当前位置: 首页 > 路由交换 > 安装、升级、恢复出厂、重置密码 > 登录与管理
cjhcjh 登录与管理   此文章访问量   238

华为NE路由器:本地用户帐户安全加固

华为NE路由器:本地用户帐户安全加固
为了本地账户的安全性,可以通过配置用户登录失败次数、密码复杂度限制、密码最小长度等功能加强安全性。
背景信息
为避免出现用户名密码设置过于简单,登录失败次数过多导致账号被盗用等安全性问题,可以通过提升密码复杂性,限制用户失败登录次数等策略提升系统的安全性。
当登录用户的密码不符合当前的用户账户安全加固策略时,系统会提示用户修改密码。请根据系统提示信息进行修改。
操作步骤
1、执行命令system-view,进入系统视图。
2、执行命令user-security-policy enable,使能本地用户账户安全策略功能。
3、执行命令aaa,进入AAA视图。
4、根据需要,在AAA视图下配置提升用户的安全性。
 表1 在AAA视图下配置提升用户的安全性

操作

命令

说明

使能强制本地用户修改初始密码功能

undo user-password password-force-change disable

  • 若设备当前版本支持强制本地用户修改初始密码功能,则此功能默认开启,无需配置此命令。由管理员创建或重置的本地用户首次登录时需强制修改初始密码。为了充分保证用户安全,不建议禁用此功能。
  • 若设备由不支持强制本地用户修改初始密码功能的老版本升级为支持此功能的新版本后,默认不开启此功能,即会默认下发 user-password password-force-change disable,此时可以执行此命令使能强制本地用户修改初始密码功能以提升用户的安全性。
  • 若管理员希望禁用某个用户首次登录时强制修改初始密码功能,可执行命令local-user user-name password-force-change disable。此功能可能会带来安全风险,请谨慎操作。

配置本地用户名的最小长度

user-name minimum-length length

配置此命令后,新创建的本地用户需遵循这个限制,否则创建失败。

配置本地密码的最小长度

user-password min-len min-length

该命令只能设置以明文形式输入的密码长度,不能设置以密文形式输入的密码长度。

使能本地用户的密码复杂度检查

user-password complexity-check

-

配置本地用户使用历史密码的限制次数

user-password history-password-check historyPwdNum

-

配置本地管理员下次登录提醒修改原始密码

user-password change

-

配置当本地用户账号的老化周期

  • user-aging aging-period
  • local-user user-name aging aging-period

如果本地用户账号长期没有使用,可通过该命令设置账号老化周期。如果账号连续不使用的时间到达老化周期,则该账号自动过期。

user-aging命令为批量执行命令,对系统中所有用户都生效。而local-user aging命令只对指定的用户生效。

对于某个特定用户,当通过user-aging命令设置了所有用户的老化周期时:
  • 如果没有配置local-user aging命令,则用户的老化周期以user-aging命令的配置为准。
  • 如果配置了local-user aging命令,则用户的老化周期以local-user aging命令的配置为准。

配置本地用户账号的过期时间

local-user user-name expire date

为避免设备中所有用户都过期,当设备中所有管理用户(指用户类型为终端用户、Telnet、FTP或SSH)都设置了过期时间时,最后一个过期的管理用户(即设定的过期时间最晚的用户)是一直生效的。

配置指定本地用户的密码过期时间

local-user user-name password expire days

为增强网络安全性,管理员用户可使用local-user password expire命令配置本地用户的密码过期时间,超过该时间后该用户的密码会失效。

当用户修改密码后,系统会重新计算过期时间。

此命令仅对本地用户有效。密码失效后,必须为用户重新设置密码,否则用户登录失败。

配置管理员用户密码过期时间和过期前n天提醒管理员用户修改密码。

user-password expire expire-days prompt prompt-days

为避免出现管理员用户长期不修改密码,账号被盗用等安全问题,执行此命令配置密码过期时间和过期前n天提醒用户修改密码。

执行此命令前,请以3级以上的管理员身份登录。

  • 此命令仅对管理员用户有效,不影响其他的本地用户。在密码过期前n天,每次用户登录时都会提示用户修改密码。
  • 如果超过设置的过期时间,管理员用户仍然不更改密码,该用户不能再登录。

配置本地用户允许登录的时间范围

local-user user-name login-period begin-time to end-time begin-day to end-day

-

设置本地用户的状态

local-user user-name state { active | block [ fail-times fail-times-value interval interval-value ] }

-

配置在一定时间内的告警上报门限和告警恢复门限。

login-failed threshold-alarm upper-limit report-times lower-limit resume-times period period


5、执行命令quit ,返回系统视图。
6、执行命令local-aaa-server,进入本地AAA服务器视图。
7、根据需要,在本地AAA视图下配置提升用户的安全性。
表2 在本地AAA视图下配置提升用户的安全性

操作

命令

说明

使能本地用户的密码复杂度检查

user-password complexity-check

-

配置本地密码的最小长度

user-password min-len min-length

该命令只能设置以明文形式输入的密码长度,不能设置以密文形式输入的密码长度

配置本地管理员下次登录提醒修改原始密码

user-password change

-

配置密码过期时间和过期前n天提醒用户修改密码

user-password expire expire-days prompt prompt-days

-

设置本地用户状态为阻塞态

user username block [ fail-times fail-times-value interval interval-value ]

-

8、执行命令commit,提交配置。


1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » 华为NE路由器:本地用户帐户安全加固

作者: cjh


手机扫一扫,手机上查看此文章:

相关推荐

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!