centos pam_tally2 로그인 실패 횟수 초기화
- IT/리눅스(Linux)
- 2022. 6. 9.
리눅스 CentOS에서는 계정 인증 정보를 관리하는 모듈이 있습니다. pam_tally2라는 모듈인데요, 이 모듈에 대해서 알아보도록 하고, 패스워드 실패 횟수 초과 시 해제하는 방법에 대해서도 알아보겠습니다.
pam_tally2 PAM(Pluggable Authentication Module)
pam_tally2 모듈은 시스템에 대한 인증을 제공합니다.
인증 실패 횟수가 많으면 접근을 제한하고 성공하면 횟수를 초기화하는 등의 역할을 수행합니다.
REHL6 에서부터는 pam_tally2를 사용하고 이전에는 pam_tally를 사용했습니다.
pam_tally2 명령어를 통해 로그인 실패 횟수를 확인할 수 있습니다.
pam_tally2 -u sysadmin
인증 실패 횟수 초기화
pam_tally2 -u sysadmin -r
-r 옵션은 reset의 약자로 사용됩니다.
아마 이 명령어를 보러오신 분들이 가장 많을 것으로 생각됩니다. 아래에 팁들도 많으니 확인하고 가세요!
pam_tally2 사용 방법
pam_tally2:
[-f rooted-filename]
[--file rooted-filename]
[-u username]
[--user username]
[-r]
[--reset[=n]]
[--quiet]
시스템 인증 정보 변경 방법
vi /etc/pam.d/system-auth
system-auth 파일을 열어서 안에 계정 인증 정책을 수정할 수 있습니다.
5회 인증 실패시 120초간 계정 잠금
auth required pam_tally2.so deny=5 unlock_time=120
account required pam_tally2.so
pam_tally2 옵션
AUTH
인증 단계는 로그인 시도 카운터를 증가시키고 유저의 액세스가 거부되어야 하는지 검사한다. 만약 유저가 인증되고 pam_setcred를 호출하여 로그인이 된다면, 시도 횟수를 초기화
deny=n
유저가 로그인을 n번이상 실패하면 액세스를 거부한다(접근 차단)
lock_time=n
로그인 시도 실패 후 n초 동안 모든 액세스를 거부한다
unlock_time=n
로그인 실패 후 n초가 지나고 액세스를 허용한다
magic_root
uid=0(root) 인 유저가 이 모듈을 사용할 때 카운터는 증가되지 않는다
no_lock_time
해당 유저를 위해 /var/log/faillog 안에 .fail_locktime 필드를 사용하지 않는다
even_deny_root
root 계정을 사용할 수 없게 될 수 있다
root_unlock_time=n
이 옵션은 evendenyroot 옵션을 의미한다. root 계정의 로그인 시도 실패 n초 후 액세스를 허용한다. 만약 이 옵션을 사용한다면 root 유저는 최대 허용 시도를 초과한 후 지정된 시간 동안 차단된다