Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

로그인 설정

Junos OS 사용자가 디바이스에 로그인할 때 사용자에 대한 다양한 설정을 정의할 수 있습니다. 시스템 관리자는 다음을 구성할 수 있습니다.

  • 로그인 전후에 표시할 메시지 또는 공지사항
  • 로그인 시 시스템 알람 표시 여부
  • 로그인 팁
  • 시간 기반 사용자 액세스
  • 유휴 세션에 대한 시간 제한 값
  • 로그인 시도 횟수 제한
  • 인증 시도 실패 횟수 후 사용자 계정을 잠글 것인지 여부

시스템 로그인 알림 또는 메시지 표시

인증된 사용자가 디바이스에 로그인한 후에만 공지를 하고 싶을 때가 있습니다. 예를 들어 예정된 유지 관리 이벤트를 알릴 수 있습니다. 다른 경우에는 디바이스에 연결하는 모든 사용자에게 보안 경고와 같은 메시지를 표시하는 것이 적절할 수 있습니다.

기본적으로 로그인 Junos OS 메시지나 알림을 표시하지 않습니다. 계층 수준에서 문 또는 문을 [edit system login] 포함하여 message 로그인 메시지 또는 announcement 알림을 표시하도록 디바이스를 구성할 수 있습니다. 디바이스는 사용자가 디바이스에 연결한 후 사용자가 로그인하기 전에 로그인을 표시하는 반면, 사용자가 디바이스에 성공적으로 로그인한 후에만 로그인 message 을 표시합니다 announcement .

다음과 같은 특수 문자를 사용하여 메시지 또는 공지 사항 텍스트의 서식을 지정할 수 있습니다. 텍스트에 공백이 있으면, 따옴표로 묶으십시오:

  • \n - 줄 바꿈

  • \t - 가로 탭

  • \' - 작은따옴표

  • \" - 큰따옴표

  • \\ - 백슬래시

권한 있는 사용자만 볼 수 있는 알림과 모든 사용자가 볼 수 있는 메시지를 구성하려면,

  1. announcement 계층 수준에서 명령문과 message 명령문을 [edit system login] 포함합니다.

    예:

  2. 구성을 커밋합니다.
  3. 디바이스에 연결하여 새 메시지가 있는지 확인합니다.

    앞의 구성 예제에서는 사용자가 디바이스에 연결한 후 다음과 같은 로그인 메시지를 표시합니다. 이 예제에서는 사용자가 로그인한 후 알림을 표시합니다.

로그인 시 시스템 알람 표시

지정된 로그인 클래스의 사용자가 디바이스에 로그인할 때마다 명령을 실행 show system alarms 하도록 주니퍼 네트웍스 디바이스를 구성할 수 있습니다.

특정 로그인 클래스의 사용자가 디바이스에 로그인할 때마다 경보를 표시하려면 다음을 수행합니다.

  1. login-alarms 적절한 로그인 클래스에 대한 문을 구성합니다.

    예를 들어, 로그인 클래스의 사용자가 admin 디바이스에 로그인할 때마다 알람을 표시하려면 다음을 수행합니다.

  2. 구성을 커밋합니다.

지정된 로그인 클래스의 사용자가 디바이스에 로그인하면 디바이스에 현재 알람이 표시됩니다.

로그인 팁 구성

지정된 로그인 클래스의 사용자가 디바이스에 로그인할 때마다 팁을 표시하도록 CLI를 구성할 Junos OS 수 있습니다. 장치는 기본적으로 팁을 표시하지 않습니다.

팁을 활성화하려면:

  1. [edit system login class class-name] 계층 수준에서 login-tip 문을 구성합니다.
  2. 구성을 커밋합니다.

문을 구성 login-tip 하면 디바이스는 디바이스에 로그인하는 지정된 클래스의 모든 사용자에게 팁을 표시합니다.

시간 기반 사용자 액세스 구성

지원되는 주니퍼 네트웍스 디바이스를 구성하여 특정 클래스의 사용자에게 시간 기반 사용자 액세스를 적용할 수 있습니다. 시간 기반 사용자 액세스는 클래스에 속한 모든 사용자에 대한 사용자 로그인 시간 및 기간을 제한합니다. 시간 또는 요일에 따라 사용자 액세스를 제한할 수 있습니다.

사용자 액세스를 특정 요일 또는 시간으로 제한하려면 계층 수준에서 다음 문을 [edit system login class class-name] 포함합니다.

  • allowed-days- 특정 요일에 대한 사용자 액세스를 구성합니다.

  • access-startaccess-end- 지정된 시작 시간과 종료 시간() 사이에 사용자 액세스를 구성합니다.hh:mm

시간 기반 사용자 액세스를 구성하려면 다음을 수행합니다.

  1. 특정 요일에 액세스할 수 있도록 설정합니다.

    예를 들어, 액세스 시간에 대한 제한 없이 월요일부터 금요일까지 로그인 클래스에 대한 operator-round-the-clock-access 사용자 액세스를 구성하려면 다음을 수행합니다.

  2. 하루 중 특정 시간에 액세스할 수 있습니다.

    예를 들어, 모든 요일에 오전 8시 30분부터 오후 4시 30분까지 로그인 클래스에 대한 operator-day-shift-all-days-of-the-week 사용자 액세스를 구성하려면 다음을 수행합니다.

요일과 시간을 모두 포함하도록 액세스를 구성할 수도 있습니다. 다음 예제에서는 월요일, 수요일, 금요일 오전 8시 30분부터 오후 4시 30분까지 로그인 클래스에 대한 operator-day-shift 사용자 액세스를 구성합니다.

또는 다음 형식을 사용하여 로그인 클래스의 로그인 시작 시간 및 종료 시간을 operator-day-shift 지정할 수 있습니다.

주:

액세스 시작 및 종료 시간은 지정된 날짜의 오전 12:00에 걸쳐 있을 수 있습니다. 이 경우 사용자는 명령문에서 해당 날짜를 명시적으로 구성하지 않더라도 다음 날까지 계속 액세스할 수 있습니다 allowed-days .

유휴 로그인 세션에 대한 시간 제한 값 구성

유휴 로그인 세션은 CLI가 운영 모드 또는 구성 모드 프롬프트를 표시하지만 키보드의 입력이 없는 세션입니다. 기본적으로 로그인 세션은 유휴 상태이더라도 사용자가 디바이스에서 로그아웃할 때까지 설정된 상태로 유지됩니다. 유휴 세션을 자동으로 닫으려면 각 로그인 클래스에 대한 시간 제한을 구성해야 합니다. 해당 클래스의 사용자가 설정한 세션이 구성된 시간 제한 동안 유휴 상태로 유지되면 세션이 자동으로 닫힙니다. 유휴 로그인 세션을 자동으로 닫으면 악의적인 사용자가 디바이스에 액세스하여 인증된 사용자 계정으로 작업을 수행하는 것을 방지할 수 있습니다.

사용자 정의 클래스에 대해서만 유휴 시간 제한을 구성할 수 있습니다. 시스템 사전 정의된 클래스에 대해서는 이 옵션을 구성할 수 없습니다. operator, read-only, super-user 또는 superuser, 및 unauthorized.

유휴 로그인 세션에 대한 시간 초과 값을 정의하려면,

  1. 시스템이 세션을 자동으로 닫기 전에 세션이 유휴 상태일 수 있는 시간(분)을 지정합니다.

    예를 들어, 15분 후에 클래스에서 사용자의 유휴 세션을 자동으로 연결 해제하려면 admin :

  2. 구성을 커밋합니다.

시간 초과 값을 구성하는 경우, 유휴 사용자를 시간 초과할 때 CLI는 다음과 유사한 메시지를 표시합니다. CLI는 사용자 연결을 끊기 5분 전에 이러한 메시지를 표시하기 시작합니다.

시간 초과 값을 구성하는 경우, 다음과 같은 경우를 제외하고 지정된 시간이 경과한 후 세션이 닫힙니다.

  • 사용자가 또는 telnet 명령을 실행하고 있습니다ssh.

  • 사용자가 로컬 UNIX 셸에 로그인되어 있습니다.

  • 사용자가 또는 명령을 사용하여 monitor interface 인터페이스를 모니터링하고 있습니다 monitor traffic .

로그인 재시도 옵션

주니퍼 네트웍스 디바이스에서 로그인 재시도 옵션을 구성하여 악의적인 사용자로부터 디바이스를 보호할 수 있습니다. 다음 옵션을 구성할 수 있습니다.

  • 시스템이 연결을 닫기 전에 사용자가 잘못된 로그인 자격 증명을 입력할 수 있는 횟수입니다.

  • 사용자가 실패한 인증 시도의 임계값에 도달한 후 사용자 계정을 잠글 것인지 여부와 기간입니다.

로그인 시도를 제한하고 사용자 계정을 잠그면 인증된 사용자 계정의 암호를 추측하여 시스템에 액세스하려는 악의적인 사용자로부터 디바이스를 보호할 수 있습니다. 사용자 계정의 잠금을 해제하거나 사용자 계정이 잠긴 상태로 유지되는 기간을 정의할 수 있습니다.

계층 수준에서 [edit system login retry-options] 로그인 재시도 옵션을 구성합니다. 명령문은 tries-before-disconnect 디바이스가 사용자 연결을 해제하기 전에 실패한 로그인 시도의 임계값을 정의합니다. 디바이스는 기본적으로 세 번의 로그인 실패 시도를 허용합니다.

이 문은 lockout-period 사용자가 실패한 로그인 시도의 임계값에 도달할 경우 지정된 시간 동안 사용자 계정을 잠그도록 디바이스에 지시합니다. 잠금을 사용하면 잠금 기간이 경과하거나 시스템 관리자가 수동으로 잠금을 지울 때까지 사용자가 인증이 필요한 작업을 수행할 수 없습니다. 사용자가 로컬 콘솔에서 로그인을 시도할 때 기존 잠금은 무시됩니다.

로그인 재시도 옵션 구성하기:

  1. 사용자가 암호 입력을 시도할 수 있는 횟수를 구성합니다.

    예를 들어 디바이스가 연결을 닫기 전에 사용자가 암호를 네 번 입력할 수 있도록 하려면 다음을 수행합니다.

  2. 사용자가 실패한 로그인 시도의 임계값에 도달한 후 사용자 계정이 잠긴 상태로 유지되는 시간(분)을 구성합니다.

    예를 들어 사용자가 실패한 로그인 시도 임계값에 도달한 후 120분 동안 사용자 계정을 잠그려면:

  3. 구성을 커밋합니다.

주:

관리자가 시작한 로그아웃 중에 콘솔을 지우려면 계층 수준에서 문을 [edit system login] 구성할 message 때 줄 바꿈(\n) 문자를 포함합니다. 콘솔을 완전히 지우기 위해 관리자는 메시지 문자열에 \n 문자 이상을 입력할 수 있습니다. 예:

SSH 및 Telnet 세션에 대한 사용자 로그인 시도 횟수 제한

사용자가 SSH 또는 Telnet을 통해 디바이스에 로그인하는 동안 암호 입력을 시도할 수 있는 횟수를 제한할 수 있습니다. 사용자가 지정된 시도 횟수를 초과하여 로그인에 실패하면 디바이스가 연결을 종료합니다. 실패한 시도 후 사용자가 암호 입력을 시도할 수 있을 때까지의 지연 시간(초 단위)을 지정할 수도 있습니다. 또한 사용자가 암호를 다시 입력하는 데 지연이 발생하기 전에 실패한 시도 횟수에 대한 임계값을 지정할 수 있습니다.

사용자가 로그인하는 동안 암호 입력을 시도할 수 있는 횟수를 지정하려면 계층 수준에서 문을 포함합니다retry-options.[edit system login]

다음 옵션을 구성할 수 있습니다.

  • tries-before-disconnect- 사용자가 SSH 또는 Telnet을 통해 디바이스에 로그인할 때 암호를 입력할 수 있는 최대 횟수입니다. 사용자가 지정된 번호 이후에 로그인하지 못하면 연결이 닫힙니다. 범위는 1에서 10까지이며 기본값은 3입니다.

  • backoff-threshold- 사용자가 암호를 다시 입력할 수 있는 시간이 지연되기 전에 실패한 로그인 시도 횟수에 대한 임계값입니다. 범위는 1에서 3까지이며 기본값은 2입니다. backoff-factor 옵션을 사용하여 지연 길이를 지정합니다.

  • backoff-factor- 이상의 로그인 시도가 실패한 후 사용자가 대기해야 하는 시간(초)입니다 backoff-threshold. 지연은 값 이후의 backoff-threshold 각 후속 시도에 대해 지정된 값만큼 증가합니다. 범위는 5초에서 10까지이며 기본값은 5초입니다.

  • lockout-period- 임계값에 도달한 후 사용자 계정이 잠기는 시간(분)입니다 tries-before-disconnect . 범위는 1분에서 43,200분까지입니다.

  • maximum-time seconds- 사용자가 로그인을 위해 사용자 이름과 비밀번호를 입력할 수 있도록 연결이 열린 상태로 유지되는 최대 시간(초)입니다. 사용자가 유휴 상태로 남아 있고 구성된 maximum-time내에 사용자 이름과 비밀번호를 입력하지 않으면 연결이 닫힙니다. 범위는 20초에서 300초 사이이며 기본값은 120초입니다.

  • minimum-time- 사용자가 올바른 암호를 입력하려고 시도하는 동안 연결이 열린 상태로 유지되는 최소 시간(초)입니다. 범위는 20초에서 60까지이며 기본값은 20초입니다.

사용자당 SSH 및 Telnet 로그인 시도 횟수를 제한하는 것은 무차별 암호 대입 공격으로 네트워크 보안이 손상되는 것을 막는 가장 효과적인 방법 중 하나입니다. 무차별 암호 대입 공격자는 단기간에 많은 수의 로그인 시도를 실행하여 개인 네트워크에 대한 액세스 권한을 불법적으로 얻습니다. 문을 구성하면 로그인 시도가 retry-options 실패할 때마다 지연이 증가하여 결국 설정된 로그인 시도 임계값을 통과하는 모든 사용자의 연결을 끊을 수 있습니다.

사용자가 SSH 또는 Telnet을 통해 로그인할 때 로그인 시도를 제한하려면 다음을 수행합니다.

  1. 로그인 시도 횟수에 대한 제한을 구성합니다.
  2. 사용자가 지연을 경험하기 전에 로그인 시도 횟수를 구성합니다.
  3. 사용자가 값에 도달한 후 로그인 프롬프트를 기다려야 하는 시간(초)을 backoff-threshold 구성합니다.
  4. 사용자가 로그인을 시도하는 동안 연결이 열린 상태로 유지되는 시간(초)을 구성합니다.

다음 구성의 경우 올바른 암호를 입력하려는 두 번째 시도가 실패한 후 5초의 지연이 발생합니다. 이후의 시도가 실패할 때마다 지연이 5초씩 증가합니다. 올바른 암호를 입력하려는 네 번째이자 마지막 시도가 실패한 후 사용자는 추가로 10초의 지연을 경험합니다. 총 40초 후에 연결이 닫힙니다.

예: 로그인 재시도 옵션 구성

이 예에서는 악의적인 사용자로부터 디바이스를 보호하기 위해 로그인 재시도 옵션을 구성하는 방법을 보여 줍니다.

요구 사항

시작하기 전에 이해 SSH 및 Telnet 세션에 대한 사용자 로그인 시도 횟수 제한해야 합니다.

이 기능을 구성하기 전에 디바이스 초기화 이외의 특별한 구성은 필요하지 않습니다.

개요

악의적인 사용자가 인증된 사용자 계정의 암호를 추측하여 보안 디바이스에 로그인하려고 시도하는 경우가 있습니다. 특정 횟수의 인증 시도 실패 후 사용자 계정을 잠글 수 있습니다. 이 예방 조치는 악의적인 사용자로부터 디바이스를 보호하는 데 도움이 됩니다.

디바이스가 사용자 계정을 잠그기 전에 실패한 로그인 시도 횟수를 구성할 수 있으며 계정이 잠긴 상태로 유지되는 시간을 구성할 수 있습니다. 실패한 로그인 시도 사이에 사용자가 대기해야 하는 시간을 구성할 수도 있습니다.

주:

이 예제에는 다음 설정이 포함되어 있습니다.

  • backoff-factor- 위의 로그인 시도가 실패할 때마다 사용자가 대기해야 하는 지연 시간(초)입니다 backoff-threshold. 지연은 문에 backoff-threshold 지정된 값 이후의 각 후속 로그인 시도에 대해 이 값만큼 증가합니다.

  • backoff-threshold- 사용자가 암호를 다시 입력하려고 할 때 지연이 발생하기 전에 디바이스에서 실패한 로그인 시도 횟수에 대한 임계값입니다. 사용자가 실패한 로그인 시도의 임계값에 도달하면 사용자는 문에 설정된 지연을 경험합니다 backoff-factor . 지연 후 사용자는 다른 로그인을 시도할 수 있습니다.

  • lockout-period- 사용자가 임계값에 도달한 후 사용자 계정이 잠기는 시간(분)입니다 tries-before-disconnect . 사용자는 디바이스에 다시 로그인하기 전에 구성된 시간(분)을 기다려야 합니다.

  • tries-before-disconnect- 사용자가 SSH 또는 Telnet을 통해 디바이스에 로그인하기 위해 암호를 입력할 수 있는 최대 횟수입니다.

주:

디바이스가 잠겨 있는 경우 디바이스의 콘솔 포트에 로그인할 수 있으며, 이 포트는 사용자 잠금을 무시합니다. 이렇게 하면 관리자가 자신의 사용자 계정에 대한 사용자 잠금을 제거할 수 있습니다.

이 예에서는 옵션을 3으로 설정합니다 tries-before-disconnect . 따라서 사용자는 디바이스에 로그인하려고 세 번 시도할 수 있습니다. 실패한 로그인 시도 횟수가 문에 backoff-threshold 지정된 값과 같으면 사용자는 로그인 프롬프트를 가져오기 위해 간격(초)을 곱 backoff-factor 할 때까지 backoff-threshold 기다려야 합니다. 이 예에서 사용자는 로그인 프롬프트를 가져오기 위해 첫 번째 로그인 시도가 실패한 후 5초, 두 번째 로그인 시도가 실패한 후 10초를 기다려야 합니다. 디바이스는 세 번째 시도가 실패한 후 사용자의 연결을 끊습니다.

사용자가 세 번의 시도 후에도 로그인에 성공하지 못하면 사용자 계정이 잠깁니다. 사용자는 120분이 경과할 때까지 로그인할 수 없으며, 시스템 관리자가 해당 시간 동안 수동으로 잠금을 해제하지 않는 한 로그인할 수 없습니다.

시스템 관리자는 명령을 실행하여 수동으로 계정을 잠금 해제할 수 있습니다 clear system login lockout user <username> . 이 show system login lockout 명령은 잠긴 사용자 계정과 각 사용자에 대한 잠금 기간이 시작 및 종료되는 시간을 표시합니다.

구성

절차

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을(를) 입력합니다.

단계별 절차

시스템 retry-options를 구성하려면 다음을 수행합니다.

  1. 백오프 팩터를 구성합니다.

  2. 백오프 임계값을 구성합니다.

  3. 사용자가 실패한 로그인 시도의 임계값에 도달한 후 사용자 계정이 잠긴 상태로 유지되는 시간(분)을 구성합니다.

  4. 사용자가 암호 입력을 시도할 수 있는 횟수를 구성합니다.

결과

구성 모드에서 show system login retry-options 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 commit을(를) 입력합니다.

검증

잠긴 사용자 로그인 표시

목적

로그인 잠금 구성이 사용하도록 설정되어 있는지 확인합니다.

작업

특정 사용자 이름에 대해 세 번의 로그인 시도가 실패했습니다. 해당 사용자 이름에 대해 장치가 잠깁니다. 그런 다음 다른 사용자 이름으로 디바이스에 로그인합니다. 운영 모드에서 명령을 실행하여 show system login lockout 잠긴 계정을 확인합니다.

의미

특정 사용자 이름으로 세 번의 로그인 시도가 실패하면 예시에 구성된 대로 해당 사용자에 대해 디바이스가 120분 동안 잠깁니다. 다른 사용자 이름으로 디바이스에 로그인하고 명령을 입력하여 해당 사용자에 대해 디바이스가 잠겨 있는지 확인할 수 있습니다 show system login lockout .