CentOS 7
Sponsored Link

ログインの失敗回数を制限する
2015/07/23
 
ログインの連続失敗回数を制限するには以下のように設定します。
[1] ユーザーは設定された値の回数を超えて連続でログイン失敗するとアカウントがロックされます。
[root@dlp ~]#
vi /etc/pam.d/system-auth
# 以下のように追記 (ローカルログイン等では system-auth が参照される)

# deny=N で N回失敗でロック (root は適用外)

# root も適用する場合は「even_deny_root」を付加

# unlock_time=N で N秒間過ぎるとロック解除 (自動ロック解除しない場合は unlock_time 指定しない)

# even_deny_root で root も適用した場合は root_unlock_time=N で自動ロック解除期間を指定可

auth        required      pam_env.so
auth        required      pam_tally2.so deny=5 unlock_time=60
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        required      pam_deny.so

account     required      pam_unix.so
account     required      pam_tally2.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 1000 quiet
account     required      pam_permit.so

[root@dlp ~]#
vi /etc/pam.d/password-auth
# 上と同様に追記 (sshd 等では password-auth が参照される)

auth        required      pam_env.so
auth        required      pam_tally2.so deny=5 unlock_time=60
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        required      pam_deny.so

account     required      pam_unix.so
account     required      pam_tally2.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 1000 quiet
account     required      pam_permit.so
[2] 記録された失敗回数の確認や、手動でのロック解除は以下の通りです。
# あるユーザーの失敗回数を確認する

[root@dlp ~]#
pam_tally2 -u cent

Login           Failures Latest failure     From
cent                6    07/23/15 19:24:01  ttyS0

# ロックされたユーザーを手動で開放する

[root@dlp ~]#
pam_tally2 -r -u cent
 
Tweet