리눅스 CentOS7 계정 잠금 임계값 설정(PAM)

1. PAM 란?

PAM은 리눅스 시스템에서 사용하는 '인증 모듈(Pluggable Authentication Modules)'로써 응용 프로그램(서비스)에 대한 사용자의 사용 권한을 제어하는 모듈입니다.

pam_tally2.so : 로그인 시도 횟수를 카운트하는 모듈이며 실패 시 관리 역할을 수행

 

2. 임계값 설정 

옵션	설명
deny = 숫자	로그인 시도가 숫자만큼 실패하면 접근 차단
unlock_time = 숫자	일정 횟수 이상 로그인에 실패했을 때, 숫자만큼 접근 차단
lock_time = 숫자	로그인 실패 후 숫자동안 접근 차단

 

2_1) 경로

cd /etc/pam.d

 

2_2) 파일명

system-auth

 

2_3) 파일 수정 및 내용 추가

vi /etc/pam.d/system-auth

예시) 계정 로그인 5회 실패시 10초간 계정 잠금

#%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run. auth        required      pam_tally2.so deny=5 unlock_time=10 auth        required      pam_env.so auth        required      pam_faildelay.so delay=2000000 auth        sufficient    pam_unix.so nullok try_first_pass auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success auth        required      pam_deny.so account     required      pam_unix.so account     sufficient    pam_localuser.so account     sufficient    pam_succeed_if.so uid < 1000 quiet account     required      pam_permit.so password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= password    requisite     pam_cracklib.so try_first_pass retry=3 minlen=8 ocredit=-1 lcredit=-1 dcredit=-1 difok=4 maxrepeat=2 password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok password    required      pam_deny.so session     optional      pam_keyinit.so revoke session     required      pam_limits.so -session     optional      pam_systemd.so session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid session     required      pam_unix.so

 

2_5) 로그인 잠김 테스트

유저 암호 7번이상 실패 10초후 실제암호로 재접근

[@TEST01 ~]$ su - test 암호: su: 인증 실패 [@TEST01 ~]$ su - test 암호: su: 인증 실패 [@TEST01 ~]$ su - test 암호: su: 인증 실패 [@TEST01 ~]$ su - test 암호: su: 인증 실패 [@TEST01 ~]$ su - test 암호: su: 인증 실패 [@TEST01 ~]$ su - test 6 로그인 실패로 인해 계정이 잠김 암호: su: 인증 실패 [@TEST01 ~]$ su - test 7 로그인 실패로 인해 계정이 잠김 암호: su: 인증 실패 [@TEST01 ~]$ su - test 암호: 마지막 로그인: 토 12월 10 22:51:52 KST 2022 일시 pts/1 마지막 로그인 실패: 일 12월 11 02:01:56 KST 2022 일시 pts/1 마지막 로그인 후 7 번의 로그인 시도가 실패하였습니다.