[Linux-Security] [CentOS 7] pam_tally2.so 모듈을 이용한 계정 잠금 임계값 설정 및 해제 System Admin

 

PAM의 pam_tally2.so : 로그인 시도 횟수를 카운트 하는 모듈로 실패시 관리해주는 역할 수행

 

 

옵션	설명
deny = 숫자	로그인 시도가 숫자만큼 실패하면 접근 차단
unlock_time = 숫자	일정 횟수 이상 로그인에 실패 했을 때, 숫자만큼 접근 차단
lock_time = 숫자	로그인 실패 후 숫자동안 접근 차단

 

 

 

 

예시) 계정로그인 5회 실패시 120초간 계정잠금

 

 

# cat /etc/pam.d/system-auth

#%PAM-1.0

# This file is auto-generated.

# User changes will be destroyed the next time authconfig is run.

auth required pam_env.so

auth sufficient pam_fprintd.so

auth sufficient pam_unix.so nullok try_first_pass

auth requisite pam_succeed_if.so uid >= 1000 quiet_success

auth required pam_deny.so

auth required pam_tally2.so deny=5 unlock_time=120

 

account required pam_unix.so

account sufficient pam_localuser.so

account sufficient pam_succeed_if.so uid < 1000 quiet

account required pam_permit.so

account required pam_tally2.so

 

password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=

password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok

password required pam_deny.so

 

session optional pam_keyinit.so revoke

session required pam_limits.so

-session optional pam_systemd.so

session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid

session required pam_unix.so

 

 

 

 

pamtest 계정 생성후 정상적으로 잠기는지 확인

 

login as: pamtest

pamtest@ 's password:

Access denied

pamtest@ 's password:

Access denied

pamtest@ 's password:

Access denied

pamtest@ 's password:

Access denied

pamtest@ 's password:

Access denied

pamtest@ 's password:

 

 

# pam_tally2 → 잠금 계정 정보를 출력

Login Failures Latest failure From

pamtest 6 08/30/19 13:50:28 pts/2

 

 

# pam_tally2 -r -u pamtest → 잠금 계정 해제

Login Failures Latest failure From

pamtest 6 08/30/19 13:50:28 pts/2

 

# pam_tally2

#