infra
[CentOS] 계정 잠금 임계값 설정
728x90
계정 잠금 임계값 설정
패스워드를 여러번 틀렸을 때 제한 횟수를 걸어 몇 분동안 로그인에 접속 못하게 하는 방법.
계정에 대해 잠금 임계값이 설정되어 있지 않을 경우 해커가 패스워드 추측을 통한 계정 유추를 시도할 수 있다. 잘못된 패스워드를 일정 횟수 이상 입력할 경우 계정이 잠기도록 해야한다.
1. 잠금 설정
tally 파일이 centos 버전 혹은 bit마다 다르므로 아래의 명령어를 통해서
어디에 위치하고 있는지 확인해야한다.
find / -name ‘*pam_tally*’
문서작성자의 서버 pam_tally2.so 파일은 /lib64/security/pam_tally2.so 의 위치에 존재한다.
$ vi /etc/pam.d/sshd
auth required /lib64/security/pam_tally2.so onerr=fail deny reset
// root는 실제로 틀려도 잠금을 하지는 않음, 실패 횟수 리셋
account required /lib64/security/pam_tally2.so onerr=fail
$ vi /etc/pam.d/system-auth-ac
auth required /lib64/security/pam_tally2.so deny=5 reset unlock_time=1800
// 5번 실패하면 1800초(30분) 잠금 후 해제
account required /lib64/security/pam_tally2.so
2. 해제 설정
$ pam_tally2 -u [계정명] -r
주의사항
1. 모듈이 제대로 경로에 위치하는지 확인 해야 함.(64bit는 /lib64/security 에 모듈 위치)
2. pam_tally2 -u [계정명] 으로 실패횟수 카운트 하는지 확인.
위 내용을 맨 밑에 추가해준다
deny=5 // 5회 틀릴시 계정 잠금
unlock_time=1800 //계정 잠금후 1800초(30분) 후 잠금해제
no_magic_root // 루트 계정 잠금설정 안함
reset // 접속성공시 실패회수 초기화
감사합니다.
반응형
'infra' 카테고리의 다른 글
| [리눅스] E45: 'readonly' option is set (add ! to override) (2) | 2017.02.12 |
|---|---|
| 시놀로지 NAS에서 웹 서버(war) 띄우기 (7) | 2017.02.11 |
| [서버보안] 무료 취약점 점검 툴 Lynis (0) | 2017.01.13 |
| -bash: ./startup.sh: Permission denied 톰캣 허가거부 (0) | 2016.11.10 |
| [서버 장애 대응] 외부에서 putty, winscp로 서버 접속이 안 되는 경우 (0) | 2016.08.25 |
Contents
소중한 공감 감사합니다