したがって、Tally2を使用すると、間違ったパスワードを一定回数入力した後にログインシステムをロックできます。
だから
/etc/pam.d/common-auth
入り口:
auth required pam_tally2.so onerr=fail deny=5 unlock_time=1200 audit
アカウントをロックする失敗したログイン試行の数と、試行を続行できるようにロックを解除するのにかかる秒数をunlock_time
定義します。
したがって、問題は、必要なセキュリティレベルに応じて、拒否/ロック解除時間設定の組み合わせを使用する必要がある明確な規則が何であるかです。
デフォルトは5/1200ですが、パスワードを覚えておらず、いくつか試したい場合は、10分待つのが痛いかもしれません。ハッカーがパスワードを知らずに推測する必要がある場合は、何千ものパスワードを試してください。だから5は非常に小さい数字のように見えます。 100/1200は良いですか?したがって、パスワードがわからない場合は、システムをロックすることなくパスワードをより多く推測できます。無差別代入攻撃の場合、5または100は何の違いもありません。または、より安全にするには、時間を100/3600に増やすことができます。これにより、できるだけ多くのパスワードを試すことができますが、ハッカーには長すぎます。
一方、短時間で1〜2回の失敗をロックすることも可能です。たとえば、2/60 です。だから1分に2回試してみてください。これにより攻撃もブロックされますが、いくつかの可能なパスワードを試す必要がある場合は難しくありません。
これらの設定がセキュリティにどのような影響を与えるかについての真剣な研究はありますか?
ベストアンサー1
私の考えでは、長い間封じ込めることは意味がありません。これは、正当なユーザーの人生を悲惨にすることができます。合法的なユーザーは自分のパスワードを忘れてしまうかもしれませんが、5〜6つのパスワードを試すことができ、各パスワードは何度も試すことができると仮定する必要があります。
攻撃するには、何千もの潜在的なパスワードを試してください。
1〜5回のパスワード試行ごとにロックすると、ユーザーはロック期間中に正しいパスワードを入力してパスワードが間違っていると考えることができます。
10〜20回の試行を許可してから1分間ブロックすることをお勧めします。これは無差別代入攻撃を中断するのに十分ですが、忘れたユーザーは何度も試すことができます。
これは安全で便利です。