[리눅스] 계정 잠금 임계값 - PAM 모듈 수정으로 로그인 불가능 시 조치 방법

 
환경 : centos 7

 
 
해당 항목은 조치 시 영향을 가장 중요하게 봐야합니다.

HP-UX 경우 Trusted Mode로 전환 시 파일시스템 구조가 변경되어  운영 중인 서비스에 문제가 발생할 수 있으므로 충분한 테스트를 거친 후  Trusted Mode로의 전환이 필요함 Liunx의 pam.d/system-auth의 내용 수정 시 해당 라이브러리가 실제 존재하는지 확인 필요 (/lib/security/pam_tally.so – 파일 미존재시 모든 계정이 로그인 안되는 장애가 발생될 수 있음)

 
 

Liunx의 'pam.d/system-auth'의 내용 수정할 때 ' /lib/security/pam_tally.so' 파일이 존재하지 않으면 로그인 불가해져
콘솔, vty등 모든 방법, 루트 포함 모든 계정으로의 접속이 불가능해질 수 있습니다.
 
 
 
ROOT, 사용자 계정등 모든 계정으로 로그인해도
login failed..라는 문구만 뜹니다.
 
 
pam모듈은 참조되는 연관 파일이 모두 계정 및 로그인 시스템 파일이므로 다루는데 주의하셔야 합니다. 
절대로..........절대로 백업 없이 조치하지 마세요.
만약 취약으로 진단되어 조치할 시에는
 
1. 롤백 시스템 사용
2. 시스템 사전 백업
3. 스냅샷 찍어두기
 
위에 세가지 방법등 사전 백업 후 작업을 진행해야 합니다.
2번의 경우 보다는 실질적으로 1,3번이 가장 시스템 복구가 빠른 방법이라고 생각합니다.
 
 
 
...

 
 
만약에 해당 파일을 잘못 만져서 시스템 접근이 불가능해진 경우 아래의 방법이 존재하긴 합니다.
 

1. 롤백 시스템 존재 시 오버라이트 설정 켜서 복구 2. 싱글모드로 부팅 후 수정한 파일을 수정 전으로 복구

 
어떻게 아냐구요? 저도 알고싶지 않았습니다....
경험상 pam 모듈을 만져서 로그인이 불가능한 경우엔
시스템 운영상에 직접적 문제가 발생하기보단 로그인만 불가능해진 상태인거라
복구만 잘 되면 시스템은 계속 정상작동 하는 것으로 보였습니다.
따라서 당황하지 마시고 시스템 운영 상태 먼저 확인 후 빠르게 복구조치 하시길 바랍니다.