Standardmäßig ist keine Begrenzung der maximal erlaubten Fehlversuche bei der Authentisierung von lokalen Benutzern aktiv. Dies bedeutet, ein Angreifer kann solange ein lokalen Benutzer und sein Passwort mittels Brute-Force ausprobieren, wie dieser möchte. Um dieses zu verhindern, muss die Anzahl der Passwort-Wiederholungsversuche für einen lokal verwalteten Benutzer eingeschränkt werden. Hierzu muss die Authentifizierung und das Accounting von fehlgeschlagenen Anmeldeversuchen aktiviert werden.
Mit den folgenden Konfigurationszeilen ist dies schnell umgesetzt.
aaa authentication ssh console LOCAL
aaa authentication http console LOCAL
aaa proxy-limit 3
aaa authentication secure-http-client
aaa local authentication attempts max-fail 3
Jetzt kann es passieren, dass ein Benutzerkonto gesperrt ist. Was nun? Muss ich jetzt einen neuen Benutzer anlegen oder kann ich die Statistiken und auch den Sperrstatus wieder zurücksetzen? Nein es muss nicht ein neuer Benutzer angelegt werden, beim Zurücksetzen der Statistiken helfen die folgenden vier Befehle (im Level 15 Modus).
- entsperren des betroffenen Benutzers: clear aaa local user lockout username %username%
- löschen/zurücksetzen der fehlerhaften Anmeldestatistik vom Benutzer: clear aaa local user fail-attempts username %username%
- anzeige aller lokalen Benutzer inclusive deren Statistiken: show aaa local user
- anzeige aller gesperrten Benutzer: show aaa local user lockout