Tally2の最も安全で便利な設定は何ですか？ [閉鎖]

したがって、Tally2を使用すると、間違ったパスワードを一定回数入力した後にログインシステムをロックできます。

だから

/etc/pam.d/common-auth

入り口：

auth    required           pam_tally2.so onerr=fail deny=5 unlock_time=1200 audit

アカウントをロックする失敗したログイン試行の数と、試行を続行できるようにロックを解除するのにかかる秒数をunlock_time定義します。

したがって、問題は、必要なセキュリティレベルに応じて、拒否/ロック解除時間設定の組み合わせを使用する必要がある明確な規則が何であるかです。

デフォルトは5/1200ですが、パスワードを覚えておらず、いくつか試したい場合は、10分待つのが痛いかもしれません。ハッカーがパスワードを知らずに推測する必要がある場合は、何千ものパスワードを試してください。だから5は非常に小さい数字のように見えます。 100/1200は良いですか？したがって、パスワードがわからない場合は、システムをロックすることなくパスワードをより多く推測できます。無差別代入攻撃の場合、5または100は何の違いもありません。または、より安全にするには、時間を100/3600に増やすことができます。これにより、できるだけ多くのパスワードを試すことができますが、ハッカーには長すぎます。

一方、短時間で1〜2回の失敗をロックすることも可能です。たとえば、2/60 です。だから1分に2回試してみてください。これにより攻撃もブロッ​​クされますが、いくつかの可能なパスワードを試す必要がある場合は難しくありません。

これらの設定がセキュリティにどのような影響を与えるかについての真剣な研究はありますか？