- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
10-Password Control配置
本章節下載: 10-Password Control配置 (290.81 KB)
目 錄
Password Control(密碼管理)是設備提供的密碼安全管理功能,它根據管理員定義的安全策略,對本地用戶登錄密碼、super密碼的設置、老化、更新等方麵進行管理,並對用戶的登錄狀態進行控製。關於本地用戶類型的詳細介紹,請參見“安全配置指導”中的“AAA”。關於super密碼的詳細介紹,請參見“基礎配置指導”中的“RBAC”。
管理員可以限製用戶密碼的最小長度。當設置用戶密碼時,如果輸入的密碼長度小於設置的最小長度,係統將不允許設置該密碼。
管理員可以設置用戶密碼的組成元素的組合類型,以及至少要包含每種元素的個數。密碼的組成元素包括以下4種類型:
· [A~Z]
· [a~z]
· [0~9]
· 32個特殊字符(空格~`!@#$%^&*()_+-={}|[]\:”;’<>,./)
密碼元素的組合類型有4種,具體涵義如下:
· 組合類型為1表示密碼中至少包含1種元素;
· 組合類型為2表示密碼中至少包含2種元素;
· 組合類型為3表示密碼中至少包含3種元素;
· 組合類型為4表示密碼中包含4種元素。
當用戶設置密碼時,係統會檢查設定的密碼是否符合配置要求,隻有符合要求的密碼才能設置成功。
密碼的複雜度越低,其被破解的可能性就越大,比如包含用戶名、使用重複字符等。出於安全性考慮,管理員可以設置用戶密碼的複雜度檢測功能,確保用戶的密碼具有較高的複雜度。具體實現是:配置用戶密碼時,係統檢測輸入的密碼是否符合一定的複雜度要求,隻有符合要求的密碼才能設置成功。目前,複雜度檢測功能對密碼的複雜度要求包括以下兩項:
· 密碼中不能包含用戶名或倒序的用戶名,且密碼或倒序的密碼不能為用戶名的一部分。例如,用戶名為“abc”,那麼“abc982”、“2cba”或“ab”之類的密碼就不符合複雜度要求。
· 密碼中不能包含連續三個或以上的相同字符。例如,密碼“a111”就不符合複雜度要求。
管理員可以設置用戶登錄設備後修改自身密碼的最小間隔時間。當用戶登錄設備修改自身密碼時,如果距離上次修改密碼的時間間隔小於配置值,則係統不允許修改密碼。例如,管理員配置用戶密碼更新間隔時間為48小時,那麼用戶在上次修改密碼後的48小時之內都無法成功進行密碼修改操作。
有兩種情況下的密碼更新並不受該功能的約束:用戶首次登錄設備時係統要求用戶修改密碼;密碼老化後係統要求用戶修改密碼。
密碼老化時間用來限製用戶密碼的使用時間。當密碼的使用時間超過老化時間後,需要用戶更換密碼。
當用戶登錄時,如果用戶輸入已經過期的密碼,係統將提示該密碼已經過期,需要重新設置密碼。如果輸入的新密碼不符合要求,或連續兩次輸入的新密碼不一致,係統將要求用戶重新輸入。對於FTP用戶,密碼老化後,隻能由管理員修改FTP用戶的密碼;對於Web、Telnet、SSH、Terminal(通過Console口登錄設備)用戶可自行修改密碼。
在用戶登錄時,係統判斷其密碼距離過期的時間是否在設置的提醒時間範圍內。如果在提醒時間範圍內,係統會提示該密碼還有多久過期,並詢問用戶是否修改密碼。如果用戶選擇修改,則記錄新的密碼及其設定時間。如果用戶選擇不修改或者修改失敗,則在密碼未過期的情況下仍可以正常登錄。對於FTP用戶,隻能由管理員修改FTP用戶的密碼;對於Web、Telnet、SSH、Terminal(通過Console口登錄設備)用戶可自行修改密碼。
管理員可以設置用戶密碼過期後在指定的時間內還能登錄設備指定的次數。這樣,密碼老化的用戶不需要立即更新密碼,依然可以登錄設備。例如,管理員設置密碼老化後允許用戶登錄的時間為15天、次數為3次,那麼用戶在密碼老化後的15天內,還能繼續成功登錄3次。
係統保存用戶密碼曆史記錄。
網絡接入類用戶修改密碼時,係統會要求用戶設置新的密碼,如果新設置的密碼以前使用過,且在當前用戶密碼曆史記錄中,係統將給出錯誤信息,提示用戶密碼更改失敗。另外,用戶更改密碼時,係統會將新設置的密碼逐一與所有記錄的曆史密碼以及當前密碼比較,要求新密碼至少要與舊密碼有4字符不同,且這4個字符必須互不相同,否則密碼更改失敗。
設備管理類本地用戶和用戶角色切換的密碼是以哈希運算後的密文方式保存,無法還原為明文密碼,因此在配置新的設備管理類本地用戶密碼或用戶角色切換密碼時:如果新密碼以哈希方式設置,則不和所有記錄的曆史密碼以及當前密碼比較;如果新密碼以明文方式配置,則新密碼要與所有記錄的曆史密碼以及當前密碼不同,當需要用戶輸入舊密碼校驗時,還要檢查新密碼和用戶輸入的舊密碼至少有4個字符不同,且這4個字符必須互不相同,否則密碼更改失敗。
可以配置每個用戶密碼曆史記錄的最大條數,當密碼曆史記錄的條數超過配置的最大曆史記錄條數時,新的密碼曆史記錄將覆蓋該用戶最老的一條密碼曆史記錄。
由於為設備管理類本地用戶配置的密碼在哈希運算後以密文的方式保存,配置一旦生效後就無法還原為明文密碼,因此,設備管理類本地用戶的當前登錄密碼,不會被記錄到該用戶的密碼曆史記錄中。
當全局密碼管理功能開啟後,用戶首次登錄設備時,缺省情況下係統會輸出相應的提示信息要求用戶修改密碼,否則不允許登錄設備。這種情況下的修改密碼不受密碼更新時間間隔的限製。如果不希望用戶首次登錄設備時必須修改密碼,可以關閉首次登錄修改密碼功能。
通過記錄認證失敗用戶和維護黑名單中表項的鎖定狀態,設備可限製異常用戶登錄。
每次用戶認證失敗後,係統會將該用戶加入密碼管理的黑名單。可加入密碼管理功能黑名單的用戶包括:FTP用戶和通過VTY或Web方式訪問設備的用戶、通過Console、AUX、TTY以及USB用戶線連接到設備的用戶。因為用戶名不存在而認證失敗的用戶不會加入密碼管理功能黑名單。
用戶認證失敗後,設備將用戶信息加入黑名單時,支持以下兩種記錄方式:
· 僅記錄用戶名。此類表項隻用來匹配認證失敗用戶的用戶名,用戶名一致即視為同一用戶。
· 記錄用戶名和IP地址。此類表項用來匹配認證失敗用戶的用戶名和IP地址,隻有用戶名和IP地址同時匹配,才認為是同一用戶。
管理員可根據實際組網需求選擇配置合適的記錄方式。
如果選擇加入黑名單的記錄方式為用戶名和IP地址,不同IP地址的用戶采用同一個用戶名登錄時,若登錄設備失敗,則設備會針對每個IP地址記錄黑名單表項。配置密碼管理黑名單中同一用戶名可記錄的最大表項數後,當設備記錄的該用戶加入密碼管理黑名單的表項數超過配置的最大值之後,若該用戶采用新的IP地址再次登錄認證失敗,則該用戶名相關的最早一條黑名單記錄表項會被刪除,新的記錄被加入黑名單列表。
密碼嚐試次數限製可以用來防止惡意用戶通過不斷嚐試來破解密碼。
當用戶連續嚐試認證的失敗累加次數達到設置的嚐試次數時,係統對用戶的後續登錄行為有以下三種處理措施:
· 對於FTP用戶和通過VTY或Web方式訪問設備的用戶,永久禁止該用戶通過登錄失敗IP地址登錄;對於通過Console、AUX、TTY以及USB用戶線訪問設備的用戶,永久禁止該用戶通過Console、AUX、TTY以及USB用戶線登錄。隻有管理員把該用戶從密碼管理的黑名單中刪除後,該用戶才能重新登錄。
· 不對該用戶做禁止,允許其繼續登錄。在該用戶登錄成功後,該用戶會從密碼管理的黑名單中刪除。
· 禁止登錄一段時間後,再允許其重新登錄。當配置的禁止時間超時或者管理員將其從密碼管理的黑名單中刪除,該用戶才可以重新登錄。
管理員可以限製用戶賬號的閑置時間,禁止在閑置時間之內始終處於不活動狀態的用戶登錄。若用戶自從最後一次成功登錄之後,在配置的閑置時間內再未成功登錄過,那麼該閑置時間到達之後此用戶賬號立即失效,係統不再允許使用該賬號的用戶登錄。
通過Telnet、SSH、HTTP、HTTPS方式登錄的設備管理類用戶,輸入登錄密碼時,係統會根據當前設定的Password control密碼組合檢測策略、密碼最小長度限製以及密碼複雜度檢查策略對用戶的登錄密碼進行檢查,若不符合以上密碼檢查策略要求,則視為弱密碼。
缺省情況下,用戶使用弱密碼登錄設備時,係統會打印提示信息,但不會強製用戶修改密碼,即使用弱密碼也可以登錄設備。若需要提高設備使用的安全性,可通過命令行開啟弱密碼登錄修改密碼功能,開啟該功能後會禁止Telnet、SSH、HTTP、HTTPS方式登錄的設備管理類用戶使用弱密碼登錄,要求用戶修改密碼,直到密碼組合策略、密碼長度以及密碼複雜度檢查策略的設定符合設備要求。
設備使用出廠配置啟動時,存在缺省用戶名和缺省密碼。通過Telnet、SSH、HTTP、HTTPS方式登錄的設備管理類用戶,使用缺省用戶和缺省密碼登錄設備時,不會對缺省密碼進行檢查,用戶可使用缺省用戶名和缺省密碼登錄設備。
出於安全考慮,用戶輸入密碼時,係統將不回顯用戶的密碼。
當用戶成功修改密碼或用戶登錄失敗加入密碼管理黑名單時,係統將會記錄相應的日誌。
設備存儲空間不足會造成以下兩個影響:
· 不能開啟全局密碼管理功能;
· 全局密碼管理功能處於開啟的狀態下,用戶登錄設備失敗。
本特性的各功能可支持在多個視圖下配置,各視圖可支持的功能不同。而且,相同功能的命令在不同視圖下或針對不同密碼時有效範圍有所不同,具體情況如下:
· 係統視圖下的全局配置對所有本地用戶密碼都有效;
· 用戶組視圖下的配置隻對當前用戶組內的所有本地用戶密碼有效;
· 本地用戶視圖下的配置隻對當前的本地用戶密碼有效;
· 為super密碼的各管理參數所作的配置隻對super密碼有效。
對於本地用戶密碼的各管理參數,其生效的優先級順序由高到低依次為本地用戶視圖、用戶組視圖、係統視圖。即,係統優先采用本地用戶視圖下的非缺省配置,若本地用戶視圖下為缺省配置,則采用用戶組視圖下的非缺省配置,若用戶組視圖下也為缺省配置,則采用全局視圖下的配置。
Password Control配置任務如下:
(1) 開啟密碼管理
(2) (可選)配置全局密碼管理
(3) (可選)配置用戶組密碼管理
(4) (可選)配置本地用戶密碼管理
(5) (可選)配置super密碼管理
對於設備管理類本地用戶,開啟全局密碼管理功能,是除密碼的組合檢測管理功能、密碼最小長度管理功能以及密碼複雜度檢查策略中的用戶名檢查功能之外,其他密碼管理功能生效的前提。若要使得具體的密碼管理功能(密碼老化、密碼曆史記錄檢測)生效,還需開啟指定的密碼管理功能。
對於網絡接入類本地用戶,支持的密碼管理功能隻有在使能了全局密碼管理功能的情況下才能生效。
開啟全局密碼管理功能,有以下配置限製和指導:
· 開啟設備管理類本地用戶全局密碼管理功能後,設備管理類本地用戶密碼以及super密碼的配置將不被顯示,即無法通過相應的display命令查看到設備管理類本地用戶密碼以及super密碼的配置。
· 開啟網絡接入類本地用戶全局密碼管理功能後,網絡接入類本地用戶密碼配置將不被顯示,即無法通過相應的display命令查看到網絡接入類本地用戶密碼配置。
· 設置的本地用戶密碼必須至少由四個不同的字符組成。
· Password Control會記錄用戶配置密碼時的UTC時間。如果因設備斷電重啟等原因,UTC時間與Password Control記錄的UTC時間不一致,可能導致密碼老化管理功能出錯。因此,為保證密碼老化管理功能的正常工作,建議設備通過NTP(Network Time Protocol,網絡時間協議)協議獲取UTC時間。關於NTP的詳細介紹,請參見“網絡管理和監控配置指導”中的“NTP”。
· 開啟全局密碼管理功能後,設備自動生成後綴名為“dat”的文件並保存於存儲介質中用於記錄本地用戶的認證、登錄信息。請不要手工刪除或修改該文件。
(1) 進入係統視圖。
system-view
(2) 開啟全局密碼管理功能。
password-control enable [ network-class ]
缺省情況下,設備管理類本地用戶和網絡接入類本地用戶全局密碼管理功能處於關閉狀態。
(3) (可選)開啟指定的密碼管理功能。
password-control { aging | composition | history | length } enable
缺省情況下,各密碼管理功能均處於開啟狀態。
係統視圖下的全局密碼管理參數對所有設備管理類和網絡接入類的本地用戶生效。
設備管理類用戶支持所有的密碼管理功能,其中對於密碼老化時間、密碼最小長度、密碼複雜度檢查策略、密碼組合策略以及用戶登錄嚐試失敗後的行為的配置,可分別在係統視圖、用戶組視圖、本地用戶視圖下配置相關參數,其生效優先級從高到低依次為:本地用戶視圖->用戶組視圖->係統視圖。
網絡接入類用戶支持的密碼管理功能僅包括:配置密碼最小長度、配置密碼的複雜度檢查策略、配置密碼的組合策略、配置密碼更新的最小時間間隔、配置每個用戶密碼曆史記錄的最大條數。其中對密碼最小長度、密碼複雜度檢查策略以及密碼組合策略的配置,可分別在係統視圖、用戶組視圖、本地用戶視圖下配置相關參數,其生效優先級從高到低依次為:本地用戶視圖->用戶組視圖->係統視圖。
開啟全局密碼管理功能後,係統會持續記錄曆史密碼。當記錄的某用戶的曆史密碼條數達到最大值後,該用戶的後續新密碼曆史記錄將覆蓋最老的一條密碼曆史記錄。隻有關閉全局密碼管理功能(undo password-control enable)或手動清除曆史密碼記錄時(reset password-control history-record),曆史密碼記錄才會被清除掉。
用戶登錄嚐試失敗後的行為配置屬於即時生效的配置,會在配置生效後立即影響密碼管理黑名單中當前用戶的鎖定狀態以及這些用戶後續的登錄。認證失敗用戶加入密碼管理黑名單的策略發生變化時,係統會立即清除密碼管理黑名單中的所有用戶信息並重新開始記錄。其它全局密碼管理配置生效後僅對後續登錄的用戶以及後續設置的用戶密碼有效,不影響當前用戶。
(1) 進入係統視圖。
system-view
(2) 控製密碼設置
¡ 配置用戶密碼的最小長度。
password-control length length
缺省情況下,用戶密碼的最小長度為10個字符。
¡ 配置用戶密碼的組合策略。
password-control composition type-number type-number [ type-length type-length ]
缺省情況下,密碼元素的最少組合類型為2種,至少要包含每種元素的個數為1。
¡ 配置用戶密碼的複雜度檢查策略。
password-control complexity { same-character | user-name } check
缺省情況下,對用戶密碼中是否包含用戶名或倒序的用戶名、密碼或倒序的密碼是否為用戶名的一部分進行檢查,但對用戶密碼中是否包含連續三個或以上的相同字符不進行檢查。
¡ 配置每個用戶密碼曆史記錄的最大條數。
password-control history max-record-number
缺省情況下,每個用戶密碼曆史記錄的最大條數為4條。
(3) 管理密碼更新與老化
¡ 配置用戶密碼更新的最小時間間隔。
password-control update-interval interval
缺省情況下,用戶密碼更新的最小時間間隔為24小時。
¡ 配置用戶密碼的老化時間。
password-control aging aging-time
缺省情況下,用戶密碼的老化時間為90天。
¡ 配置密碼過期前的提醒時間。
password-control alert-before-expire alert-time
缺省情況下,密碼過期前的提醒時間為7天。
¡ 配置密碼過期後允許用戶登錄的時間和次數。
password-control expired-user-login delay delay times times
缺省情況下,密碼過期後的30天內允許用戶登錄3次。
(4) 控製用戶登錄
¡ 開啟全用戶線登錄用戶的黑名單功能。
password-control blacklist all-line
缺省情況下,全用戶線登錄用戶的黑名單功能處於關閉狀態,設備僅對通過FTP用戶和通過VTY或Web方式訪問設備的用戶開啟黑名單功能。
¡ 配置密碼管理黑名單中同一用戶名可記錄的最大表項數。
password-control per-user blacklist-limit max-number
缺省情況下,密碼管理黑名單中同一用戶名可記錄的最大表項數為32。
¡ 配置用戶登錄嚐試次數以及登錄嚐試失敗後的行為。
password-control login-attempt login-times [ exceed { lock | lock-time time [ autoincrement max-lock-time ] | unlock } ]
缺省情況下,用戶登錄嚐試次數為3次;如果用戶登錄失敗,則1分鍾後再允許該用戶重新登錄。
¡ 配置認證失敗用戶加入到密碼管理黑名單中的用戶信息僅包括用戶名。
password-control blacklist user-info username-only
缺省情況下,認證失敗用戶加入到密碼管理黑名單中的用戶信息包括用戶名和IP地址。
¡ 配置用戶賬號的閑置時間。
password-control login idle-time idle-time
缺省情況下,用戶賬號的閑置時間為90天。
用戶賬號閑置超時後該賬號將會失效,用戶將無法正常登錄設備。若不需要賬號閑置時間檢查功能,可將idle-time配置為0,表示Password Control對賬號閑置時間無限製。
¡ 關閉首次登錄修改密碼功能。
undo password-control change-password first-login enable
¡ 開啟弱密碼登錄修改密碼功能。
password-control change-password weak-password enable
缺省情況下,弱密碼登錄修改密碼功能處於關閉狀態。
(1) 進入係統視圖。
system-view
(2) 創建用戶組,並進入用戶組視圖。
user-group group-name
缺省情況下,不存在任何用戶組。
用戶組的相關配置請參見“安全配置指導”中的“AAA”。
(3) 開啟用戶組的密碼老化管理功能。
password-control aging enable
缺省情況下,用戶組的密碼老化管理功能處於使能狀態,且采用全局密碼老化管理功能的配置。
(4) 配置用戶組的密碼老化時間。
password-control aging aging-time
缺省情況下,采用全局密碼老化時間。
(5) 配置用戶組的密碼最小長度。
password-control length length
缺省情況下,采用全局密碼最小長度。
(6) 配置用戶組密碼的組合策略。
password-control composition type-number type-number [ type-length type-length ]
缺省情況下,采用全局密碼組合策略。
(7) 配置用戶組密碼的複雜度檢查策略。
password-control complexity { same-character | user-name } check
缺省情況下,采用全局密碼複雜度檢查策略。
(8) 配置用戶賬號的閑置時間。
password-control login idle-time idle-time
缺省情況下,采用全局的用戶賬號閑置時間。
用戶賬號閑置超時後該賬號將會失效,用戶將無法正常登錄設備。若不需要賬號閑置時間檢查功能,可將idle-time配置為0,表示Password Control對賬號閑置時間無限製。
(9) 配置用戶組登錄嚐試次數以及登錄嚐試失敗後的行為。
password-control login-attempt login-times [ exceed { lock | lock-time time [ autoincrement max-lock-time ] | unlock } ]
缺省情況下,采用全局的用戶登錄嚐試限製策略。
(1) 進入係統視圖。
system-view
(2) 創建設備管理類本地用戶或網絡接入類本地用戶,並進入本地用戶視圖。
¡ 創建設備管理類本地用戶,並進入本地用戶視圖
local-user user-name class manage
¡ 創建網絡接入類本地用戶,並進入本地用戶視圖。
local-user user-name class network
缺省情況下,不存在任何本地用戶。
本地用戶密碼管理功能僅對設備管理類的本地用戶生效,對於網絡接入類本地用戶不起作用。本地用戶的相關配置請參見“安全配置指導”中的“AAA”。
(3) 開啟本地用戶的密碼老化管理功能。
password-control aging enable
缺省情況下,本地用戶的密碼老化管理功能處於使能狀態,且采用本地用戶所屬用戶組密碼老化管理功能的配置。
僅設備管理類本地用戶支持此配置。
本地用戶的密碼老化管理功能的生效,需保證係統視圖、用戶組視圖以及本地用戶視圖的密碼老化管理功能均處於使能狀態。
(4) 配置本地用戶的密碼老化時間。
password-control aging aging-time
缺省情況下,采用本地用戶所屬用戶組的密碼老化時間。
僅設備管理類本地用戶支持此配置。
(5) 配置本地用戶的密碼最小長度。
password-control length length
缺省情況下,采用本地用戶所屬用戶組的密碼最小長度。
(6) 配置本地用戶的密碼組合策略。
password-control composition type-number type-number [ type-length type-length ]
缺省情況下,采用本地用戶所屬用戶組的密碼組合策略。
(7) 配置本地用戶密碼的複雜度檢查策略。
password-control complexity { same-character | user-name } check
缺省情況下,采用本地用戶所屬用戶組的密碼複雜度檢查策略。
(8) 配置用戶賬號的閑置時間。
password-control login idle-time idle-time
缺省情況下,采用本地用戶所屬用戶組的用戶賬號閑置時間。
用戶賬號閑置超時後該賬號將會失效,用戶將無法正常登錄設備。若不需要賬號閑置時間檢查功能,可將idle-time配置為0,表示Password Control對賬號閑置時間無限製。
僅設備管理類本地用戶支持此配置。
(9) 配置本地用戶登錄嚐試次數以及登錄嚐試失敗後的行為。
password-control login-attempt login-times [ exceed { lock | lock-time time [ autoincrement max-lock-time ] | unlock } ]
缺省情況下,采用本地用戶所屬用戶組的用戶登錄嚐試限製策略。
僅設備管理類本地用戶支持此配置。
(1) 進入係統視圖。
system-view
(2) 配置super密碼的老化時間。
password-control super aging aging-time
缺省情況下,密碼的老化時間為90天。
(3) 配置super密碼的最小長度。
password-control super length length
缺省情況下,密碼的最小長度為10個字符。
(4) 配置super密碼的組合策略。
password-control super composition type-number type-number [ type-length type-length ]
缺省情況下,密碼的元素最少組合至少為2種,至少要包含每種元素的個數為1個。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後Password Control的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除Password Control統計信息。
|
操作 |
命令 |
|
顯示密碼管理的配置信息 |
display password-control [ super ] |
|
顯示用戶認證失敗後,被加入密碼管理黑名單中的用戶信息 |
display password-control blacklist [ user-name user-name | ip ipv4-address | ipv6 ipv6-address ] |
|
清除密碼管理黑名單中的用戶 |
reset password-control blacklist [ user-name user-name ] |
|
清除用戶的密碼曆史記錄 |
reset password-control history-record [ user-name user-name | super [ role role-name ] | network-class [ user-name user-name ] ] |
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
