私は長いパスワードを覚えているのに本当に苦手です(しかし、短くてランダムな短いパスワードはかなりよく覚えています)ので、比較的短いパスワードを使用することを好みますが、これはシステムが安全でなくなるのではないかと心配です。
短いパスワードのセキュリティを強化するために、試行sudo
失敗間の遅延時間を増やしたいと思います。
pamのパスワードの長さに応じてsudoの待ち時間を設定するための良いガイドラインは何だと思いますか?
このアプローチは問題があるか安全ではないと思いますか?それとも失敗するかもしれないと思うところ。
問題がある場合は、長いパスワードを覚えているよりも優れた選択肢は何ですか?
(手元のコンピュータはサーバーではなく、ssh / rdxなどを使用したいかなる種類のリモートアクセスも許可しません。個人のデスクトップとして使用します。)
答え1
実装を2回確認しませんでしたが(*)、遅延が設定された単純なスリープモードで実装されていると、単一のpam_faildelay
ログイン試行に時間がかかりますが(したがってユーザーを迷惑させます)いいえそれ自体に限界があります。数字同時ログイン試行回数。
誰かがあなたのパスワードを無差別に代入しようとすると、数百または数千のログイン試行が同時に開かれている可能性があるため、これは遅延意図を多少無効にします。ほとんどの時間は睡眠中に過ごすため、システムにかかる負荷が目立たない可能性があります。
あなたがしなければならないことは制限することですスピード単一試行期間ではなくログイン試行回数。ネットワークサービスの場合は、ネットワーク側(iptables
Linuxなど)で制限することをお勧めしますが、PAMに対する解決策はありません。
(ポリシーの観点からは、パスワードの長さと時間制限がより適切である可能性があります。安全.)
(*時間がないため、遅延はPAMを介して設定されているようですが、これを実装するためにアプリケーションに行くこともできますが、忙しいループと速度制限を実装するすべてのプログラムで実装される可能性は低いです。)