認証ロックアウト機能
PowerCMS にサインインする時に、一定の回数以上、ユーザー名とパスワードを間違えると、ユーザーのアカウントや、特定の IP アドレスからのアクセスがロックされます。これにより、ユーザーアカウントへの辞書攻撃などを防止します。
管理画面(mt.cgi)、会員サイト(mt-members.cgi)、コメント認証(mt-comment.cgi)およびコミュニティ(mt-cp.cgi)へのサインインが対象となります。ただし、外部認証によるサインインは対象にふくまれません。
ロックアウトされる条件
標準の設定では、以下の条件で管理画面へのサインインをロックアウトします。
- ある特定の PowerCMS ユーザーが、1800 秒間に、6 回以上 サインインに失敗した場合、そのユーザーのサインインを 1800 秒間 禁止します。
- 同一 IP アドレスから、1800 秒間に、10 回以上 サインインに失敗した場合、その IP アドレスからのアクセスを 1800 秒間 禁止します。
- 秒もしくは回数に 0 を指定すると、ロックアウトを無効にします。
ロックアウト条件の変更
ロックアウトの条件は、管理画面と環境変数で変更することが可能です。管理画面では、以下の手順で変更します。
- ページ上部のナビゲージョンから [システム] を選択する
- サイドメニューから [設定] - [全般] を選択する
- 「アカウントロックの設定」項目を設定する
設定項目は以下の通りです。
- 通知メール受信者
ユーザーがロックアウトされた際に通知メールを受信する管理者を選択します。未設定の場合は、システムのメールアドレス宛に通知されます。なお、本項目で選択できるのはシステム管理者権限を持つユーザーのみです。 - ユーザーのロック方針
指定した秒数の間に、指定回数以上のサインイン失敗があったアカウントをロックします。 - IP アドレスのロック方針
指定した秒数の間に、指定回数以上のサインイン失敗がおこなわれた IP アドレスをロックします。加えて、ロックしない IP アドレスをホワイトリスト形式で指定できます。
環境変数での設定
認証ロックアウトの設定は以下の環境変数からも可能です。環境変数を指定した場合は、管理画面での指定より環境変数での指定が優先され、さらに管理画面では設定が変更できなくなります。
ロックアウトの解除
ロックアウトの解除は「操作による解除」と「時間経過による解除」があります。
操作による解除
- ロックされたユーザーあるいはシステム管理者に送信された、通知メールに記載された URL にアクセスして、アカウントのロックを解除します。
- システム管理者として管理画面にサインインし、ページ上部のナビゲージョンから [システム] を選択します。
サイドメニューから [ユーザー] - [一覧] を選択します。
ユーザーの一覧画面で、フィルタから [アカウントがロックされているユーザー] を選択します。ユーザーを選択して、[ロック解除] ボタンをクリックします。
時間経過による解除
- ユーザーのロック、および IP アドレスのロックは、ロック後に一定の期間が経過すると自動で解除されます。最後に失敗したサインインから、ユーザーのロック方針 あるいは IP アドレスのロック方針 で指定した秒数が経過すると、ロックは自動的に解除されます。
ロックアウト
ロックアウトが行われているか以下の内容から確認できます。
- ロックアウトされた対象がログインの操作を行うと「不正な要求です」というメッセージのエラー画面が表示されます。
- アカウントがロックされると、ロックされたユーザーアカウント※のメールアドレスと、システム管理者に通知メールが届きます。ロックを解除するためには、以下の三通りの方法があります。
※会員サイトのユーザーにはアカウントがロックされたことを通知するメールは送られません。
- ロックアウトが行われたタイミングに、ロックアウトの種類ごとにログが出力されます。
ユーザー: **** のアカウントがロックされました。IPアドレス: ***.***.***.***IPアドレス: ***.***.***.*** からのアクセスがロックされました。(ユーザー: ****)
- ユーザーの一覧画面でクイックフィルタ「アカウントがロックされているユーザー」を利用するとロックされているユーザーのみにフィルタできます。
- 一覧へ
