はじめに
Linuxサーバー上でセキュリティを維持するため、アカウントのロックやアンロックは重要な操作です。これは、ユーザーが無限回ログインを試みる攻撃からサーバーを保護し、不正アクセスを防ぐために役立ちます。この記事では、Linuxでアカウントをロック・アンロックする方法について解説します。
症状・背景
- ユーザーがパスワードを忘れたり誤って無限回ログインしようとした場合
- 重要なデータやシステムにアクセスするための特定のユーザーだけを制御したい場合
- セキュリティ上の理由から不正なログイン試行を防ぐ必要がある場合
手順・設定方法
ステップ1: ロック状態を確認する
# 現在のパスワードファイルを表示します。
cat /etc/shadow | grep -i <ユーザー名>
# 例:rootステップ2: アカウントをロックする
# shadowファイルの権限を一時的に変更して読み取り専用にします。
sudo chmod 640 /etc/shadow
# ユーザー名とパスワードフィールド(:)を書き換えます。最初の13文字は$6$salt$hashです。
echo -e "$(grep <ユーザー名> /etc/shadow | cut -d: -f1,2)::x:" | sudo tee -a /etc/shadow > /dev/null
# 権限を元に戻します。
sudo chmod 600 /etc/shadowステップ3: アカウントをアンロックする
# shadowファイルの権限を一時的に変更して読み取り専用にします。
sudo chmod 640 /etc/shadow
# ユーザー名とパスワードフィールド(:)を書き換えます。最初の13文字は$6$salt$hashです。
echo -e "$(grep <ユーザー名> /etc/shadow | cut -d: -f1,2):$(grep <ユーザー名> /etc/shadow | cut -d: -f3-)" | sudo tee -a /etc/shadow > /dev/null
# 権限を元に戻します。
sudo chmod 600 /etc/shadowステップ4: 実践/トラブルシュート/監視
# ロックされたアカウントが正しくロックされていることを確認します。
cat /etc/shadow | grep -i <ユーザー名>注意事項
- shadowファイルの編集は慎重に行う必要があります。誤操作によりサーバー全体のアクセスに問題が生じる可能性があります。
- ロック解除後もパスワードを再設定することをお勧めします。
- セキュリティ上の理由で必要であれば、定期的にアカウント管理を行ってください。
まとめ
1. ロック状態を確認する: /etc/shadowファイルをチェックします。
2. アカウントをロックする: shadowファイルのパスワードフィールドを書き換えます。
3. アカウントをアンロックする: ロック状態から解除するために同様の手順を実行します。
4. 監視と管理: 定期的にアカウントのロック・アンロックを行います。
5. 注意点: shadowファイルの編集には十分な注意が必要です。
関連記事: