配置暴力破解防护
在暴力破解攻击中,攻击�者通过尝试使用许多不同的密码来猜测密码。您可以配置事件代理,在多次认证失败后暂时锁定本地账户,作为缓解措施。
此功能覆盖的账户类型包括:
- 本地 Linux 账户(设备)
- 本地 CLI 账户(设备、容器镜像)
来自集成(LDAP、RADIUS、OAuth 等)的账户不属于此功能,尽管在使用 SSH 时,LDAP 和 RADIUS 账户会受到锁定的影响.
要启用暴力破解防护,请输入以下命令:
solace(configure/authentication)# brute-force-protection no shutdown
启用暴力破解防护后:
- 管理账户在 15 分钟内连续 10 次认证失败将导致该特定管理账户被锁定 15 分钟.
- 成功登录将重置计数.
- 对于设备,这不适用于串行控制台.
- 对于 SSH,这适用于本地、LDAP 和 RADIUS 账户.
- 对于 SEMP,这仅适用于本地账户(不适用于 LDAP、RADIUS 或 OAuth 账户).
要禁用暴力破解防护,请输入以下命令:
solace(configure/authentication)# brute-force-protection shutdown
禁用暴力破解防护后,事件代理不会进行密码猜测缓解.
启用暴力破解防护时存在拒绝服务的风险.
要缓解此风险,您应该添加额外的非默认管理员管理用户。您还可以添加 LDAP 管理用户以缓解 SEMP 访问的此问题.
如果管理员账户被锁定,您可以采取多种方法来解决此问题:
- 使用未被锁定的不同管理用户.
- 使用设备或主机控制台登录.
- 如果您使用的是容器镜像,可以通过 solacectl cli、docker/podman/kubectl exec 等连接.
- 使用 LDAP、RADIUS 或 OAuth 管理用户通过 SEMP 连接.
- 如果 SEMP 被锁定,使用 SSH;如果 SSH 被锁定,使用 SEMP(SSH 和 SEMP 分别跟踪锁定).
- 使用网络级访问控制来防止攻击,例如在交换机上阻止攻击 IP 地址。这是阻止大多数拒绝服务攻击的标准方法.