ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

vROps、vRLIなどの仮想アプライアンスのroot ロックアウト設定

VMware製品は最近、仮想アプライアンスで提供されることが多くなりましたが、これにより構築がしやすくなり、導入のコストがさがりました。


そして、VCSAの仮想アプライアンスのrootアカウントのロックアウト初期設定についてですが、デフォルトは、3回パスワード間違えで5分間ログイン不可となるようになっているそうです。

 

ダイレクト コンソール ユーザー インターフェイスへのログイン

https://docs.vmware.com/jp/VMware-vSphere/6.5/com.vmware.vsphere.vcsa.doc/GUID-5EEFCFA4-76FD-4D04-B19F-8DF5AD818684.html

 

以下の一文です。

 

重要:
無効な認証情報を 3 回入力すると、root アカウントが 5 分間ロックされます。

 

そして、設定自体は、仮想アプライアンスにログインして、以下の設定ファイルを確認すると現状の設定をチェックできます。

# cat /etc/pam.d/system-auth

 

ここでrootのアカウントも含めて3回パスワードを間違えたら、5分間(600秒)ロックアウトされることが分かります。


続いて、vROps、vRLIなどの仮想アプライアンスについては、VCSAとは異なるファイル名になっています。

# cat /etc/pam.d/common-auth


設定ファイルを見ると、rootが含まれていることが分かると思います。昨今、セキュリティ意識が高まっているので、ロックアウト回数を制限しないということはしないほうがいいでしょうね。ウイルスによっては、辞書攻撃でログイン試行するものもあるようなので。


仮想アプライアンスのrootのパスワード周りの設計を考えている場合は参考にしてみてください。