• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

ssh登录尝试限制不生效,如何进行锁定

2020-09-24提问
  • 0关注
  • 1收藏,1762浏览
粉丝:1人 关注:0人

问题描述:

设置列表

  • 有序列表
  • 无序列表

设备型号是H3C SR6608,



ssh默认是限制尝试3次,现在设备日志中有被暴力破解的记录,请问如何设置可以让尝试3次全错后,锁定5分钟?

组网及组网描述:


最佳答案

已采纳
粉丝:15人 关注:2人

1、针对全部的登陆用户做限制,需要在全局配置密码策略:

[H3C]password-control enable //开启密码策略

[H3C]password-control aging enable //开启密码有效期的策略

[H3C]password-control aging 90 //配置密码有效的时间为90天

[H3C]password-control length enable //开启密码长度的限制

[H3C]password-control length 16 // 配置密码长度最小为16位

[H3C]password-control login-attempt 10 exceed lock-time 10 //配置密码可尝试的失败次数为10次,10次失败以后被锁定10分钟后方可继续尝试



2、针对某个用户做限制,需要在具体用户试图下做配置:

[H3C]password-control enable //开启密码策略

[H3C]local-user admin //创建admin用户

[H3C-luser-manage-admin]password-control aging 90 //配置admin用户密码有效期为90天

[H3C-luser-manage-admin]password-control length 8 //配置admin用户密码长度最小为8位

[H3C-luser-manage-admin]password-control login-attempt 10 exceed lock-time 5 //配置admin用户的密码可尝试的失败次数为10次,10次失败以后被锁5分钟后方可继续尝试



可以看看ssh用哪个用户登录,并针对那个用户限制

暂无评论

1 个回答
粉丝:121人 关注:6人

您好,请知:

可以使用密码策略来实现,以下是配置举例,请参考:

1.11  Password Control典型配置举例

1.11.1  Password Control基础配置举例

1. 组网需求

有以下密码管理需求:

·     全局密码管理策略:用户2次登录失败后就永久禁止登录;最小密码长度为16个字符,密码老化时间为30天;允许用户进行密码更新的最小时间间隔为36小时;密码过期后60天内允许登录5次;用户帐号的闲置时间为30天;不允许密码中包含用户名或者字符顺序颠倒的用户名;不允许密码中包含连续三个或以上相同字符;密码元素的最少组合类型为4种,至少要包含每种元素的个数为4个。

·     切换到用户角色network-operator时使用的super密码管理策略:最小密码长度为24个字符,密码元素的最少组合类型为4种,至少要包含每种元素的个数为5个。

·     本地Telnet用户test的密码管理策略:最小密码长度为24个字符,密码元素的最少组合类型为4种,至少要包含每种元素的个数为5个,密码老化时间为20天。

2. 配置步骤

 

# 开启全局密码管理功能。

<Sysname> system-view

[Sysname] password-control enable

# 配置用户2次登录失败后就永久禁止该用户登录。

[Sysname] password-control login-attempt 2 exceed lock

# 配置全局的密码老化时间为30天。

[Sysname] password-control aging 30

# 配置全局的密码的最小长度为16。

[Sysname] password-control length 16

# 配置密码更新的最小时间间隔为36小时。

[Sysname] password-control update-interval 36

# 配置用户密码过期后的60天内允许登录5次。

[Sysname] password-control expired-user-login delay 60 times 5

# 配置用户帐号的闲置时间为30天。

[Sysname] password-control login idle-time 30

# 开启在配置的密码中检查包含用户名或者字符顺序颠倒的用户名的功能。

[Sysname] password-control complexity user-name check

# 开启在配置的密码中检查包含连续三个或以上相同字符的功能。

[Sysname] password-control complexity same-character check

#配置全局的密码元素的最少组合类型为4种,至少要包含每种元素的个数为4个。

[Sysname] password-control composition type-number 4 type-length 4

# 配置super密码的最小长度为24。

[Sysname] password-control super length 24

# 配置super密码元素的最少组合类型为4种,至少要包含每种元素的个数为5个。

[Sysname] password-control super composition type-number 4 type-length 5

# 配置切换到用户角色network-operator时使用的super密码为明文123456789ABGFTweuix@#$%!。

[Sysname] super password role network-operator simple 123456789ABGFTweuix@#$%!

# 添加设备管理类本地用户test。

[Sysname] local-user test class manage

# 配置本地用户的服务类型为Telnet。

[Sysname-luser-manage-test] service-type telnet

# 配置本地用户的最小密码长度为24个字符。

[Sysname-luser-manage-test] password-control length 24

# 配置本地用户的密码元素的最少组合类型为4种,至少要包含每种元素的个数为5个。

[Sysname-luser-manage-test] password-control composition type-number 4 type-length 5

# 配置本地用户的密码老化时间为20天。

[Sysname-luser-manage-test] password-control aging 20

# 以交互式方式配置本地用户密码。

[Sysname-luser-manage-test] password

Password:

Confirm :

Updating user information. Please wait ... ...

[Sysname-luser-manage-test] quit

3. 验证配置

# 可通过如下命令查看全局密码管理的配置信息。

<Sysname> display password-control

 Global password control configurations:

 Password control:                     Enabled

 Password aging:                       Enabled (30 days)

 Password length:                      Enabled (16 characters)

 Password composition:                 Enabled (4 types, 4 characters per type)

 Password history:                     Enabled (max history record:4)

 Early notice on password expiration: 7 days

 Maximum login attempts:               2

 Action for exceeding login attempts:  Lock

 Minimum interval between two updates: 36 hours

 User account idle time:               30 days

 Logins with aged password:            5 times in 60 days

 Password complexity:                  Enabled (username checking)

                                       Enabled (repeated characters checking)

 Password change:                      Enabled (first login)

# 可通过如下命令查看super密码管理的配置信息。

<Sysname> display password-control super

 Super password control configurations:

 Password aging:                       Enabled (90 days)

 Password length:                      Enabled (24 characters)

 Password composition:                 Enabled (4 types, 5 characters per type)

# 可通过如下命令查看到本地用户密码管理的配置信息。

<Sysname> display local-user user-name test class manage

Total 1 local users matched.

 

Device management user test:

  State:                     Active

  Service type:              Telnet

  User group:                system

  Bind attributes:

  Authorization attributes:

    Work directory:          flash:

    User role list:          network-operator

  Password control configurations:

    Password aging:          20 days

    Password length:         24 characters

    Password composition:    4 types, 5 characters per type

 


以下是密码策略的用户手册连接:

https://www.h3c.com/cn/d_202006/1309354_30005_0.htm#_Toc43886386

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明