pam_tallyのオプション

CentOS 5Link (多分RedHat Linux 5.xも)から、PAM認証モジュールのひとつ、認証失敗回数をカウントするpam_tallyの既定動作およびオプション指定が変わっているのにいまさら気づく(^^;)

大きなところでは、
no_magic_root → magic_root
rootの認証失敗をカウントするかどうか。rootでログインできなくなる可能性が出ますが、カウントしないとrootのパスワードをターゲットにしたクラッキングを許す可能性が。4.xではno_magic_rootを指定してrootも例外扱いしないと明示する必要があったのに対し、5.xではmagic_rootで特別扱いを明示する。
reset → no_reset
一回認証が成功するとそれまでの失敗カウントを帳消しにするかどうか。4.xではresetを指定して帳消しを明示する必要があったのに対し、5.xではno_resetで帳消ししないことを明示する。
[2009/2/22 追記] どうやらオプションを記述する箇所も変更になっていた模様。影響が大きそうなのはdenyオプションで、多くのページではaccountインターフェースに指定すると書いてありますが、RHEL5はauthインターフェースに指定するみたいです。これを間違うと規定回数ログイン失敗しても素通しになるみたいで。こんな大事なことが検索一発で出てこないって、周知方法考え直したほうがよくないですか? > RH

— posted by mu at 10:20 am   commentComment [0]  pingTrackBack [0]

この記事に対する TrackBack URL:

設定によりTB元のページに、こちらの記事への言及(この記事へのリンク)がなければ、TB受付不可となりますのであらかじめご了承下さい。

コメントをどうぞ。 名前(ペンネーム)と画像認証のひらがな4文字は必須で、ウェブサイトURLはオプションです。

ウェブサイト (U):

タグは使えません。http://・・・ は自動的にリンク表示となります

:) :D 8-) ;-) :P :E :o :( (TT) ):T (--) (++!) ?;w) (-o-) (**!) ;v) f(--; :B l_P~ (QQ)

     

[X] [Top ↑]

T: Y: ALL: Online:
ThemeSwitch
  • Basic
Created in 0.0187 sec.
prev
2008.3
next
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31