Faillock : ログインの失敗回数を制限する2021/08/26 |
ログイン時の連続での認証失敗回数を制限するには以下のように設定します。
|
|
[1] | ユーザーは設定された値の回数を超えて連続で認証失敗するとアカウントがロックされます。 |
# 現在の認証系の設定確認 [root@dlp ~]# authselect current Profile ID: sssd Enabled features: - with-fingerprint - with-silent-lastlog # Faillock を有効にする [root@dlp ~]# authselect enable-feature with-faillock Make sure that SSSD service is configured and enabled. See SSSD documentation for more information. authselect current Profile ID: sssd Enabled features: - with-fingerprint - with-silent-lastlog - with-faillock # system-auth と password-auth に以下の設定が追加される [root@dlp ~]# grep -n faillock /etc/pam.d/system-auth 6:auth required pam_faillock.so preauth silent 13:auth required pam_faillock.so authfail 16:account required pam_faillock.so[root@dlp ~]# grep -n faillock /etc/pam.d/password-auth 6:auth required pam_faillock.so preauth silent 12:auth required pam_faillock.so authfail 15:account required pam_faillock.so
[root@dlp ~]#
vi /etc/security/faillock.conf # Faillock の詳細設定 # 有効にしたい設定をコメント解除して、必要に応じてパラメーター変更
# 10行目 : ユーザーが存在しない場合はユーザー名をロギングする # audit # 14行目 : 連続失敗回数やロック等の情報を表示しない # silent # 18行目 : 連続失敗回数やロック等の情報をロギングしない # no_log_info # 27行目 : 連続認証失敗の追跡はローカルユーザーのみに限定する # AD, Idm, LDAP 等のユーザーは無視される # local_users_only # 32行目 : ロックする連続失敗回数を設定 # [deny = 3] の場合 3回失敗するとロック # deny = 3 # 38行目 : 連続失敗回数のインターバル (秒) # 設定した時間内に連続で [deny = N] 回 認証失敗した場合にロックする # [fail_interval = 900] + [deny = 3] の場合、ある 15分間に 2回連続で認証失敗しても、 # 次の 3回目の認証失敗が 1回目から 15以上経過している場合はロックされない # fail_interval = 900 # 45行目 : ロックされた後、自動ロック解除される時間 (秒) # 自動ロック解除しない場合は [unlock_time = 0] # unlock_time = 600 # 49行目 : root アカウントも連続認証失敗時のロック対象とする # even_deny_root # 55行目 : [even_deny_root] を有効化した場合の root アカウントの自動ロック解除時間 (秒) # root_unlock_time = 900 # 62行目 : 有効化してグループ名を指定した場合、指定グループ所属ユーザーは # [even_deny_root] + [root_unlock_time = N] と同様の設定が適用される # admin_group = <admin_group_name> |
[2] | 記録された失敗回数の確認や、手動でのロック解除は以下の通りです。 |
# あるユーザーの失敗回数を確認する [root@dlp ~]# faillock --user rocky rocky: When Type Source Valid 2021-08-17 10:59:50 TTY ttyS0 V 2021-08-17 10:59:54 TTY ttyS0 V 2021-08-17 10:59:59 TTY ttyS0 V # ロックされたユーザーを手動で開放する [root@dlp ~]# faillock --user rocky --reset
|
Sponsored Link |
|