[Linux-Security] [CentOS 7] pam_tally2.so 모듈을 이용한 계정 잠금 임계값 설정 및 해제 System Admin
PAM의 pam_tally2.so : 로그인 시도 횟수를 카운트 하는 모듈로 실패시 관리해주는 역할 수행
|
옵션 |
설명 |
|
deny = 숫자 |
로그인 시도가 숫자만큼 실패하면 접근 차단 |
|
unlock_time = 숫자 |
일정 횟수 이상 로그인에 실패 했을 때, 숫자만큼 접근 차단 |
|
lock_time = 숫자 |
로그인 실패 후 숫자동안 접근 차단 |
예시) 계정로그인 5회 실패시 120초간 계정잠금
# cat /etc/pam.d/system-auth
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required pam_env.so
auth sufficient pam_fprintd.so
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 1000 quiet_success
auth required pam_deny.so
auth required pam_tally2.so deny=5 unlock_time=120
account required pam_unix.so
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 1000 quiet
account required pam_permit.so
account required pam_tally2.so
password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_limits.so
-session optional pam_systemd.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
pamtest 계정 생성후 정상적으로 잠기는지 확인
login as: pamtest
pamtest@ 's password:
Access denied
pamtest@ 's password:
Access denied
pamtest@ 's password:
Access denied
pamtest@ 's password:
Access denied
pamtest@ 's password:
Access denied
pamtest@ 's password:
# pam_tally2 → 잠금 계정 정보를 출력
Login Failures Latest failure From
pamtest 6 08/30/19 13:50:28 pts/2
# pam_tally2 -r -u pamtest → 잠금 계정 해제
Login Failures Latest failure From
pamtest 6 08/30/19 13:50:28 pts/2
# pam_tally2
#