326.3ユーザの管理と認証

LinuCレベル３ 303試験の出題範囲から「326.3 ユーザの管理と認証」についての例題を解いてみます。
このテーマは、Linuxのユーザ管理や認証に関する内容が含まれます。どのような認証方法があり、どのような設定をすればよいのかを理解するには、実機で設定ファイルを確認・変更してみるのがおすすめです。

Linucレベル3 303試験 出題範囲

例題

以下の( )に入るpam_tally2.soによるSSHアクセスのアカウントロックとして正しいものはどれか、選択せよ。

[root@localhost ~]# cat /etc/pam.d/sshd 
#%PAM-1.0
auth       required     (                  )
auth       required     pam_sepermit.so
auth       substack     password-auth
auth       include      postlogin
# Used with polkit to reauthorize users in remote sessions
-auth      optional     pam_reauthorize.so prepare
account    required     pam_nologin.so
account    required     pam_tally2.so
account    include      password-auth
password   include      password-auth
.
.
.

1. pam_tally2.so lock=5 unlock_time=120
2. pam_tally2.so count=5 unlock_time=120
3. pam_tally2.so deny=5 unlock_time=120
4. pam_tally2.so fail_count=5 unlock_time=120

※この例題は実際の試験問題とは異なります。

解答と解説

正解は、「3.pam_tally2.so deny=5 unlock_time=120」です。

pam_tally2.soは、ログイン時のリトライ回数をカウントしてくれるPAMのモジュールで、以下のようなパラメータを指定します。

ロックされている状況は、pam_tally2コマンドで確認できます。

[root@localhost ~]# pam_tally2 -u don
Login           Failures Latest failure     From
don                 7    02/23/23 19:56:59  192.168.1.25

また、ロックされたアカウントを手動で解除することも出来ます。

[root@localhost ~]# pam_tally2 -u don --reset
Login           Failures Latest failure     From
don                 0

実際に操作・検証したものを以下の記事に書いたので、よかったら学習の参考にしてください。
pam_tally2.soによるアカウントロックとSSHアクセスリトライ回数の関係
　https://www.opensourcetech.tokyo/entry/20230224/1677228697

pam_tally2の詳細について、以下で確認出来ます。
　https://manpages.ubuntu.com/manpages/xenial/man8/pam_tally2.8.html

例題作成者

鯨井 貴博（LinuCエヴァンジェリスト/登録インストラクター、LPI-Japanアカデミック認定校 ゼウスITトレーニングセンター)