ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

VCSA6 rootアカウントのロックアウト初期設定は3回パスワード間違えで5分間ログイン不可

以前も紹介したVCSA6の仮想アプライアンスのrootのパスワードの無期限への変更手順について、今回はロックアウトの件も合わせて記載します。

VCSA6.xをデプロイした後、仮想アプライアンス、WEBの管理画面にログインする場合は、rootのパスワードの有効期限は365日になっています。最近のセキュリティレベルの強化から、むしろ短くする企業もあるかもしれませんが、今回は、無期限にする設定について。

参考元はVMwareの公式サイトです。
root ユーザーのパスワードの変更

vCenter Server Appliance のデフォルトの root パスワードは、仮想アプライアンスのデプロイ中に入力するパスワードです。

 
重要:
vCenter Server Appliance の root アカウントのパスワードは、365 日後に期限が切れます。vCenter Server Appliance の Bash シェルに root としてログインし、chage -M number_of_days -W warning_until_expiration user_name を実行することによって、アカウントの有効期限を変更できます。root パスワードの有効期限を無限に延長するには、chage -M -1 -E -1 root コマンドを実行します。

【手順】
1 vSphere Web Client または VMware Host Client インベントリの vCenter Server Appliance を参照します。
2 vCenter Server Appliance コンソールを開きます。
3 vSphere Web Client から、サマリ タブの コンソールの起動 をクリックします。

VMware Host Client から、コンソール をクリックし、ドロップダウン メニューからオプションを選択します。

4 コンソール ウィンドウの内部をクリックし、F2 を押して、システムをカスタマイズします。
5 ダイレクト コンソール ユーザー インターフェイスにログインするには、root ユーザーの現在のパスワードを入力して、Enter を押します。
6 ルート パスワードの構成 を選択して、Enter を押します。
7 root ユーザーの旧パスワードを入力して、Enter を押します。
8 新しいパスワードを設定して、Enter を押します。
9 ダイレクト コンソール ユーザー インターフェイスのメイン メニューに戻るまで、Esc を押します。

PSCサーバとvCenterサーバを分離させた場合は、個別に設定が必要です。以下のコマンドを仮想アプライアンス上で実行することで、パスワードを無期限に変更できます。

【変更手順】
仮想アプライアンスにログインし、以下のコマンドを入力。
>shell
>chage -M -1 -E -1 root

パスワードの有効期限が変更されたことを確認します。

>chage -l root

続いて、rootアカウントのロックアウト初期設定についてですが、デフォルトは、3回パスワード間違えで5分間ログイン不可となるようになっているそうです。

ダイレクト コンソール ユーザー インターフェイスへのログイン

以下の一文です。

重要:
無効な認証情報を 3 回入力すると、root アカウントが 5 分間ロックされます。

そして、設定自体は、仮想アプライアンスにログインして、以下の設定ファイルを確認すると現状の設定をチェックできます。

# cat /etc/pam.d/system-auth

ここでrootのアカウントも含めて3回パスワードを間違えたら、5分間(600秒)ロックアウトされることが分かります。仮想アプライアンスのrootのパスワード周りの設計を考えている場合は参考にしてみてください。