在登录提示符下输入错误的密码后,大约需要3秒钟的延迟。如何在带有PAM的Linux系统上进行更改?
1
我得到从安全角度来看,延迟的需求,但是默认的延迟是相当恼人
—
迈克·潘宁顿
这很有趣。也许我会写一个模块,该模块允许无延迟的N次尝试,然后允许任何数量的具有较长延迟的尝试。
—
肖恩·高夫
我没有使用新的模块(在我先前的评论中建议),而是将
—
肖恩·高夫
pam_unix
其与nodelay
option和pam_tally2
with一起使用deny=5 unlock_time=15
。这允许5次立即重试,但拒绝访问(即使输入了成功的密码)15秒钟。我仍然打算尝试编写描述的模型,但是现在这是一个后备项目,因为如果您对系统的主要访问是基于网络的,那么这将是不合适的,因为它会使DOS攻击变得微不足道。
如果您担心网络DoS超时,请使用fail2ban ...实际上,即使您认为安全也可以使用它:-)。我使用两天禁令时间
—
Mike Pennington 2012年