- http://www.fprog.org/~mura-masa/diary/?date=20111130
- man pam_tally2
/etc/pam.d/password-auth
authã®å†’é 部分ã«è¿½è¨˜ã€‚(pam_env.soã®æ¬¡ï¼Ÿ)
下ã®ä¾‹ã¯åˆè¨ˆå¤±æ•—3回ã™ã‚‹ã¨ãƒãƒƒã‚¯ã•ã‚Œã‚‹ã€‚(ãƒãƒƒã‚¯ã•ã‚Œã‚‹ã¾ã§ã®é€”ä¸ã«ä¸€åº¦ã§ã‚‚èªè¨¼æˆåŠŸã—ãŸã‚‰å¤±æ•—回数ã¯ã‚¯ãƒªã‚¢ã•ã‚Œã‚‹)
auth required pam_env.so auth required pam_tally2.so deny=3
当然ã ã‘ã©sshã®èªè¨¼ã§åˆ©ç”¨ã™ã‚‹å ´åˆã¯sshd_configã«UsePAM yes ã¨è¨˜è¿°ã—ã¦ãŠãã“ã¨ã€‚
pam_tally2 option
- deny=n
失敗回数ãŒã“ã®æ•°å€¤ã«é”ã™ã‚‹ã¨ãƒãƒƒã‚¯ã™ã‚‹
- unlock_time=n
最後ã«å¤±æ•—ã—ã¦ã‹ã‚‰ã“ã®è¨å®šç§’数経éŽã™ã‚‹ã¨ã‚¢ãƒ³ãƒãƒƒã‚¯ã™ã‚‹ã€‚è¨å®šã—ãªã„å ´åˆã€pam_tally2 コマンドã§æ‰‹å‹•ã§(ã‚ã‚‹ã„ã¯cronãªã©ã§å®šæœŸçš„ã«)アンãƒãƒƒã‚¯ã™ã‚‹ã¾ã§ã€ãƒ¦ãƒ¼ã‚¶ã¯ãƒãƒƒã‚¯ã•ã‚ŒãŸã¾ã¾
- even_deny_root
rootã‚‚ãƒãƒƒã‚¯å¯¾è±¡ã«å«ã‚ã‚‹ã‹ã©ã†ã‹ã€‚defaultã¯å«ã¾ãªã„
- root_unlock_time=n
rootã®unlock_timeを個別ã«è¨å®šã™ã‚‹å ´åˆã¯ã“ã“を指定
log
/var/log/tallylog
# binaryãªã®ã§ç›´æŽ¥è¦‹ã‚‹ã®ã§ã¯ãªãã¦ã€pam_tally2 コマンドãŒå†…部的ã«å‚ç…§ã—ã¦ã„ã‚‹ãƒã‚°
確èª
# pam_tally2 [-u username]
失敗回数をリセット
# pam_tally2 -u user --reset
