没有合适的资源?快使用搜索试试~ 我知道了~
12-安全配置指导-Password Control配置.pdf
需积分: 5 3 下载量 78 浏览量
2023-12-21
16:36:16
上传
评论
收藏 285KB PDF 举报
温馨提示
试读
14页
12-安全配置指导-Password Control配置.pdf
资源推荐
资源详情
资源评论
i
目 录
1 Password Control ································································································································· 1-1
1.1 Password Control 简介 ······················································································································ 1-1
1.1.1 密码设置控制 ·························································································································· 1-1
1.1.2 密码更新与老化 ······················································································································ 1-2
1.1.3 用户登录控制 ·························································································································· 1-3
1.1.4 密码不回显 ······························································································································ 1-4
1.1.5 日志功能 ································································································································· 1-4
1.2 FIPS 相关说明 ··································································································································· 1-4
1.3 Password Control 配置限制和指导 ···································································································· 1-4
1.4 Password Control 配置任务简介 ······································································································· 1-4
1.5 开启密码管理 ····································································································································· 1-5
1.6 配置全局密码管理 ····························································································································· 1-6
1.7 配置用户组密码管理 ·························································································································· 1-8
1.8 配置本地用户密码管理 ······················································································································ 1-9
1.9 配置 super 密码管理 ························································································································ 1-10
1.10 Password Control 显示和维护 ······································································································· 1-10
1.11 Password Control 典型配置举例 ··································································································· 1-11
1.11.1 Password Control 基础配置举例 ························································································· 1-11
1-1
1 Password Control
1.1 Password Control
简介
Password Control(密码管理)是设备提供的密码安全管理功能,它根据管理员定义的安全策略,
对本地用户登录密码、super 密码的设置、老化、更新等方面进行管理,并对用户的登录状态进行
控制。关于本地用户类型的详细介绍,请参见“安全配置指导”中的“AAA”。 关 于 super 密码的
详细介绍,请参见“基础配置指导”中的“RBAC”。
1.1.1 密码设置控制
1. 密码最小长度限制
管理员可以限制用户密码的最小长度。当设置用户密码时,如果输入的密码长度小于设置的最小长
度,系统将不允许设置该密码。
2. 密码的组合检测功能
管理员可以设置用户密码的组成元素的组合类型,以及至少要包含每种元素的个数。密码的组成元
素包括以下 4 种类型:
•
[A~Z]
•
[a~z]
•
[0~9]
•
32 个特殊字符(空格~`!@#$%^&*()_+-={}|[]\:”;’<>,./)
密码元素的组合类型有 4 种,具体涵义如下:
•
组合类型为 1 表示密码中至少包含 1 种元素;
•
组合类型为 2 表示密码中至少包含 2 种元素;
•
组合类型为 3 表示密码中至少包含 3 种元素;
•
组合类型为 4 表示密码中包含 4 种元素。
当用户设置密码时,系统会检查设定的密码是否符合配置要求,只有符合要求的密码才能设置成功。
3. 密码的复杂度检测功能
密码的复杂度越低,其被破解的可能性就越大,比如包含用户名、使用重复字符等。出于安全性考
虑,管理员可以设置用户密码的复杂度检测功能,确保用户的密码具有较高的复杂度。具体实现是:
配置用户密码时,系统检测输入的密码是否符合一定的复杂度要求,只有符合要求的密码才能设置
成功。目前,复杂度检测功能对密码的复杂度要求包括以下两项:
•
密码中不能包含用户名或者字符顺序颠倒的用户名。例如,用户名为“abc”, 那 么 “ abc982”
或者“2cba”之类的密码就不符合复杂度要求。
•
密码中不能包含连续三个或以上的相同字符。例如,密码“a111”就不符合复杂度要求。
1-2
1.1.2 密码更新与老化
1. 密码更新管理
管理员可以设置用户登录设备后修改自身密码的最小间隔时间。当用户登录设备修改自身密码时,
如果距离上次修改密码的时间间隔小于配置值,则系统不允许修改密码。例如,管理员配置用户密
码更新间隔时间为 48 小时,那么用户在上次修改密码后的 48 小时之内都无法成功进行密码修改操
作。
有两种情况下的密码更新并不受该功能的约束:用户首次登录设备时系统要求用户修改密码;密码
老化后系统要求用户修改密码。
2. 密码老化管理
密码老化时间用来限制用户密码的使用时间。当密码的使用时间超过老化时间后,需要用户更换密
码。
当用户登录时,如果用户输入已经过期的密码,系统将提示该密码已经过期,需要重新设置密码。
如果输入的新密码不符合要求,或连续两次输入的新密码不一致,系统将要求用户重新输入。对于
FTP 用户,密码老化后,只能由管理员修改 FTP 用户的密码;对于 Telnet、SSH、Terminal(通过
Console 口或 AUX 口登录设备)用户可自行修改密码。
3. 密码过期提醒
在用户登录时,系统判断其密码距离过期的时间是否在设置的提醒时间范围内。如果在提醒时间范
围内,系统会提示该密码还有多久过期,并询问用户是否修改密码。如果用户选择修改,则记录新
的密码及其设定时间。如果用户选择不修改或者修改失败,则在密码未过期的情况下仍可以正常登
录。对于 FTP 用户,只能由管理员修改 FTP 用户的密码;对于 Telnet、SSH、Terminal(通过 Console
口或 AUX 口登录设备)用户可自行修改密码。
4. 密码老化后允许登录管理
管理员可以设置用户密码过期后在指定的时间内还能登录设备指定的次数。这样,密码老化的用户
不需要立即更新密码,依然可以登录设备。例如,管理员设置密码老化后允许用户登录的时间为 15
天、次数为 3 次,那么用户在密码老化后的 15 天内,还能继续成功登录 3 次。
5. 密码历史记录
系统保存用户密码历史记录。
网络接入类用户修改密码时,系统会要求用户设置新的密码,如果新设置的密码以前使用过,且在
当前用户密码历史记录中,系统将给出错误信息,提示用户密码更改失败。另外,用户更改密码时,
系统会将新设置的密码逐一与所有记录的历史密码以及当前密码比较,要求新密码至少要与旧密码
有 4 字符不同,且这 4 个字符必须互不相同,否则密码更改失败。
设备管理类本地用户和用户角色切换的密码是以哈希运算后的密文方式保存,无法还原为明文密码,
因此在配置新的设备管理类本地用户密码或用户角色切换密码时:如果新密码以哈希方式设置,则
不和所有记录的历史密码以及当前密码比较;如果新密码以明文方式配置,则新密码要与所有记录
的历史密码以及当前密码不同,当需要用户输入旧密码校验时,还要检查新密码和用户输入的旧密
码至少有 4 个字符不同,且这 4 个字符必须互不相同,否则密码更改失败。
可以配置每个用户密码历史记录的最大条数,当密码历史记录的条数超过配置的最大历史记录条数
时,新的密码历史记录将覆盖该用户最老的一条密码历史记录。
剩余13页未读,继续阅读
资源评论
十年人间~
- 粉丝: 998
- 资源: 219
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功