LinuCレベル3 303試験の例題と解説

326.3ユーザの管理と認証

LinuC 303試験の試験範囲から「326.3 ユーザの管理と認証」についての例題を解いてみます。
このテーマは【重要度5】です。ログイン失敗時のアカウントロックアウトの方法を覚えましょう。
■トピックの概要
このトピックの内容は以下の通りです。
<326.3 ユーザの管理と認証>
重要度 5
<説明>
ユーザアカウントの管理と認証について精通していることが求められる。これには、NSS、PAM、SSSDおよびローカルとリモートのディレクトリのKerberos、パスワードポリシーの強要と同様の認証メカニズムの設定と使用を含む。
<主要な知識範囲>
・NSSの理解と設定。
・PAMの理解と設定。
・パスワードの複雑性ポリシーと定期変更の施行。
・ログインの失敗試行回数超過時の自動アカウントロック。
・SSSDの設定と使用。
・SSSDと使用するためのNSSとPAMの設定。
・AD、IPA、LDAP、Kerberosおよびローカルドメインに対するSSSD認証の設定。
・Kerberosのチケットの取得と管理。
<重要なファイル、用語、ユーティリティ>
・nsswitch.conf
・/etc/login.defs
・pam_cracklib.so
・chage
・pam_tally.so, pam_tally2.so
・faillog
・pam_sss.so
・sssd
・sssd.conf
・sss_* コマンド
・krb5.conf
・kinit, klist, kdestroy
■例題
ログイン失敗時にアカウントを自動的にロックアウトする設定を行いたい。
下記の説明のうち、誤っているものを選択してください。
1. ログイン失敗時に自動的にアカウントロックを行うために pam_tally2 を使用する。
2. アカウントロックまでのログイン失敗回数とロック解除までの時間を指定することができる。
3. アカウントがロックアウトされると、ロック解除時間が経過するまでロック解除を行うことができない。
4. rootユーザのログイン失敗時アカウントロックを行うこともできる。
※この例題は実際の試験問題とは異なります。


解答と解説

答えは「3. アカウントがロックアウトされると、ロック解除時間が経過するまでロック解除を行うことができない。」です。

pam_tally2を使用すると、指定した回数ログインに失敗した時に自動的にアカウントをロックアウトすることができます。
pam_tally2を有効にするためには、PAMの設定ファイルに下記の設定を追加します。
CentOS7の場合、/etc/pam.d/system-auth と /etc/pam.d/password-auth
Debian9の場合、/etc/pam.d/common-auth
------ 設定例 ------
  :
auth        required      pam_tally2.so deny=6 unlock_time=600 ← (追加)
  :
------ ------ ------
pam_tally2は主なオプションを以下に示します。
deny=n
アカウントロックまでのログイン失敗回数
unlock_time=n 
アカウントロックが自動的に解除されるまでの時間(秒)
even_deny_root
rootユーザもアカウントロックを行う
root_unlock_time=n
rootユーザのアカウントロックが自動的に解除されるまでの時間(秒)
管理者はpam_tally2コマンドを使用して、ロックアウト状態の確認や強制ロックアウト解除を行うことができます。
ロックアウト状態の確認
------ 実行例 ------
# pam_tally2 
Login           Failures Latest failure     From
user00              1    01/21/19 11:39:35  pts/1
user01              9    01/21/19 11:49:04  pts/2
user02              3    01/21/19 11:59:15  pts/3
------ ------ ------
ログインユーザ名、ログイン失敗数、最後にログイン失敗した時間等が表示されます。
強制ロックアウト解除
------ 実行例 ------
# pam_tally2 -u user01 -r
Login           Failures Latest failure     From
user01              9    01/28/19 01:59:04  pts/3
------ ------ ------
pam_tally2 -u ユーザ名 -r を実行すると、指定したユーザのログイン失敗履歴がリセットされ、ロックアウトが解除されます。
例題の選択肢について解説します。
1. ログイン失敗時に自動的にアカウントロックを行うために pam_tally2 を使用する。
正しい説明です。
2. アカウントロックまでのログイン失敗回数とロック解除までの時間を指定することができる。
正しい説明です。
3. アカウントがロックアウトされると、ロック解除時間が経過するまでロック解除を行うことができない。
誤っています。
管理者はpam_tally2コマンドを使用することにより、強制ロックアウト解除を行うことができます。
4. rootユーザのログイン失敗時アカウントロックを行うこともできる。
正しい説明です。
rootユーザがロックアウトされると、アカウントロックが解除されるまで特権ユーザの操作ができなくなってしまいますので、注意が必要です。
アカウントロックアウトの仕組みを理解し、セキュアなログイン環境の設定方法を覚えておきましょう。
■例題作成者
ページトップへ