- ベストアンサー
LINUXのパスワード入力は無制限?
こんにちは。mihoといいます。宜しくお願いします。 LINUXのパスワード入力について質問させて下さい。 Windowsドメインではドメインにログオンするための パスワードの入力回数に制限を設けていますが (例:3回パスワード入力を失敗するとアカウントロックされる)、Linuxにはそのような制限を設ける事は出来ないのでしょうか? LINUXはWindowsよりセキュリティが強固というイメージを持っているのですが、これではパスワードの試し放題(辞書攻撃やbruteforthなどのし放題)のような 感じがしてしまうのですが・・・ よろしくお願い致します。
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
PAMのpam_tallyモジュールを利用することで設定できます。 ただ、この設定はある程度PAMについて理解をしていないと、難しいと思います。 例えば、sshに関してのみ設定をしたいのであれば /etc/pam.d/sshd の中に参考URLのpam_tallyに関する記述を2行追加すれば 4回目の失敗から拒否をすることができます。 (以下はRH9) auth required pam_stack.so service=system-auth auth required pam_tally.so onerr=fail no_magic_root auth required pam_nologin.so account required /lib/security/pam_tally.so deny=3 no_magic_root reset account required pam_stack.so service=system-auth password required pam_stack.so service=system-auth session required pam_stack.so service=system-auth session required pam_limits.so session optional pam_console.so 失敗回数のクリアはfaillogコマンドで可能です。
その他の回答 (1)
- Lean
- ベストアンサー率72% (435/603)
Linuxでパスワードの入力回数制限が出来るかどうかの方は良く知りませんが、 >LINUXはWindowsよりセキュリティが強固というイメージを持っているのですが、 >これではパスワードの試し放題(辞書攻撃やbruteforthなどのし放題)のような >感じがしてしまうのですが・・・ こちらは、例えば特定のホストとか同一LAN内のホストからのみtelnet/sshでの接続が出来て、それ以外からのtelnet/sshでの接続は全て拒否すれば、パスワードの試し放題は防げると思います。 あと、パスワードの入力回数制限が出来てアカウントロックが出来たとして、これってある意味いやがらせが出来てしまいますよね? アカウント名が分かって適当なパスワードを試し続けてアカウントロックさせてしまって、当の本人がログイン出来なくなってしまうという事が。
お礼
貴重なご意見ありがとうございました。 SSHを使うというのは「なるほどお」という感じで 眼からうろこ状態でしたww。 本当にありがとうございました。
お礼
PAMのモジュール是非チャレンジしてみます。 本当にありがとうございました。