관리 메뉴

플랫폼공작소 IT Blog

[CentOS] 계정 잠금 임계값 설정 본문

OS, 하드웨어/Linux

[CentOS] 계정 잠금 임계값 설정

솜픽(Sompic) 플랫폼공작소 2017. 1. 13. 16:04

계정 잠금 임계값 설정

 

패스워드를 여러번 틀렸을 때 제한 횟수를 걸어 몇 분동안 로그인에 접속 못하게 하는 방법.

계정에 대해 잠금 임계값이 설정되어 있지 않을 경우 해커가 패스워드 추측을 통한 계정 유추를 시도할 수 있다. 잘못된 패스워드를 일정 횟수 이상 입력할 경우 계정이 잠기도록 해야한다.

 

1. 잠금 설정

 

tally 파일이 centos 버전 혹은 bit마다 다르므로 아래의 명령어를 통해서

어디에 위치하고 있는지 확인해야한다.

find / -name ‘*pam_tally*’




문서작성자의 서버 pam_tally2.so 파일은 /lib64/security/pam_tally2.so 의 위치에 존재한다.

 

$ vi /etc/pam.d/sshd

auth required /lib64/security/pam_tally2.so onerr=fail deny reset

// root는 실제로 틀려도 잠금을 하지는 않음, 실패 횟수 리셋

account required /lib64/security/pam_tally2.so onerr=fail

 

$ vi /etc/pam.d/system-auth-ac

auth required /lib64/security/pam_tally2.so deny=5 reset unlock_time=1800

// 5번 실패하면 1800(30) 잠금 후 해제

account required /lib64/security/pam_tally2.so

 

 

2. 해제 설정

$ pam_tally2 -u [계정명] -r

 

 

주의사항

1. 모듈이 제대로 경로에 위치하는지 확인 해야 함.(64bit/lib64/security 에 모듈 위치)

2. pam_tally2 -u [계정명] 으로 실패횟수 카운트 하는지 확인.

 

위 내용을 맨 밑에 추가해준다

deny=5 // 5회 틀릴시 계정 잠금

unlock_time=1800 //계정 잠금후 1800초(30분) 후 잠금해제

no_magic_root // 루트 계정 잠금설정 안함

reset // 접속성공시 실패회수 초기화


감사합니다.

2 Comments
댓글쓰기 폼