Cisco NX-OS 계정 잠금 설정(보안 기능)

 

aaa authentication rejected란?

• aaa authentication rejected 명령어는 지정된 시간 동안 로그인 시도를 차단하는 기능
• 특정 시간 내에 로그인 실패가 반복되면, 이후 일정 시간 동안 모든 로그인 시도를 차단
• 즉, 일정 횟수 이상 잘못된 로그인 시도가 감지되면, 시스템이 일시적으로 로그인 잠금 기능 제공
• IOS나 IOS-XE의  login block-for 기능과 유사

 

설정 방법

aaa authentication rejected <실패 허용 횟수> in <시간 간격(초)> ban <차단 시간(초)>

예시> aaa authentication rejected 3 in 30 ban 60

rejected 3 → 3번의 로그인 실패가 발생하면

in 30 → 위의 실패 시도가 30초 이내에 발생한 경우 차단 조건 충족

ban 60→ 로그인 실패가 감지되면 60초 동안 로그인 시도 자체를 차단

즉, 30초 동안 로그인 실패가 3번 발생하면, 그 후 60초 동안 로그인 시도 차단

 

설정 및 접속 테스트

aaa authentication rejected 설정

ssh로 접근 시도 시, 3회 이상 password 실패 시 접근 실패

이후 60초 동안은 정상적인 password 입력 시에도 접근 불가

 

실제 로그를 보면, 최대 시도 횟수를 초과한 것을 로그에서도 확인 할 수 있습니다.