CentOS 8 : ログインの失敗回数を制限する : Server World

Faillock : ログインの失敗回数を制限する

2019/12/16

	ログインの連続失敗回数を制限するには以下のように設定します。
[1]	ユーザーは設定された値の回数を超えて連続でログイン失敗するとアカウントがロックされます。

[root@dlp ~]#

vi /etc/pam.d/system-auth

# 以下のように追記 (ローカルログイン等では [system-auth] が参照される)

# [deny=N] で N 回失敗でロック (root は適用外)

# root も適用する場合は [even_deny_root] を付加

# [unlock_time=N] で N 秒間過ぎると自動ロック解除 (自動ロック解除しない場合は指定しない)

# [even_deny_root] で root も適用した場合は [root_unlock_time=N] で自動ロック解除期間を指定可


auth        required      pam_env.so
auth        required      pam_faillock.so preauth silent audit deny=5
auth        sufficient    pam_unix.so try_first_pass nullok
auth        [default=die] pam_faillock.so authfail audit deny=5
auth        required      pam_deny.so

account     required      pam_unix.so
account     required      pam_faillock.so

password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password    sufficient    pam_unix.so try_first_pass use_authtok nullok sha512 shadow
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
-session     optional      pam_systemd.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so

[root@dlp ~]#

vi /etc/pam.d/password-auth

# 上と同様に追記 (sshd 等では [password-auth] が参照される)


auth        required      pam_env.so
auth        required      pam_faillock.so preauth silent audit deny=5
auth        sufficient    pam_unix.so try_first_pass nullok
auth        [default=die] pam_faillock.so authfail audit deny=5
auth        required      pam_deny.so

account     required      pam_unix.so
account     required      pam_faillock.so

password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password    sufficient    pam_unix.so try_first_pass use_authtok nullok sha512 shadow
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
-session     optional      pam_systemd.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so

[2]	記録された失敗回数の確認や、手動でのロック解除は以下の通りです。

# あるユーザーの失敗回数を確認する

[root@dlp ~]#

faillock --user cent

cent:
When                Type  Source                                           Valid
2019-12-15 21:01:24 RHOST 127.0.0.1                                            V
2019-12-15 21:01:31 RHOST 127.0.0.1                                            V
2019-12-15 21:01:35 RHOST 127.0.0.1                                            V

# ロックされたユーザーを手動で開放する

[root@dlp ~]#

faillock --user cent --reset