Tại sao đăng nhập linux không thành công mất nhiều thời gian? [bản sao]

26

Có thể trùng lặp:
Tại sao một lần thử mật khẩu không chính xác sẽ mất nhiều thời gian để xử lý hơn một mật khẩu chính xác?

Khi bạn nhận được thông tin đăng nhập chính xác, bạn đã đăng nhập ngay lập tức. Khi bạn nhận được mật khẩu sai, sẽ có độ trễ thứ hai trước khi bạn được thông báo và có thể thử lại.

Đây có phải là một phòng chống nứt, hoặc có điều gì khác đang xảy ra đằng sau hậu trường?

linux login

— trưởng khoa
nguồn

1

Tôi đã nhận thấy một lỗ hổng trên một vài hệ thống Linux cho phép tôi đăng nhập dưới dạng 'bin' mà không cần mật khẩu!

— Frank R.

@Frank - distro gì? Tôi thấy điều này rất đáng ngạc nhiên.

— stefgosselin

distro = phân phối .. vâng, trong thời gian dài nhất, đã có một lỗ hổng bảo mật mà rất ít người biết rằng cho phép tin tặc lấy được mật khẩu để root!

— Frank R.

45

Đó là một phòng chống nứt. Đó là một sự chậm trễ bắt buộc, thường là khoảng 2 hoặc 3 giây chậm trễ trước khi một dấu nhắc đăng nhập mới được đưa ra. Điều này giúp ngăn chặn các cuộc tấn công tự động bằng cách làm cho việc lặp quá lâu là không thực tế.

Trên linux, nó có thể được cấu hình trong /etc/login.defstập tin.

# Delay in seconds before being allowed another attempt after a login failure.
FAIL_DELAY              3

— Keith
nguồn

8

Trên máy của tôi, tệp cấu hình đó nói rằng FAIL_DELAY bị lỗi bởi pam và nên được xử lý trong tệp /etc/pam.d/login (pam_faildelay.so)

— matzahboy

16

Lý do chính là, như bạn đã nói, để ngăn chặn các cuộc tấn công tự động. Nó chỉ làm chậm một "kẻ xấu" tiềm năng nếu anh ta chỉ có thể thử mười mật khẩu một phút thay vì một trăm.

Bạn cũng sẽ nhận thấy rằng vỏ hoàn toàn khởi động lại sau 3 hoặc 4 lần thử thất bại. Tôi nghĩ rằng điều này là để tách hoặc tiêu diệt bất kỳ quy trình đính kèm nào có thể độc hại.

— kỳ quái
nguồn

7

Tôi đoán đó là một hình thức " Bói toán " trong đó máy chủ trì hoãn các kết nối đến càng lâu càng tốt

— ScaryAardvark
nguồn