FullStack/40. Linux

[CentOS] 로그인 잠금 자동 초기화

nakanara 2021. 1. 14. 01:52
반응형

로그인 잠금 자동 초기화 설정

리눅스에서 패스워드 실패에 대한 자동 초기화 설정

해당 설정을 위해서는 2개의 파일을 변경해야 한다. 변경하는 파일의 내용은 동일하나 파일별 역할이 다르다.

  • /etc/pam.d/system-auth - 로컬 로그인에 대한 설정
  • /etc/pam.d/password-auth - ssh, ftp 등 리모트 접근 대한 설정
$ vi /etc/pam.d/system-auth
# /etc/pam.d/system-auth
auth        required      pam_env.so
auth        required      pam_tally2.so deny=5 unlock_time=600 # 추가 
auth        required      pam_faildelay.so delay=2000000
auth        sufficient    pam_fprintd.so
auth        sufficient    pam_unix.so nullok try_first_pass

account     required      pam_unix.so
account     required      pam_tally2.so # 추가 
account     sufficient    pam_localuser.so
# /etc/pam.d/password-auth
auth        required      pam_env.so
auth        required      pam_tally2.so deny=5 unlock_time=600 # 추가 
auth        required      pam_faildelay.so delay=2000000
auth        sufficient    pam_fprintd.so
auth        sufficient    pam_unix.so nullok try_first_pass

account     required      pam_unix.so
account     required      pam_tally2.so # 추가 
account     sufficient    pam_localuser.so

  • auth 2번째 라인 이상에 위치해야지 정상 작동
    auth required pam_tally2.so deny=5 unlock_time=600 # 추가

    • deny: 패스워드 실패 수
    • unlock_time: 초기화 시간(초)

  • account 2번째 라인 이상 위치해야지 정상 작동
    account required pam_tally2.so # 추가

로그인 실패 횟수

$ pam_tally2 -u userid
Login           Failures Latest failure     From
userid             0

$ pam_tally2 -u userid
Login           Failures Latest failure     From
userid             1    01/14/21 01:21:07  111.111.111.111

로그인 실패 초기화

$ pam_tally2 -u userid -r
Login           Failures Latest failure     From
userid             0

참고

  • 로그인 이력
$ last

userid    pts/26       111.111.111.111    Mon Jan  4 09:18 - 12:26  (03:07)
userid    pts/5        111.111.111.111    Mon Jan  4 08:28 - 12:19  (03:51)
  • 특정 사용자 로그인 이력
$ last userid

userid    pts/26       111.111.111.111    Mon Jan  4 09:18 - 12:26  (03:07)
userid    pts/5        111.111.111.111    Mon Jan  4 08:28 - 12:19  (03:51)
  • 사용자 이전 접속 이력

-t 옵션으로 할 경우 YYYYMMDDHH24MISS(년월일시분초) 이전 기록 표시

$ last -t 20200114000000

로그인의 기록은 /var/log/wtmp에 기록되어 있으며, 과거 로그 이력이 없는 경우는 /etc/logrotate.conf 설정에 의해서 파일명을 변경해서 백업해두고 있다.

$ last -f /var/log/wtmp-20201231
  • 로그인 실패 이력
$ lastb

userid    ssh:notty    111.111.111.111    Mon Jan  4 16:54 - 16:54  (00:00)
userid    ssh:notty    111.111.111.111    Mon Jan  4 10:18 - 10:18  (00:00)
  • 최종 로그인 이력
$ lastlog

Username         Port     From             Latest
root             pts/6                     Thu Jan 14 01:44:12 +0900 2021
bin                                        **Never logged in**
daemon                                     **Never logged in**
adm                                        **Never logged in**

#centos #password #reset #last

반응형
저작자표시