RAMのパスワード再入力回数を設定して、アカウントロックを試してみる

皆さん、こんにちは。ソリューションアーキテクトのQ(@joe_qiubinbin)です。

今まで、下記運用小ネタをご紹介させていただきました。

① [運用小ネタ] RAMとECSのTag機能でECSインスタンスを保護する ② [運用子ネタ]「もう勘弁してよ、このECSインスタンを作ったのはだれ ?」と悩んでいる方へ

今回はRAMのアカウントロック関連のネタをご紹介します。

RAMアカウントは権限が絞られている状態で利用可能ですが、万が一パスワードクラッキングされ、乗っ取られた時の被害も少なくありません。RAMのパスワード再入力回数ポリシーを活用することによって、アカウントロックができるようになり、パスワードクラッキングさらる可能性を大幅に下げられます。

なぜアカウントロックが必要か

システムを構築する際に、セキュリティ要件にはアカウントロック機能が必要とされる場合があります。

自社開発のアプリケーションの場合は、自分でアカウントロック機能を開発すればいいですが、クラウドのアカウントロック機能はユーザ側の対応がなかなか難しく、クラウドサービスの仕様に頼ります。ちなみに私が昔どあるメガクラウドサービスを利用していましたが、クラウド側のアカウントロック機能がなかったので、Alibaba Cloudのちょっとした「親切さ」に感動しました。

前提条件

今回設定作業を行うためには、設定側のアカウントにRAMアカウントのパスワードポリシーを設定する権限(SetPasswordPolicy)が付与されていること

パスワード再入力回数ポリシーの設定

設定作業は非常に簡単です。

以下の手順で、RAMのパスワードの強度の設定にたどり着けます。

① Alibaba Cloudにログイン

② 「プロダクトとサービス」の画面にて、RAMを選択

③ RAMの画面にて、「設定」をクリック

④ 「設定」画面の「パスワードの強度の設定」タプをクリック

「パスワードの強度の設定」には「パスワード再入力回数ポリシー」を設定できます。この項目は1時間あたりパスワードを間違えて入力できる回数( 0 ~ 32 )を設定することができて、設定した回数を超えた場合はそのRAMアカウントがロックされます。

今回は間違えて入力できる回数は4回と設定しています。

テストしてみる

テスト用のアカウントを使って、ワザっと間違っているパスワードを入力して認証してみると、「ユーザ名またはパスワードが正しくありません。あと3回まで入力可能です」という警告が表示されます。

さらに、設定した回数(今回は4回)を超えると、「お客様のアカウントがロックされています、管理者にご連絡ください。」という警告が表示され、テスト用のRAMアカウントがロックされたことを確認できました。。

注意点

① RAMアカウントがロックされても、1時間が立つと、アカウントロックが解除されます。 ※ 対象アカウントのパスワードの再設定でロック解除可能

② アカウントがロックされても、管理者に自動的に通知はしません。

③ rootアカウントはRAMアカウントのポリシーが適応されません。

最後

いかがでしょうか、ちょっとした設定で、アカウントロック機能が適応されました。Alibaba Cloudアカウントが発行されたら、まずパスワードポリシーを設定したほうが一安心かもしれません。

また、注意のところにも書かせていただきましたが、RAMアカウントはロックされますが、ロックされたことを管理者に自動的に通知はされません。先日投稿した「Log Serviceのメール通知機能で、RAMアカウントがパスワードクラッキングされた時に検知・通知してみる」にてご紹介したように、Log Serviceのメール通知機能と組み合わせて利用すると、検知・通知・対策実施が実現できますので、実運用の際には是非ご活用ください。