不正ログインに対するアカウントのロック
最終更新日: 2017.10.06
セキュリティを強化するため、Movable Type 5.13から、アカウントの認証ロックアウト機能が追加されています。
認証ロックアウト機能
Movable Typeにログインする時に、一定の回数以上、ユーザー名とパスワードを間違えると、ユーザーのアカウントがロックされます。これにより、ユーザーアカウントへの辞書攻撃などを防止します。
管理画面(mt.cgi)、コメント認証(mt-comment.cgi)およびコミュニティ(mt-cp.cgi)のへのログインが対象となります。ただし、外部認証によるログインは対象にふくまれません。
ロックアウトされる条件
標準の設定では、以下の条件で管理画面へのログインをロックアウトします。
- ある特定のMTユーザーが、1800秒間に、6回以上ログインに失敗した場合、そのユーザーのログインを禁止します。
- 同一IPアドレスから、1800秒間に、10回以上ログインに失敗した場合、そのIPアドレスからのアクセスを禁止します。
ロックアウト条件の変更
ロックアウトの条件は、管理画面と環境変数で変更することが可能です。管理画面では、以下の手順で変更します。
- ナビゲーションから、[システム] を選択します。
- サイドメニューから、[設定] > [全般] を選択します。
- 「アカウントロックの設定」を設定します。
設定項目は以下の通りです。
- 通知メール受信者
ユーザーがロックアウトされた場合に、通知メールを送信する管理者を選択します。設定されていない場合は、システムのメールアドレス宛に通知メールを送信します。 - ユーザーのロック方針
指定した秒数の間に、指定回数以上のログイン失敗があったアカウントをロックします。 - IPアドレスのロック方針
指定した秒数の間に、指定回数以上のログイン失敗がおこなわれたIPアドレスをロックします。加えて、ロックしないIPアドレスをホワイトリスト形式で指定できます。
ロックアウトの解除
アカウントがロックされると、ロックされたユーザーアカウントのメールアドレスと、システム管理者に通知メールが届きます。ロックを解除するためには、以下の三通りの方法があります。
- ロックされたユーザーあるいはシステム管理者に送信された、通知メールに記載されたURLにアクセスして、アカウントのロックを解除します。
- ユーザーのロック、およびIPアドレスのロックは、ロック後に一定の期間が経過すると自動で解除されます。最後に失敗したログインから、ユーザーのロック方針あるいはIPアドレスのロック方針で指定した秒数が経過すると、ロックは自動的に解除されます。
- システム管理者として管理画面にログインします。ナビゲーションから [システム]を選び、サイドメニューの[ユーザー] > [一覧] を選びます。ユーザーの一覧画面で、フィルタから 「アカウントがロックされているユーザー」を選択します。ユーザーを選択して、[ロック解除]ボタンをクリックします。
環境変数の追加
認証ロックアウトの設定は以下の環境変数からも可能です。
リファレンス
製品別マニュアル
旧バージョン
リリースノート
-
2024.12.11
-
2024.12.11
-
2024.12.11
-
2024.12.11
-
2024.11.06