为什么失败的Linux登录需要这么长时间?[重复]

26

可能重复:
为什么输入错误的密码要比输入正确的密码花费更多的时间?

获得正确的登录凭据后,您将立即登录。如果您输入的密码错误,则会有第二次延迟,您将收到通知并可以重试。

这是为了防止开裂,还是在幕后进行其他操作?

linux  login 
院长
source
1
我注意到几个Linux系统存在一个漏洞,该漏洞使我无需密码即可以“ bin”身份登录!
Frank R.
@Frank-什么发行版?我觉得这很令人惊讶。
stefgosselin 2012年
是的,在最长的时间里,存在一个安全漏洞,很少有人知道,该漏洞允许黑客获取root的密码!
Frank R.

Answers:

45

这是防止开裂的手段。这是强制延迟,通常在发出新的登录提示之前,延迟约2或3秒。通过使迭代时间过长而无法实际操作,这有助于防止自动攻击。

在Linux上,可以在/etc/login.defs文件中对其进行配置。

# Delay in seconds before being allowed another attempt after a login failure.
FAIL_DELAY              3
基思
source
8
在我的机器上,该配置文件说FAIL_DELAY已被pam淘汰,应在/etc/pam.d/login文件(pam_faildelay.so)中进行处理
matzahboy12年
16

如您所说,主要原因是要阻止自动攻击。如果一个潜在的“坏人”每分钟只能尝试十个而不是一百个,那只会减慢速度。

您还会注意到,在尝试3或4次失败后,shell会完全重新启动。我认为这是为了分离或杀死任何可能有害的附加进程。

杰克韦迪
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.