因此,tally2 允许您在输入错误密码一定次数后锁定登录系统。
所以在
/etc/pam.d/common-auth
入口:
auth required pam_tally2.so onerr=fail deny=5 unlock_time=1200 audit
定义将锁定帐户的不成功登录尝试次数以及解锁时间,以便我们可以继续尝试(unlock_time以秒为单位)
因此,问题是,根据安全需要的级别,必须使用“拒绝”/“解锁时间”设置的组合,有哪些明确的规则。
默认值为 5/1200,但如果您不记得密码并想尝试几个,则等待 10 分钟可能会很痛苦。如果黑客不知道密码并且必须猜测他/她将需要尝试数千个密码。所以,5看起来是一个非常小的数字。可能100/1200会更好?因此,如果您不确定您的密码,可以在不锁定系统的情况下猜测更多次。对于暴力攻击,5 或 100 没有什么区别。或者为了更安全,您可以增加时间 100/3600。这允许您尝试许多可能的密码,但对于黑客来说它太长了。
另一方面,在短时间内锁定一两次失败也是可行的。例如 2/60。所以每分钟尝试 2 次。这也会破坏攻击,但如果您必须尝试一些可能的密码,这也不会是一个痛苦。
是否有任何关于这些设置如何影响安全性的认真研究?
答案1
在我看来,长时间锁定是没有意义的。它只能让合法用户的生活变得悲惨。您应该认为合法用户可能会忘记密码,但可能会尝试 5-6 个密码,每个密码可能会尝试多次。
一次攻击需要尝试数千个潜在的密码。
现在,如果您每尝试 1-5 次密码就锁定一次,用户可能会在锁定期间输入正确的密码,从而使用户认为密码是错误的。
最好允许 10-20 次尝试,然后阻止一分钟。这足以中止暴力攻击,但允许健忘的用户进行多次尝试
这样既安全又方便