RHEL6でのpam_faillockによるアカウントロックアウト

Pam_faillockモジュールは Red Hat Enterprise Linux 6.1のテクニカルノート で紹介されました。そして、どういうわけかこれは今まで私のレーダーの下を飛んだ。

BZ＃ 644971
複数の認証試行が失敗した場合にユーザーアカウントの一時的なロックをサポートするために、新しいpam_faillockモジュールが追加されました。 この新しいモジュールにより、既存のpam_tally2モジュールよりも機能が向上します。これは、スクリーンセーバーを介して認証の試行が行われたときに、一時的なロックも可能にするためです。

セキュリティガイド は、このモジュールをセクション2.1.9.5、アカウントロックで使用する方法を説明しています。

アカウントロックを設定するには、次の手順に従います。

3回失敗した後にroot以外のユーザーをロックアウトし、10分後にそのユーザーをロック解除するには、/etc/pam.d/system-authおよび/etc/pam.d/password-authファイルのauthセクションに次の行を追加します。

auth        required       pam_faillock.so preauth silent audit deny=3 unlock_time=600
auth        sufficient     pam_unix.so nullok try_first_pass
auth        [default=die]  pam_faillock.so authfail audit deny=3 unlock_time=600

前の手順で指定したbothファイルのアカウントセクションに次の行を追加します。

account     required      pam_faillock.so

ほとんどのユーザーが探している機能が提供されるため、ここでは意図的に停止しました。 rootユーザーを含めたい場合は、提供されているリンクをお読みください。