当サイトではお客さまにより良いサービスを提供するためにCookie(クッキー)を利用しています。
Cookieの利用に同意いただける場合は「同意する」ボタンをクリックしてください。
Cookieの利用に関する詳細は「Cookie(クッキー)ポリシー」から確認いただけます。
同意する

LinuCレベル3 303試験の例題と解説

326.3ユーザの管理と認証

このエントリーをはてなブックマークに追加
LinuC 303試験の試験範囲から「326.3 ユーザの管理と認証」についての例題を解いてみます。
このテーマは【重要度5】です。ログイン失敗時のアカウントロックアウトの方法を覚えましょう。
■トピックの概要
このトピックの内容は以下の通りです。
<326.3 ユーザの管理と認証>
重要度 5
<説明>
ユーザアカウントの管理と認証について精通していることが求められる。これには、NSS、PAM、SSSDおよびローカルとリモートのディレクトリのKerberos、パスワードポリシーの強要と同様の認証メカニズムの設定と使用を含む。
<主要な知識範囲>
・NSSの理解と設定。
・PAMの理解と設定。
・パスワードの複雑性ポリシーと定期変更の施行。
・ログインの失敗試行回数超過時の自動アカウントロック。
・SSSDの設定と使用。
・SSSDと使用するためのNSSとPAMの設定。
・AD、IPA、LDAP、Kerberosおよびローカルドメインに対するSSSD認証の設定。
・Kerberosのチケットの取得と管理。
<重要なファイル、用語、ユーティリティ>
・nsswitch.conf
・/etc/login.defs
・pam_cracklib.so
・chage
・pam_tally.so, pam_tally2.so
・faillog
・pam_sss.so
・sssd
・sssd.conf
・sss_* コマンド
・krb5.conf
・kinit, klist, kdestroy
■例題
ログイン失敗時にアカウントを自動的にロックアウトする設定を行いたい。
下記の説明のうち、誤っているものを選択してください。
1. ログイン失敗時に自動的にアカウントロックを行うために pam_tally2 を使用する。
2. アカウントロックまでのログイン失敗回数とロック解除までの時間を指定することができる。
3. アカウントがロックアウトされると、ロック解除時間が経過するまでロック解除を行うことができない。
4. rootユーザのログイン失敗時アカウントロックを行うこともできる。
※この例題は実際の試験問題とは異なります。

解答と解説

答えは「3. アカウントがロックアウトされると、ロック解除時間が経過するまでロック解除を行うことができない。」です。

pam_tally2を使用すると、指定した回数ログインに失敗した時に自動的にアカウントをロックアウトすることができます。
pam_tally2を有効にするためには、PAMの設定ファイルに下記の設定を追加します。
CentOS7の場合、/etc/pam.d/system-auth と /etc/pam.d/password-auth
Debian9の場合、/etc/pam.d/common-auth
------ 設定例 ------
  :
auth        required      pam_tally2.so deny=6 unlock_time=600 ← (追加)
  :
------ ------ ------
pam_tally2は主なオプションを以下に示します。
deny=n
アカウントロックまでのログイン失敗回数
unlock_time=n 
アカウントロックが自動的に解除されるまでの時間(秒)
even_deny_root
rootユーザもアカウントロックを行う
root_unlock_time=n
rootユーザのアカウントロックが自動的に解除されるまでの時間(秒)
管理者はpam_tally2コマンドを使用して、ロックアウト状態の確認や強制ロックアウト解除を行うことができます。
ロックアウト状態の確認
------ 実行例 ------
# pam_tally2 
Login           Failures Latest failure     From
user00              1    01/21/19 11:39:35  pts/1
user01              9    01/21/19 11:49:04  pts/2
user02              3    01/21/19 11:59:15  pts/3
------ ------ ------
ログインユーザ名、ログイン失敗数、最後にログイン失敗した時間等が表示されます。
強制ロックアウト解除
------ 実行例 ------
# pam_tally2 -u user01 -r
Login           Failures Latest failure     From
user01              9    01/28/19 01:59:04  pts/3
------ ------ ------
pam_tally2 -u ユーザ名 -r を実行すると、指定したユーザのログイン失敗履歴がリセットされ、ロックアウトが解除されます。
例題の選択肢について解説します。
1. ログイン失敗時に自動的にアカウントロックを行うために pam_tally2 を使用する。
正しい説明です。
2. アカウントロックまでのログイン失敗回数とロック解除までの時間を指定することができる。
正しい説明です。
3. アカウントがロックアウトされると、ロック解除時間が経過するまでロック解除を行うことができない。
誤っています。
管理者はpam_tally2コマンドを使用することにより、強制ロックアウト解除を行うことができます。
4. rootユーザのログイン失敗時アカウントロックを行うこともできる。
正しい説明です。
rootユーザがロックアウトされると、アカウントロックが解除されるまで特権ユーザの操作ができなくなってしまいますので、注意が必要です。
アカウントロックアウトの仕組みを理解し、セキュアなログイン環境の設定方法を覚えておきましょう。
■例題作成者

例題解説についてのご質問やご意見はこちらからご連絡ください。

※本例題および解説は、例題作成者から提供されたものです。実際の試験問題とは異なります。

※実際の試験問題に関するお問い合わせについてはご回答いたしかねます。あからじめご了承ください。

例題解説
試験・主題一覧
レベル1
101試験
全ての主題 主題1.01 Linuxのインストールと仮想マシン・コンテナの利用 主題1.02 ファイル・ディレクトリの操作と管理 主題1.03 GNUとUnixのコマンド 主題1.04 リポジトリとパッケージ管理 主題1.05 ハードウェア、ディスク、パーティション、ファイルシステム
102試験
全ての主題 主題1.06 シェルとスクリプト 主題1.07 ネットワークの基礎 主題1.08 システム管理 主題1.09 重要なシステムサービス 主題1.10 セキュリティ 主題1.11 オープンソースの文化
レベル2
201試験
全ての主題 主題2.01 システムの起動とLinuxカーネル 主題2.02 ファイルシステムとストレージ管理 主題2.03 ネットワーク構成 主題2.04 システムの保守と運用管理 主題2.05 仮想化サーバー 主題2.06 コンテナ
202試験
全ての主題 主題2.07 ネットワーククライアント管理 主題2.08 ドメインネームサーバー 主題2.09 HTTPサーバーとプロキシサーバー 主題2.10 電子メールサービス 主題2.11 ファイル共有サービス 主題2.12 システムのセキュリティ 主題2.13 システムアーキテクチャ
レベル3
300試験
全ての主題 主題390 OpenLDAP の設定 主題391 OpenLDAPの認証バックエンドとしての利用 主題392 Sambaの基礎 主題393 Sambaの共有の設定 主題394 Sambaのユーザとグループの管理 主題395 Sambaのドメイン統合 主題396 Sambaのネームサービス 主題397 LinuxおよびWindowsクライアントの操作
303試験
全ての主題 主題325 暗号化 主題326 ホストセキュリティ 主題327 アクセス制御 主題328 ネットワークセキュリティ
304試験
全ての主題 主題330 仮想化 主題334 高可用クラスタ管理 主題335 高可用クラスタストレージ
システムアーキテクト
SA01試験
全ての主題 主題SA.01 システムアーキテクチャ 主題SA.02 ネットワークとストレージの選定 主題SA.03 可用性の設計 主題SA.04 性能・拡張性の設計
SA02試験
全ての主題 主題SA.05 仮想マシンとコンテナの設計 主題SA.06 セキュリティ 主題SA.07 監視と分析 主題SA.08 継続的開発とテスト・デプロイ 主題SA.09 トラブルシューティング
ページトップへ