ユーザーポリシーの設定
ユーザーを作成するときに利用するuseraddコマンドではデフォルトで設定されるユーザー情報がある
# useradd -D
GROUP=100
HOME=/home
INACTIVE=-1
EXPIRE=
SHELL=/bin/bash
SKEL=/etc/skel
CREATE_MAIL_SPOOL=yes
デフォルトではユーザーID、グループIDはシステムで予約されているものがあり
# cat /usr/share/doc/setup-2.8.71/uidgid
新規で作成するユーザーやグループはが500番から始まるようになっているSKELにはデフォルトでユーザーホームに配置されるファイルテンプレートが設定されている
ユーザーデフォルトの変更
ユーザー作成時のホームディレクトリを変更したい場合、下記定義ファイルを変更する
# vim /etc/default/useradd
# useradd defaults file
GROUP=100
HOME=/home/users
INACTIVE=-1
EXPIRE=
SHELL=/bin/bash
SKEL=/etc/skel
CREATE_MAIL_SPOOL=yes
パスワードポリシー
- パスワードの最小文字数変更
# vi /etc/login.defs
PASS_MIN_LEN 9
- 認証フローの厳格化
またパスワード設定時に「英語大文字」「英語小文字」「数字」「記号」などを利用するように制限
# vim /etc/security/pwquality.conf
minlen = 9
dcredit = -1
ucredit = -1
lcredit = -1
OS7系よりfprintdモジュールがなくなっています。
またパスワード処理のpam_cracklib.soがpam_pwquality.soになっている。
今までpam_cracklib.soで指定してきたパスワード制御はコンフィグファイルで管理されています。
オプションは今までどおり、有効、無効、桁数を指定します。
設定後はpwquality.confを読み込むようにpamモジュールを追記する
古いパスワードの記憶設定も行う
# vim /etc/pam.d/system-auth-ac
password required pam_pwquality.so
password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=1
password required pam_deny.so
# vim /etc/pam.d/password-auth-ac
password required pam_pwquality.so
password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=1
password required pam_deny.so
パスワード認証に失敗10回した場合にユーザーをロックするように設定
# vim /etc/pam.d/system-auth-ac
auth required pam_env.so
auth required pam_faillock.so preauth silent audit deny=10 unlock_time=300
auth sufficient pam_unix.so nullok try_first_pass
auth [default=die] pam_faillock.so preauth silent authfail audit deny=10
auth requisite pam_succeed_if.so uid >= 1000 quiet_success
auth required pam_deny.so
account required pam_faillock.so
account required pam_unix.so
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 1000 quiet
account required pam_permit.so
auth required pam_env.so
auth required pam_faillock.so preauth silent audit deny=10 unlock_time=300
auth sufficient pam_unix.so nullok try_first_pass
auth [default=die] pam_faillock.so preauth silent authfail audit deny=10
auth requisite pam_succeed_if.so uid >= 1000 quiet_success
auth required pam_deny.so
account required pam_faillock.so
account required pam_unix.so
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 1000 quiet
account required pam_permit.so
authconfig ユーティリティーを使って認証設定を修正すると、
system-auth および password-auth の各ファイルはauthconfig ユーティリティーからの設定で上書きされます。
これを避けるには、設定ファイルの代わりにシンボリックリンクを作成します。
アカウントロック制御
ロックの確認
# faillock
ロックの解除
# faillock --user ${username} --reset
指紋認証
fprintdをインストールしている場合、下記のようなエラーメッセージがユーザログインのたびに出力される
XXX 01 15:05:45 hostneme fprintd: ** (fprintd:26535): WARNING **: fprint init failed with error -99
XXX 01 15:05:45 hostneme systemd: fprintd.service: main process exited, code=exited, status=157/n/a
XXX 01 15:05:45 hostneme systemd: Unit fprintd.service entered failed state.
XXX 01 15:05:45 hostneme systemd: fprintd.service failed.
pamでfprintdモジュールが呼び出されているが、fprintdサービスが停止しているため出力される
指紋認証デバイスを利用しないのであればアンインストールし、pamから認証モジュールの呼び出しをコメントアウトしておく
# yum remove fprintd
# vim /etc/pam.d/system-auth-ac
#auth sufficient pam_fprintd.so