶必須等待配置的時間量才能再次嘗試登錄設備。對於在backoff-threshold語句中指定的值之後的每個後續登錄嘗試,延遲的長度都會增加此值。此語句的默認值為5秒,範圍為5到10秒。
backoff-threshold – 在用戶嘗試重新輸入密碼時遇到延遲之前,設置設備上失敗登錄嘗試次數的閾值。當用戶錯誤地登錄到設備並達到失敗登錄嘗試的閾值時,用戶在嘗試再次登錄到設備之前遇到在退避因素語句中設置的延遲。此語句的默認值為2,範圍為1到3。
lockout-period – 設置用戶在嘗試登錄設備之後由於在斷開之前斷開連接語句中指定的失敗登錄嘗試次數而被鎖定之後的時間量(以分鐘為單位)。當用戶嘗試嘗試登錄設備之前,必須等待配置的分鐘數後,如果用戶在嘗試斷開連接語句所指定的允許嘗試次數後未能正確登錄,鎖定時間必須大於零。您可以配置鎖定期間的範圍是1到4300分鐘。
tries-before-disconnect – 設置允許用戶輸入密碼以嘗試通過SSH或Telnet登錄設備的最大次數。當用戶達到失敗登錄嘗試的最大次數時,用戶被鎖定在設備外。在嘗試登錄到設備之前,用戶必須在鎖定期間語句中等待配置的分鐘數。當設置鎖定週期語句時,必須設置"先斷後斷"語句;否則,停工期聲明是沒有意義的。默認的嘗試次數是十次,範圍為一到十次。
maximum-time – 等待用戶輸入用戶名和密碼的時間(秒),超過未輸入則斷線
minimum-time – 如果所有嘗試失敗,則最小總連接時間(秒),超過此時間仍未登入則斷線
設定密碼加密方式。
密碼需要始終受到保護,加密是保護密碼的標準方法。 如果密碼未加密,則我們可以清楚地在設定檔中看到它們(即明文),否則您只能看到一堆亂碼而已。 密碼格式命令是一個可選命令,用於指定用於驗證密碼的雜湊演算法。 選項是MD5,SHA1或DES。 推薦使用SHA1,因為它是FIPS認可的演算法,並提供更強的安全性。
set system
login password format sha1
當帳號被srx設被鎖死時。
show
system login lockout
clear
system login lockout <username>
一旦用戶被鎖定在設備外,如果您是安全管理員,則可以使用clear
system login lockout <username> 命令將用戶從此狀態手動刪除。您還可以使用show
system login lockout命令查看哪些用戶當前被鎖定,每個用戶的鎖定期限何時開始,以及每個用戶的鎖定期結束。
如果安全管理員被鎖定在設備外,他可以從console埠登錄設備,該埠忽略任何用戶鎖定。這為管理員提供了一種方法來刪除用戶帳戶上的用戶鎖定。
