◆当blogは、Linuxサーバ構築する際の実際の設定手順を個人的メモとして記載しております。LinuC試験の役に立つ情報があるかも…？

LinuC（Linux技術者認定資格）＆リナックスサーバ構築設定事例

カテゴリー「Linux_PAM」の記事一覧

« PREV
| HOME |
NEXT »

2025.06.18
[PR]
2024.08.04
【Linux】認証ロックのテスト
2024.07.21
【Linux】PAM設定

[PR]

[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。

【Linux】認証ロックのテスト

#=============================

# ■ PAM設定と認証確認テスト

#-----------------------------

#【設定】以下のファイルに設定する

# /etc/pam.d/system-auth、/etc/pam.d/password-auth

#-----------------------------

#【auth セクション】

# ⇒以下の★行を２個追記

#-----------------------------

auth required pam_env.so

auth required pam_faildelay.so delay=2000000

auth [default=1 ignore=ignore success=ok] pam_usertype.so isregular

auth [default=1 ignore=ignore success=ok] pam_localuser.so

auth sufficient pam_unix.so nullok try_first_pass

auth [default=1 ignore=ignore success=ok] pam_usertype.so isregular

auth sufficient pam_sss.so forward_pass

★ auth required pam_faillock.so preauth silent audit deny=3 unlock_time=0

★ auth [success=1 default=bad] pam_unix.so

★ auth [default=die] pam_faillock.so authfail audit deny=3 unlock_time=0

★ auth sufficient pam_faillock.so authsucc audit deny=3 unlock_time=0

auth required pam_deny.so

#-----------------------------

#【account セクション】

# ⇒以下の★行を１個追記

#-----------------------------

account required pam_unix.so

★ account required pam_faillock.so

account sufficient pam_localuser.so

account sufficient pam_usertype.so issystem

account [default=bad success=ok user_unknown=ignore] pam_sss.so

account required pam_permit.so

#-----------------------------

#【password セクション】

#-----------------------------

★ password requisite pam_pwquality.so try_first_pass retry=3 minlen=8 dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 enforce_for_root

## password requisite pam_cracklib.so try_first_pass retry=3 minlen=8 dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 enforce_for_root

★ password sufficient pam_unix.so sha512 shadow nullok remember=5 try_first_pass use_authtok enforce_for_root

## password required pam_pwhistory.so sha512 shadow nullok remember=5 try_first_pass use_authtok enforce_for_root

password sufficient pam_sss.so use_authtok

password required pam_deny.so

#-----------------------------

#【session セクション】

#-----------------------------

session optional pam_keyinit.so revoke

session required pam_limits.so

-session optional pam_systemd.so

session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid

session required pam_unix.so

session optional pam_sss.so

#=============================

# ■ テスト用ユーザー作成（認証ロック）

#-----------------------------

useradd pamtest

passwd pamtest

⇒ Unixp@ssw0rd

#-----------------------------

# 認証ログイン状態確認（失敗無し）

faillock

faillock --user pamtest

#-----------------------------

# ※わざと３回パスワード入力間違えて認証ロックさせる

su - pamtest

#-----------------------------

# 認証ログイン状態確認（３回失敗している）

faillock

faillock --user pamtest

#-----------------------------

# 認証ロックを手動解除

faillock --user pamtest --reset

#-----------------------------

# 認証ログイン状態確認（リセットされている）

faillock

faillock --user pamtest

【Linux】PAM設定

#-----------------------------
# ■ PAM設定

#-----------------------------

#【例】

# ｜module-type|control |module-path |arguments

# ｜① auth |② required|③ pam_unix.so|④

#-----------------------------

# ①モジュールタイプ（機能）

# account （アカウント有効期限）

# auth （パスワードの認証）

# password （パスワードの変更）

# session （認証前後に実行させる処理（ログ等））

#-----------------------------

# ②コントロール（成功/失敗した場合の挙動）

# required （完了するまで処理継続）

# requisite （失敗したらすぐに通知）

# sufficient （失敗してても次に進む）

# optional （他のモジュールが無い場合に認証）

# include （別ファイルを読み込む）

#-----------------------------

# ③module-path（モジュール名）

# 「pam_unix.so」等のモジュール名

#-----------------------------

# ④arguments（追加情報）

# モジュールに与える追加情報

# 無効な名前の引数は無視される

#-----------------------------

# PAMモジュールファイル

# /lib64/security/ディレクトリ配下

#-----------------------------

# PAM設定ファイル

# /etc/pam.d/ディレクトリ配下（優先）

# /etc/pam.d/login（ログイン用のPAM設定ファイル）

# /etc/pam.confファイル

#-----------------------------

# PAM設定の詳細情報

# /usr/share/doc/pam-バージョン番号/texts

#=============================

# ログインの試行回数制限

#=============================

#-----------------------------

# 現在のプロファイル

authselect current

#-----------------------------

# プロファイルに追加

authselect enable-feature with-faillock

#-----------------------------

# 現在のプロファイル

authselect current

#-----------------------------

# プロファイルに追加されたことを確認

grep -n faillock /etc/pam.d/system-auth

grep -n faillock /etc/pam.d/password-auth

#-----------------------------

# 設定例（/etc/security/faillock.conf）

vi /etc/security/faillock.conf

　# 3回失敗するとロック

　deny = 3

　# インターバル時間60秒

　fail_interval = 60

　# 10秒後にロックを自動解除

　unlock_time = 0

　# rootも対象とする

　even_deny_root

　# rootの自動ロック解除時間

　root_unlock_time = 10

#-----------------------------

# 設定後の確認の為、testユーザー作成

useradd test

passwd test

※別のteratermからtestユーザーでログインして

以下のようなユーザー切替をテストしてみる

#-----------------------------

※以下の一般ユーザーで３回連続でパスワード間違える

su - user

　⇒ロックされることを確認

#-----------------------------

※以下のroot切替で３回連続でパスワード間違える

su -

　⇒ロックが自動解除されることを確認

#-----------------------------

# ログイン失敗回数

faillock --user user

faillock --user root

#-----------------------------

# ロックを手動解除

faillock --user user --reset

faillock --user root --reset

更新日付

2025/06

S	M	T	W	T	F	S
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30

RECOMMEND

プロフィール

ＨＮ：

Account

ＨＰ：

--- NODATA ---

性別：

非公開

職業：

--- NODATA ---

趣味：

--- NODATA ---

自己紹介：

◆当blogは、Linuxサーバ構築する際の実際の設定手順を個人的メモとして記載しております。LinuC試験の役に立つ情報があるかも…？

リンク

管理画面

| HOME |

Design by CriCri / Photo by Melonenmann / powered by NINJA TOOLS / 忍者ブログ / [PR]