H3C交换机密码安全配置

xiaofu 2023-10-20 等保安全, 路由交换, 运维技术 112 阅读

一、配置口令复杂度及口令定期更换策略,配置登录失败次数

 system-view       //进入系统视图
 password-control length 8   // 配置密码长度最小为8位
 password-control composition type-number 3 type-length 1 //密码最少3种字符组合类型长度1
 password-control enable     //开启密码策略
 password-control aging enable  //开启密码有效期的策略
 password-control aging 90      //配置密码有效的时间为90天
 password-control login-attempt 5 exceed lock-time 5 //配置密码可尝试的失败次数为5次,5次失败以后被锁定5分钟后方可继续尝试

二、配置登录连接超时时间VTY用户线同时在线5个,认证方式为scheme(AAA模式),空闲超时5分钟退出

line vty 0 4
 authentication-mode scheme
 idle-timeout 5 0 
 quit

三、配置ACL规则,后续在ssh调用,只允许管理网段IP远程登录设备

备注:基本acl编号为2000--2999,规则以5为步长,如果编号和在用的重复请更改。

acl number 2000
 rule 0 permit source 192.168.10.100 0.0.0.0
 rule 5 permit source 192.168.20.100 0.0.0.0
 rule 10 permit source 192.168.30.100 0.0.0.0
 rule 999 deny
 quit

开启SSH服务

ssh server enable

 配置ssh服务调用acl 2000,调用以后,只有ACL规则中允许的IP可以远程ssh登录 

ssh server acl 2000

 四、对登录的用户分配账户和权限

H3C的三权账号分别是管理账号、审计账号、安全管理账号

权限说明

security-audit  安全日志管理员(系统中的最后一个安全日志管理员角色的本地用户不可被删除,重新创建一个登陆账号解决问题;
network-admin  具有最高权限,可操作系统所有功能和资源(除安全日志文件管理相关命令外);
network-operator  可执行系统所有功能和资源的相关display命令 (除安全日志等查看命令外);
level-0 可执行命令ping、tracert、ssh2、telnet和super,且管理员可以为其配置权限;
level-1 具有leve-0用户角色的权限,并且可执行系统所有功能和资源的相关display命令(除display history-command all之外),以及管理员可以为其配置权限;
level-2~8  无缺省权限,需要管理员为其配置权限;
level-10~14  无缺省权限,需要管理员为其配置权限;
level-9  可操作系统中绝大多数的功能和所有的资源,且管理员可以为其配置权限,但不能操display history-command all命令、RBAC的命令(Debug命今除外)、文件管理以及本地用户特性。对于本地用户,若用户登录系统并被授予该角色,可以修改自己的密码;
level-15 具有与network-admin角色相同的权限。

现在在console口创建2个用户,用户admin,配置network-admin角色。用户audit,配置角色。采取AAA认证。

 system-view
 line console 0
 authentication-mode scheme  //配置认证方式为AAA
 quit
 local-user admin class manage  //创建本地用户admin,缺省为manage类
 service-type terminal          //本地用户缺省是无服务类型的,需要定义为terminal
 password simple test@123       //设置密码
 authorization-attribute user-role network-admin //本地用户角色缺省为network-operator,需要修改为network-admin
 undo authorization-attribute user-role network-operator //删除本地用户缺省角色
 local-user audit class manage
 password simple test@123
 service-type terminal
 authorization-attribute user-role level-9
 authorization-attribute user-role network-operator

五、验证

第一次登录需要改密码:

©版权声明:
作者:xiaofu
文章标题:H3C交换机密码安全配置
文章地址:https://blog.xf0.cc/204.html
作者地址:https://blog.xf0.cc/author/xiaofu
来源:Fu Zai's Notes
文章版权归作者所有,未经允许请勿转载。
THE END
分享
二维码
海报
H3C交换机密码安全配置
一、配置口令复杂度及口令定期更换策略,配置登录失败次数 system-view //进入系统视图 password-control length 8 // 配置密码长度最小为8位 pa……
文章目录
关闭
目 录