下記の記述を PAM 設定ファイルに追記することで、 パスワード認証を設定した回数失敗するとアカウントがロックされる動きとなります。
=== /etc/pam.d/common-auth =============================
auth required pam_env.so
auth required pam_tally.so onerr=fail deny=5 ←----追記
auth required pam_unix2.so
========================================================
=== /etc/pam.d/common-account ==========================
account required pam_tally.so reset ←-------------追記
account required pam_unix2.so
========================================================
"deny=" でアカウントのロックアウトしきい値を指定します。上記の設定例では、5回を指定しており、 5回パスワードを間違えるとアカウントがロックされます。
なお、 5回以内に正しいパスワードを入力すると、ログインした際にロックアウトのカウント値はリセットされます。
また、アカウントロックの機能はファイル編集後からすぐに有効となりますので、OS 等の再起動の必要ありません。
pam_tally モジュールのオプション詳細につきましては、オンラインマニュアルPAM_TALLY(8)("man pam_tally") 等を合わせてご参照ください。
また、認証失敗が記録されている /var/log/faillog を参照する場合は faillogコマンドをご使用ください。
# faillog
ログイン 失敗 最大 最新 オン
user1 6 0 XX/XX/XX XX:XX:XX +0900 :0
失敗した値をクリアするには -r オプションを使用します。
# faillog -r
# faillog
ログイン 失敗 最大 最新 オン
user1 0 0 XX/XX/XX XX:XX:XX +0900 :0
コマンド詳細につきましては、オンラインマニュアル FAILLOG(8)("man faillog")等を合わせてご参照ください。
最終更新:2011年09月20日 21:23
