らくがきちょう

なんとなく ~所属組織/団体とは無関係であり、個人の見解です~

Cisco SD-WAN デバイスは 5 連続でログイン失敗すると 15 分間ログイン出来ない

Cisco SD-WAN に関する Log In to a Viptela Device というドキュメントの「Log In to the vManage Web Application Server」と「Establish an SSH Session to a Viptela Device」というセクションに全く同じ下記の一文があります。

After the fifth incorrect attempt, you are locked out of the device, and you must wait 15 minutes before attempting to log in again.

つまり、「Cisco SD-WAN のデバイスへ 5 回、ログイン失敗すると 15 分間ログイン出来なくなる」と書かれています。 これは SSH ログインも、vManage への Web ログインも同じ挙動をします (例えば vManage への Web アクセスを 5 回連続で失敗すると、15 分間は SSH アクセスも出来なくなります。 逆も同様です)。

これはおそらく Viptela OS 側で制御されているわけでは無く、/etc/pam.d/sshdonerr=fail deny=5 even_deny_root unlock_time=900 設定が効いているのでは無いかと思われます。 つまり、Viptela OS の設定を変更し、試行回数上限を変更したりは出来ない ということだと思われます。 root ユーザへ昇格して /etc/pam.d/sshd を書き換え、sshd を再起動出来れば振る舞いを変更出来ると予想されますが、root ユーザへの昇格方法は一般公開されていないと思われますので、実際には「試行回数上限やロックアウト時間は変更不可能」と考えておいた方が良いと思われます。

vEdge# request execute cat /etc/pam.d/sshd
auth       required     pam_listfile.so item=user sense=deny file=/etc/sshusers
auth       [success=1 default=ignore]  pam_succeed_if.so uid eq 1002 quiet
auth       required     pam_tally2.so  onerr=fail deny=5 even_deny_root unlock_time=900
auth       required     pam_permit.so
auth       optional     pam_faildelay.so  delay=3000000
auth       [success=done new_authtok_reqd=done ignore=ignore default=2]   pam_unix.so try_first_pass vip_no_default
auth       [success=done new_authtok_reqd=done ignore=ignore default=1]   pam_radius_auth.so  conf=/etc/raddb/server
auth    [success=done new_authtok_reqd=done ignore=ignore default=bad]    pam_tacplus.so  login=pap prompt=Password: try_first_pass conf=/etc/raddb/tacacs
auth       optional     pam_exec.so /usr/bin/vconfd_notifier system-aaa-login-fail
auth       requisite    pam_deny.so
account    required     pam_nologin.so
account    required     pam_tally2.so
account    [success=done new_authtok_reqd=done perm_denied=die default=ignore]    pam_tacplus.so service=ppp  protocol=ip conf=/etc/raddb/tacacs
account    [success=1 default=ignore] pam_succeed_if.so uid ne 1002 quiet
account    sufficient   pam_unix.so
password   include      common-password
session    optional     pam_keyinit.so force revoke
session    sufficient   pam_unix.so
session    required     pam_loginuid.so
session    requisite    pam_deny.so

参考