AmazonLinuxでアカウントロックをかけたい
AWS環境にアクセスするための踏み台サーバ(bastion)をAmazonLinuxを使って構築しています。
セキュリティ強化のため、長期間使っていないアカウントは自動でロックしてログイン出来なくしたいという話が出てきました。
過去に似たようなことをやったことあるし、Linuxなので楽勝でしょ!と思っていました。
案1 PAMでロックする。
/etc/pam.d/loginとか/etc/pam.d/sshdのauthセクションに追記して、しばらくログインしていないアカウントはロックさせる。
第2章 ネットワークのセキュリティ保護 - Red Hat Customer Portal
案2 お手製シェルでロックする。
lastlogコマンドでしばらくログインしていないユーザーをusermodコマンドでロックさせるシェルを仕込む方法。
海外の方が書いてくれていたシェルがありました。
pam_lastlog inactive | Oracle Community
結論から言うと、どちらの方法もうまくいきませんでした。
こちらにまとめてくれていますが、そもそもAmazonLinuxって鍵認証前提なので、各ユーザーはアカウントロックがすでにされている状態なんですよね・・・。知らなかった。
AWS amazon linuxではrootユーザーはどうやってログイン出来るの?パスワードは何? | puti se blog
何かうまい方法はないだろうか?と悶々としている日々。