ログイン失敗でアカウントロックしたい

[河本陽一]

こうもとです。

　ログインを連続で失敗した場合に、そのアカウントをロックしようとして
います。

　以下のコマンドで、連続3回間違えると、60秒間はログインを失敗させる
ことができるようになりました。

# faillog -m 3
# faillog -l 60

　ただ、これはtelnet(おそらく、コンソールも)にしか効きませんでした。
　sshログインでも同じ状態にしたいのです。

　/etc/pam.d/ssh に、以下の行を追加してみました。

auth required pam_tally.so onerr=fail
account required pam_tally.so onerr=fail deny=3 reset

　これだと、faillogコマンドでみると失敗回数がカウントされていきます
が、何回失敗した後でも正しいパスワードを入力すればログインできてしま
います。

　コンソール、telnet、sshのすべてで同じ設定(失敗回数を引き継ぐ)にす
る方法はありませんか。

----------------------------------------------------------------------
河本陽一 <komoto...@kcc.co.jp>

[Kenshi Muto]

武藤＠Debianぷろじぇくとです。

At Tue, 15 Jul 2008 20:16:17 +0900,

河本陽一 wrote:
> 　/etc/pam.d/ssh に、以下の行を追加してみました。
>
> auth required pam_tally.so onerr=fail
> account required pam_tally.so onerr=fail deny=3 reset
>
> 　これだと、faillogコマンドでみると失敗回数がカウントされていきます
> が、何回失敗した後でも正しいパスワードを入力すればログインできてしま
> います。
>
> 　コンソール、telnet、sshのすべてで同じ設定(失敗回数を引き継ぐ)にす
> る方法はありませんか。

引き継ぐという意味がいまいちわからないのですが、
auth required pam_tally.so onerr=fail lock_time=60
ということではない？
--
武藤 健志＠ kmuto @ kmuto.jp
Debian/JPプロジェクト (km...@debian.org, km...@debian.or.jp)
株式会社トップスタジオ (km...@topstudio.co.jp)
URI: http://kmuto.jp/ (Debianな話題など)

[河本陽一]

こうもとです。

Kenshi Muto さんの書いたこと:

> 引き継ぐという意味がいまいちわからないのですが、
> auth required pam_tally.so onerr=fail lock_time=60
> ということではない？

　引き継ぐというのは、エラー回数を引き継ぐということです。
　3回間違えるとロックする設定だとすると、telnetで2回間違えた後、ssh
で1回間違えるとロックしたいのです。

　自動ロックアウトもできるとありがたいのですが、設定を単純にするため
に自動ロックアウトはなしで設定しようと思います。

　/etc/login.defs の FAILLOG_ENAB と同じ設定をsshに対しても行いたい
のです。

----------------------------------------------------------------------
河本陽一 <komoto...@kcc.co.jp>