Junos OS permite que você defina várias configurações para os usuários quando eles fazem login em um dispositivo. Você (o administrador do sistema) pode configurar: Show
Exibir um anúncio ou mensagem de login do sistemaÀs vezes, você deseja fazer anúncios apenas para usuários autorizados após o login em um dispositivo. Por exemplo, você pode querer anunciar um próximo evento de manutenção. Em outros momentos, talvez seja apropriado exibir uma mensagem, como um aviso de segurança, a qualquer usuário que se conecte ao dispositivo. Por padrão, Junos OS não exibe nenhuma mensagem de login ou anúncio. Você pode configurar o dispositivo para exibir uma mensagem de login ou anúncio, incluindo a message declaração ou a announcement declaração no nível de [edit system login] hierarquia. Enquanto o dispositivo exibe uma mensagem de login depois que um usuário se conecta ao dispositivo, mas antes que o usuário faça login, ele só exibe um anúncio depois que o usuário faz login no dispositivo com sucesso. Você pode formatar a mensagem ou o texto de anúncio usando os seguintes caracteres especiais. Se o texto contiver espaços, inclua-o entre aspas:
Para configurar um anúncio que somente usuários autorizados podem ver e uma mensagem que qualquer usuário pode ver:
Exibir alarmes do sistema após o loginVocê pode configurar dispositivos da Juniper Networks para executar o show system alarms comando sempre que um usuário em uma determinada classe de login fizer login no dispositivo. Para exibir alarmes sempre que um usuário em uma aula de login específica fizer login no dispositivo:
Quando um usuário da determinada classe de login faz login no dispositivo, o dispositivo exibe os alarmes atuais. $ ssh Password: --- JUNOS 21.1R2.6-EVO Linux (none) 4.8.28-WR2.2.1_standard-g3999f55 #1 SMP PREEMPT Fri Jun 4 00:19:58 PDT 2021 x86_64 x86_64 x86_64 GNU/Linux 2 alarms currently active Alarm time Class Description 2021-07-22 15:00:14 PDT Minor port-1/0/0: Optics does not support configured speed 2021-07-22 15:00:14 PDT Minor port-1/0/1: Optics does not support configured speedConfigure dicas de loginVocê pode configurar a Junos OS CLI para exibir uma gorjeta sempre que um usuário da classe de login entrar no dispositivo. O dispositivo não exibe dicas por padrão. Para habilitar dicas:
Ao configurar a login-tip declaração, o dispositivo exibe uma gorjeta para qualquer usuário da classe especificada que faz login no dispositivo. $ ssh Password: JUNOS tip: In configuration mode, the [edit] banner displays the current location in the configuration hierarchy. user@host>Configure o acesso do usuário baseado no tempoVocê pode configurar dispositivos juniper networks compatíveis para aplicar o acesso de usuário baseado em tempo para usuários em uma determinada classe. O acesso do usuário baseado em tempo restringe o tempo e a duração dos logins do usuário para todos os usuários pertencentes à classe. Você pode restringir o acesso do usuário com base na hora do dia ou do dia da semana. Para restringir o acesso do usuário a determinados dias ou horários, inclua as seguintes declarações no nível de [edit system login class class-name] hierarquia:
Para configurar o acesso do usuário baseado em tempo:
Você também pode configurar o acesso para incluir dias e horários. O exemplo a seguir configura o acesso do usuário para a operator-day-shift aula de login na segunda, quarta e sexta-feira das 8h30 às 16h30: [edit system login class operator-day-shift] user@host# set allowed-days [ monday wednesday friday ] user@host# set access-start 08:30 user@host# set access-end 16:30Como alternativa, você pode especificar o tempo de início e o horário de término do login para a operator-day-shift aula de login usando o seguinte formato: [edit system login class operator-day-shift] user@host# set allowed-days [ monday wednesday friday ] user@host# set access-start 08:30am user@host# set access-end 04:30pmNota: O início e os horários finais de acesso podem se estender até as 00:00 em um determinado dia. Nesse caso, o usuário ainda tem acesso até o dia seguinte, mesmo que você não configure explicitamente esse dia na allowed-days declaração. Configure o valor de tempo limite para sessões de login ociosasUma sessão de login ociosa é aquela em que o CLI exibe o modo operacional ou o modo de configuração pronta, mas não há entrada do teclado. Por padrão, uma sessão de login permanece estabelecida até que um usuário faça logon do dispositivo, mesmo que essa sessão esteja ociosa. Para fechar sessões ociosas automaticamente, você deve configurar um limite de tempo para cada aula de login. Se uma sessão estabelecida por um usuário nessa classe permanecer ociosa pelo limite de tempo configurado, a sessão se encerrará automaticamente. Fechar automaticamente sessões de login ociosas ajuda a impedir que usuários mal-intencionados obtenham acesso ao dispositivo e realizem operações com uma conta de usuário autorizada. Você pode configurar um tempo limite ocioso apenas para aulas definidas pelo usuário. Você não pode configurar essa opção para as classes predefinidas do sistema: operatorou read-onlysuper-usersuperuserunauthorized. Para definir o valor de tempo limite para sessões de login ociosas:
Se você configurar um valor de tempo limite, o CLI exibirá mensagens semelhantes às seguintes ao cronometrar um usuário ocioso. A CLI começa a exibir essas mensagens 5 minutos antes de desconectar o usuário. user@host> Session will be closed in 5 minutes if there is no activity. Warning: session will be closed in 1 minute if there is no activity Warning: session will be closed in 10 seconds if there is no activity Idle timeout exceeded: closing sessionSe você configurar um valor de tempo limite, a sessão será encerrada após o tempo decorrido especificado, exceto nos seguintes casos:
Opções de tentativa de loginVocê pode configurar opções de tentativa de login em dispositivos da Juniper Network para proteger os dispositivos contra usuários mal-intencionados. Você pode configurar as seguintes opções:
Limitar as tentativas de login e bloquear a conta do usuário ajuda a proteger o dispositivo contra usuários mal-intencionados que tentam acessar o sistema adivinhando a senha de uma conta de usuário autorizada. Você pode desbloquear a conta do usuário ou definir um período de tempo para que a conta do usuário permaneça bloqueada. Você configura opções de tentativa de login no nível de [edit system login retry-options] hierarquia. A tries-before-disconnect declaração define o limite de tentativas de login falhadas antes que o dispositivo desconecte o usuário. O dispositivo permite três tentativas de login mal sucedidas por padrão. A lockout-period declaração instrui o dispositivo a bloquear a conta do usuário pelo tempo especificado se o usuário atingir o limite de tentativas de login mal sucedidas. O bloqueio impede que o usuário realize atividades que exigem autenticação, até que o período de bloqueio tenha sido decorrido ou que um administrador do sistema libere manualmente a fechadura. Todas as fechaduras existentes são ignoradas quando o usuário tenta fazer login no console local. Para configurar opções de tentativa de login:
Nota: Para limpar o console durante um logout iniciado pelo administrador, inclua caracteres newline (\n) quando você configurar a message declaração no nível de [edit system login] hierarquia. Para limpar completamente o console, o administrador pode inserir 50 ou mais caracteres \n na cadeia de mensagens. Por exemplo: user@host# set system login message "\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n Welcome to Junos!!!"Limite o número de tentativas de login do usuário para sessões de SSH e TelnetVocê pode limitar o número de vezes que um usuário pode tentar inserir uma senha enquanto faz login em um dispositivo por meio de SSH ou Telnet. O dispositivo encerra a conexão se um usuário não fizer login após o número de tentativas especificadas. Você também pode especificar um atraso, em segundos, antes que um usuário possa tentar inserir uma senha após uma tentativa fracassada. Além disso, você pode especificar o limite para o número de tentativas falhadas antes que o usuário experimente um atraso em poder inserir uma senha novamente. Para especificar o número de vezes que um usuário pode tentar inserir uma senha durante o login, inclua a retry-options declaração no nível de [edit system login] hierarquia: [edit system login] retry-options { tries-before-disconnect number; backoff-threshold number; backoff-factor seconds; lockout-period minutes; maximum-time seconds minimum-time seconds; }Você pode configurar as seguintes opções:
Limitar o número de tentativas de login de SSH e Telnet por usuário é um dos métodos mais eficazes para impedir que ataques de força bruta comprometam a segurança de sua rede. Os invasores de força bruta executam um grande número de tentativas de login em um curto espaço de tempo para obter acesso ilegítimo a uma rede privada. Ao configurar as retry-options declarações, você pode criar um atraso crescente após cada tentativa de login fracassada, eventualmente desconectando qualquer usuário que passe seu limite definido de tentativas de login. Para limitar as tentativas de login quando um usuário faz login por SSH ou Telnet:
Para a configuração a seguir, o usuário experimenta um atraso de 5 segundos após a segunda tentativa de inserir uma senha correta falhar. Após cada tentativa fracassada subseqüente, o atraso aumenta em 5 segundos. Após a quarta e última tentativa fracassada de inserir uma senha correta, o usuário experimenta um atraso adicional de 10 segundos. A conexão fecha após um total de 40 segundos. [edit] system { login { retry-options { backoff-threshold 2; backoff-factor 5; minimum-time 40; tries-before-disconnect 4; } } }Exemplo: Configure opções de tentativa de loginEste exemplo mostra como configurar opções de tentativa de login para proteger um dispositivo contra usuários mal-intencionados.
Visão geralUsuários mal-intencionados às vezes tentam fazer login em um dispositivo seguro adivinhando a senha de uma conta de usuário autorizada. Você pode bloquear uma conta de usuário após um certo número de tentativas de autenticação falhadas. Essa precaução ajuda a proteger dispositivos contra usuários mal-intencionados. Você pode configurar o número de tentativas de login falhadas antes que o dispositivo bloqueie a conta do usuário, e você pode configurar o tempo que a conta permanece bloqueada. Você também pode configurar a quantidade de tempo que o usuário deve esperar entre tentativas de login falhadas. Nota: Este exemplo inclui as seguintes configurações:
Nota: Se você estiver bloqueado fora do dispositivo, você pode fazer login na porta do console do dispositivo, o que ignora quaisquer fechaduras de usuário. Isso fornece uma maneira de os administradores removerem o bloqueio do usuário em sua própria conta de usuário. Este exemplo define a opção tries-before-disconnect para 3. Como resultado, o usuário tem três tentativas de fazer login no dispositivo. Se o número de tentativas de login falha for igual ao valor especificado na backoff-threshold declaração, o usuário deve esperar backoff-threshold o multiplicado pelo backoff-factor intervalo, em segundos, para obter o alerta de login. Neste exemplo, o usuário deve esperar 5 segundos após a primeira tentativa de login falha e 10 segundos após a segunda tentativa de login falhada para obter o pedido de login. O dispositivo desconecta o usuário após a terceira tentativa fracassada. Se o usuário não fizer login com sucesso após três tentativas, a conta do usuário será bloqueada. O usuário não pode fazer login até que 120 minutos tenham passado, a menos que um administrador do sistema libere manualmente a fechadura durante esse período. Um administrador de sistema pode desbloquear manualmente uma conta emitindo o clear system login lockout user <username> comando. O show system login lockout comando exibe quais contas de usuário estão bloqueadas e quando o período de bloqueio começa e termina para cada usuário. ConfiguraçãoProcedimento
Configuração rápida de CLIPara configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração. set system login retry-options backoff-factor 5 set system login retry-options backoff-threshold 1 set system login retry-options lockout-period 120 set system login retry-options tries-before-disconnect 3Procedimento passo a passoPara configurar opções de retítria do sistema:
ResultadosA partir do modo de configuração, confirme sua configuração entrando no show system login retry-options comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la. [edit] user@host# show system login retry-options tries-before-disconnect 3; backoff-threshold 1; backoff-factor 5; lockout-period 120;Se terminar de configurar o dispositivo, entre no commit modo de configuração. VerificaçãoExibir os logins bloqueados do usuário
PropósitoVerifique se a configuração de bloqueio de login está ativada. AçãoTente três logins sem sucesso para um nome de usuário específico. O dispositivo ficará bloqueado para esse nome de usuário. Em seguida, faça login no dispositivo com um nome de usuário diferente. Do modo operacional, emita o show system login lockout comando para visualizar as contas bloqueadas. user@host> show system login lockout User Lockout start Lockout end jsmith 2021-08-17 16:27:28 PDT 2021-08-17 18:27:28 PDTSignificadoDepois de realizar três tentativas de login mal sucedidas com um nome de usuário específico, o dispositivo fica bloqueado para esse usuário por 120 minutos, conforme configurado no exemplo. Você pode verificar se o dispositivo está bloqueado para esse usuário fazendo login no dispositivo com um nome de usuário diferente e entrando no show system login lockout comando. Qual comando bloqueia as tentativas de login no roteador por um período de 30 segundos se 2 tentativas de login falharem em 10 segundos?Explicação: O comando login block-for define um limite no número máximo de tentativas de login com falha permitidas dentro de um período de tempo definido.
Qual tipo de acesso está protegido em um roteador ou switch Cisco com o comando enable secret?O comando enable secret fornece maior segurança porque a senha está criptografada. O exemplo na figura ilustra como uma senha não é solicitada ao usar primeiro o comando enable. Em seguida, o comando enable secret class é configurado e agora o acesso EXEC privilegiado está protegido.
Qual comando deve ser configurado no roteador para concluir a configuração do SSH?As chaves secretas unidirecionais devem ser geradas para que um roteador criptografe o tráfego SSH. A chave é a que é de fato utilizada para criptografar e descriptografar dados. Para criar uma chave de criptografia, use o comando crypto key generate rsa general-keys modulus modulus-size no modo de configuração global.
Qual e o efeito de usar o comando router copy running config startup config em um roteador?Explicação: O comando copy running-config startup-config copia o arquivo de configuração de execução da RAM para NVRAM e o salva como o arquivo de configuração de inicialização. Como a NVRAM é uma memória não volátil, ela será capaz de reter os detalhes da configuração quando o roteador for desligado.
|