お世話になっております。
RHEL5で3回パスワードを間違えた際、
そのアカウントを60秒間ロックしたいと考えております。
SSHのアクセスを管理したいため、pamにて設定したいのですが、
下記のようにauthへpam.tally.soの行を追加することにより、
「3回パスワードを間違えた時にそのアカウントをロックする」ことは確認できました。
# vi /etc/pam.d/system-auth
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required pam_env.so
auth required pam.tally.so deny=3
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 500 quiet
auth required pam_deny.so
:
:
「60秒間ロックする」という設定を追加したいのですが、
どのように設定する必要がありますでしょうか?
ご存知の方がいらっしゃいましたら、
ご教授の程宜しくお願い致します。
A 回答 (2件)
- 最新から表示
- 回答順に表示
No.2
- 回答日時:
VMware Player上のCentOSでやってみました。
pam_tally.soではなく、pam_tally2.soとpam_exec.soを使って下記のような感じに。
auth required pam_tally2.so deny=3
auth optional pam_exec.so debug log=/var/tmp/auth /bin/locktest
/bin/locktestはスクリプトで、内容は…
#!/bin/bash
FAILUREDATE=`date -r /var/tmp/auth +'%D %T'`
FAILURE=`/sbin/pam_tally2 | grep "${FAILUREDATE}"`
if [ $? = 0 ]; then
if [ `echo "${FAILURE}" | awk '{print $2}'` = 3 ]; then
UNLOCKUSER=`echo "${FAILURE}" | awk '{print $1}'`
echo "sleep 60;sbin/pam_tally2 --user ${UNLOCKUSER} --reset --quiet" | at now
fi
fi
微妙に汚い書き方かも知れませんが。
# スクリプト中のいくつかのコマンドは…フルパスで書いた方がいいのかも知れません。
# 一応動作確認はしていますが…。
なお、同時にログイン失敗された場合の排他処理が無いです。(/var/tmp/authファイルのタイムスタンプ使っているので…)
/var/log/secureに出力される内容から、排他できるかどうか……。
ロックがかかった状態でログイン失敗すると、/sbin/pam_tally2で出力される失敗カウントは増えていくので、注意が必要…です。
# スクリプトファイルの名前や場所、pam_exec.soのログファイルの名前や場所は適当に変更して下さい。
# rootユーザーで実行されるようですので、パーミッションは…なんとかなりますかね。
# 予めログファイル作成しておかないと、パーミッション000で作成してくれやがりました(汗)
No.1
- 回答日時:
具体的な方法はちょっとわかりませんが…
pam_exec.soで外部コマンドが起動できるようです。
pam_tally.soでロックがかかった際にpam_exec.soを呼び出すようにルールを作成して、pam_tallyコマンドでパスワードミスの回数をリセットさせるようなスクリプトを実行させれば可能なのではないか…
と思われます。
sufficient等の項目にはいろいろ条件が記述できる…ようですし。
詳しくは… man 5 pam.conf でしょうか。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- その他(プログラミング・Web制作) laravel 本番環境でメールが送れません。 1 2023/02/17 17:57
- その他(Microsoft Office) エクセル VBAについて 2 2022/09/21 22:21
- au(KDDI) au設定のログイン出来なくなりました 1 2023/01/30 13:25
- Visual Basic(VBA) VBAの繰り返し処理について教えてください。 3 2022/08/02 13:21
- Visual Basic(VBA) 順列をランダムに発生するプログラム 1 2022/11/16 12:16
- Android(アンドロイド) 助けてください。Googlepixel7を購入し、設定をいじってましたら、ロック解除のパターンという 4 2023/03/06 18:55
- Visual Basic(VBA) いつもお世話になっております、VBAで教えて頂きたいのですが 2 2022/05/05 22:20
- iPad ワイモバイルのシンプルMプランのシェアプランのSIMが、ipadに使える設定方法を教えてください。 2 2023/08/16 11:34
- 英語 下のサイトページと同じ質問なのですが、1人目と2人目の英語圏の回答者さんが違う答えを出しているような 4 2023/05/31 06:09
- 英語 「名詞+形容詞/現在分詞/過去分詞+to不定詞の副詞的用法」の語順について 7 2022/09/22 05:27
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
至急です。kubuntu24.04ltsをUS...
-
bashでシングルクォート内の変...
-
ubuntu(linux)のシャットダウン...
-
ubuntuで デイスク/deb/loopと...
-
ログにserver reached MaxReque...
-
ubuntuのシャットダウンが進ま...
-
Linux Mint でも使えないですよ...
-
Kindleアプリについて
-
linuxのIMEの件
-
ssl_error_logのエラー内容(AH...
-
Ubuntuで数字だけのユーザーア...
-
Postfixでドコモメールに送信す...
-
shellscript内のコマンドを、su...
-
cronでシェルスクリプト実行時...
-
tarで纏める際に、複数場外した...
-
UbuntuにROSをインストールしたい
-
Ubuntu22.04、nanoエディタの使...
-
VirtualBox:ヘッドレス起動の...
-
ファイル・フォルダーの削除方法
-
他のLinuxでも動くa.outの作り方
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
bashでシングルクォート内の変...
-
ubuntu(linux)のシャットダウン...
-
Ububtuでファイル共有できない...
-
WineのRufusでデバイスを検知す...
-
ubuntuで デイスク/deb/loopと...
-
複数のフォルダを同時に参照し...
-
linuxのIMEの件
-
ViエディタとVimエディタの違い...
-
LinuxでSSH接続について
-
AWSでSSH接続をしたいのですが...
-
Kindleアプリについて
-
ubuntuのシャットダウンが進ま...
-
このエラー内容について教えて...
-
Ubuntu on Xorgのログインについて
-
linuxサーバーのキャッシュをク...
-
shellscript内のコマンドを、su...
-
VirtualBox ゲストOSにPC内蔵HD...
-
LinuxMintが突然フリーズする
-
Linux Mint 日本語入力できなく...
-
ssl_error_logのエラー内容(AH...
おすすめ情報