Faillock : ログインの失敗回数を制限する
2019/12/16 |
ログインの連続失敗回数を制限するには以下のように設定します。
|
|
[1] | ユーザーは設定された値の回数を超えて連続でログイン失敗するとアカウントがロックされます。 |
[root@dlp ~]#
vi /etc/pam.d/system-auth # 以下のように追記 (ローカルログイン等では [system-auth] が参照される) # [deny=N] で N 回失敗でロック (root は適用外) # root も適用する場合は [even_deny_root] を付加 # [unlock_time=N] で N 秒間過ぎると自動ロック解除 (自動ロック解除しない場合は指定しない) # [even_deny_root] で root も適用した場合は [root_unlock_time=N] で自動ロック解除期間を指定可 auth required pam_env.so auth required pam_faillock.so preauth silent audit deny=5 auth sufficient pam_unix.so try_first_pass nullok auth [default=die] pam_faillock.so authfail audit deny=5 auth required pam_deny.so account required pam_unix.so account required pam_faillock.so password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= password sufficient pam_unix.so try_first_pass use_authtok nullok sha512 shadow password required pam_deny.so session optional pam_keyinit.so revoke session required pam_limits.so -session optional pam_systemd.so session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid session required pam_unix.so
[root@dlp ~]#
vi /etc/pam.d/password-auth # 上と同様に追記 (sshd 等では [password-auth] が参照される) auth required pam_env.so auth required pam_faillock.so preauth silent audit deny=5 auth sufficient pam_unix.so try_first_pass nullok auth [default=die] pam_faillock.so authfail audit deny=5 auth required pam_deny.so account required pam_unix.so account required pam_faillock.so password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= password sufficient pam_unix.so try_first_pass use_authtok nullok sha512 shadow password required pam_deny.so session optional pam_keyinit.so revoke session required pam_limits.so -session optional pam_systemd.so session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid session required pam_unix.so |
[2] | 記録された失敗回数の確認や、手動でのロック解除は以下の通りです。 |
# あるユーザーの失敗回数を確認する [root@dlp ~]# faillock --user cent cent: When Type Source Valid 2019-12-15 21:01:24 RHOST 127.0.0.1 V 2019-12-15 21:01:31 RHOST 127.0.0.1 V 2019-12-15 21:01:35 RHOST 127.0.0.1 V # ロックされたユーザーを手動で開放する [root@dlp ~]# faillock --user cent --reset
|