반응형
리눅스 계정 잠금 임계값 설정
점검 내용 : 사용자 계정 로그인 실패 시 계정잠금 임계값이 설정되어 있는지 점검
판단기준 : 계정 잠금 임계값을 10회 이하의 값으로 설정되어 있는 경우
점검 및 조치 방법
system-auth 파일
vim /etc/pam.d/system-auth#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required pam_env.so
auth required pam_faildelay.so delay=2000000
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 1000 quiet_success
auth required pam_deny.so
account required pam_unix.so
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 1000 quiet
account required pam_permit.so
password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_limits.so
-session optional pam_systemd.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so728x90
system-auth 설정 파일을 편집
vim /etc/pam.d/system-authauth required pam_tally.so deny=5 unlock_time=120 no_magic_rootaccount required pam_tally.so no_magic_root reset| 옵션 | 설명 |
| no_magic_root | root에게는 패스위드 잠금 설정을 적용하지 않음 |
| deny=5 | 5회 입력 실패 시 패스워드 잠금 |
| unlock_time | 계정 잠김 후 마지막 계정 실패 시간부터 설정된 시간이 지나면 자동 계정 잠김 해제(단위: 초) |
| reset | 접속 시도 성공 시 실패한 횟수 초기화 |
system-auth 설정 파일을 sed 명령어로 변경
sed -i '5 i\auth required pam_tally.so deny=5 unlock_time=120 no_magic_root' /tmp/system-authsed -i '14 i\account required pam_tally.so no_magic_root reset' /tmp/system-auth
728x90
반응형
'리눅스' 카테고리의 다른 글
| MySQL 서버에 MySQL by Zabbix 에이전트 템플릿을 구성하는 방법 (0) | 2023.06.19 |
|---|---|
| CentOS 7에서 Apache를 소스 코드로 설치하고 HTTP/2를 활성화하는 방법 (0) | 2023.06.15 |
| curl 명령어 (0) | 2023.06.12 |
| 우분투에 screen을 설치하고 사용하는 방법 (0) | 2023.06.12 |
| 일반적으로 Git 리포지토리를 GitHub에 올리는 방법 (0) | 2023.06.09 |
