[ubuntu-jp:6635] 【質問】pam設定に関する問い合わせ・TLS無効化に関する問い合わせ

SHIMAMURA RIN(島村 凜) rin-shimamura @ nec.com
2023年 9月 22日 (金) 07:35:10 UTC 

■1件目:pam設定に関する問い合わせ
以下の要件を満たすため、pamの設定を試行しております。
・3回ログイン失敗でアカウントロック
・無期限でアカウントロック
suにてパスワード誤り3回でアカウントロックができることを確認しましたが、
鍵認証で誤った鍵にて認証失敗した場合は回数のカウントがされませんでした。
鍵認証でも失敗時にアカウントロックをかける方法をご教示ください。

以下、当環境における設定内容となります。※★行を追加
□/etc/pam.d/common-auth 
#
# /etc/pam.d/common-auth - authentication settings common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of the authentication modules that define
# the central authentication scheme for use on the system
# (e.g., /etc/shadow, LDAP, Kerberos, etc.).  The default is to use the
# traditional Unix authentication mechanisms.
#
# As of pam 1.0.1-6, this file is managed by pam-auth-update by default.
# To take advantage of this, it is recommended that you configure any
# local modules either before or after the default block, and use
# pam-auth-update to manage selection of other modules.  See
# pam-auth-update(8) for details.
# here are the per-package modules (the "Primary" block)
★auth required pam_faillock.so preauth silent audit deny=3 unlock_time=0
auth [success=1 default=ignore] pam_unix.so nullok
★auth [default=die] pam_faillock.so authfail audit deny=3 unlock_time=0
★auth sufficient pam_faillock.so authsucc audit deny=3 unlock_time=0
#auth requisite pam_succeed_if.so uid quiet_success
#auth required pam_faillock.so
# here's the fallback if no module succeeds
auth requisite pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
authrequiredpam_permit.so
# and here are more per-package modules (the "Additional" block)
auth optional pam_cap.so 
# end of pam-auth-update config
□/etc/pam.d/common-account 
#
# /etc/pam.d/common-account - authorization settings common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of the authorization modules that define
# the central access policy for use on the system.  The default is to
# only deny service to users whose accounts are expired in /etc/shadow.
#
# As of pam 1.0.1-6, this file is managed by pam-auth-update by default.
# To take advantage of this, it is recommended that you configure any
# local modules either before or after the default block, and use
# pam-auth-update to manage selection of other modules.  See
# pam-auth-update(8) for details.
#
# here are the per-package modules (the "Primary" block)
account [success=1 new_authtok_reqd=done default=ignore] pam_unix.so 
# here's the fallback if no module succeeds
account requisite pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
account required pam_permit.so
# and here are more per-package modules (the "Additional" block)
# end of pam-auth-update config
★account required pam_faillock.so


■2件目:TLS無効化に関する問い合わせ
UbuntuサーバにてOS全体としてTLS1.0と1.1の通信を無効化することは可能でしょうか。
可能である場合、手順をご教示ください。

-----Original Message-----
From: ubuntu-jp <ubuntu-jp-bounces @ lists.ubuntu.com> On Behalf Of ubuntu-jp-request @ lists.ubuntu.com
Sent: Friday, September 22, 2023 4:31 PM
To: SHIMAMURA RIN(島村 凜) <rin-shimamura @ nec.com>
Subject: "ubuntu-jp" メーリングリスト へようこそ

ubuntu-jp @ lists.ubuntu.com メーリングリストへようこそ!

このメーリングリストへの投稿は、以下のアドレスにメールを送信してください。


  ubuntu-jp @ lists.ubuntu.com

このメーリングリストの総合案内は、以下のページへ。


  https://lists.ubuntu.com/mailman/listinfo/ubuntu-jp

退会やオプションの変更(たとえば、まとめ読み設定の変更や、自分のパス 
ワードの変更など)は、自分の会員オプションページで行うことができます。


  https://lists.ubuntu.com/mailman/options/ubuntu-jp/rin-shimamura%40nec.com


また、次のメールアドレスにメールを送信することで、これらのオプションを 
変更することができます。

  ubuntu-jp-request @ lists.ubuntu.com

このメールアドレスに件名(Subject)または本文に help
と書いたメールを
送ると、操作方法が書かれたメールが送られてきます。


退会やオプションの変更には、以下のパスワードを使ってください。


  12261226rs

lists.ubuntu.comメーリングリストから、毎月パスワードと 
退会方法、オプションの変更方法などが書かれた備忘通知が届きます。 
不要なら、この備忘通知の送信を停止することができます。 
なお、パスワードがわからなくなった場合は、各自のオプションページには 
パスワードをメールで送信するためのボタンもあります。

-------------- next part --------------
テキスト形式以外の添付ファイルを保管しました...
ファイル名: smime.p7s
型:         application/pkcs7-signature
サイズ:     5762 バイト
説明:       無し
URL:        <https://lists.ubuntu.com/archives/ubuntu-jp/attachments/20230922/8bf1a383/attachment.bin>

ubuntu-jp メーリングリストの案内