Назад | Перейти на главную страницу

Ubuntu linux требует больше времени из-за неправильных паролей

Когда я вхожу в свой ящик Ubuntu 8.10 с правильным паролем, система почти мгновенно определяет, что пароль правильный, и регистрирует меня. Однако, если я ввожу неправильный пароль, потребуется значительно больше времени, чтобы выяснить, что пароль неправильный и чтобы показать мне экран входа в систему.

Почему это? Разве в обоих случаях это не займет одинаковое количество времени?

-- Спасибо

Это функция безопасности, которая замедляет людей, пытающихся угадать ваш пароль. Столько же времени требуется Ubuntu, чтобы убедиться, что это правильно или нет, но затем он ждет несколько секунд, прежде чем позволить вам повторить попытку.

Как объяснил Dentrasi, это сделано для того, чтобы злоумышленнику было сложнее провести атаку методом подбора пароля на хранилище паролей. Практически при любых обстоятельствах не следует менять это поведение.

Если у вас есть веская причина (которую я не могу придумать), вы можете изменить ее с помощью /etc/login.defs - Смотрите login.defs (5) справочная страница.

FAIL_DELAY (number)
  Delay in seconds before being allowed another attempt after a login failure.

Хммм ... В конце man-страницы ...

Much of the functionality that used to be provided by the shadow password suite
is now handled by PAM. Thus, /etc/login.defs is no longer used by passwd(1), or
less used by login(1), and su(1). Please refer to the corresponding PAM
configuration files instead.

Вместо этого соответствующая запись PAM ...

# Enforce a minimal delay in case of failure (in microseconds).
# (Replaces the `FAIL_DELAY' setting from login.defs)
# Note that other modules may require another minimal delay. (for example,
# to disable any delay, you should add the nodelay option to pam_unix)
auth       optional   pam_faildelay.so  delay=3000000

pam.d заботится о FAIL_DELAY в эти дни. Добавьте это в /etc/pam.d/common-auth (для Debian / Ubuntu):

требуется авторизация pam_unix.so nodelay

Fedora / Redhat: добавьте это в /etc/pam.d/system-auth:

требуется авторизация /lib/security/$ISA/pam_unix.so nodelay

$ ISA используется только для выбора между 32-битными и 64-битными модулями и уже определена.

Говоря о PAM, если компьютер настроен для LDAP, Kerberos или аналогичной сетевой аутентификации, при сбое локального входа в систему он попытается войти в систему удаленно, используя предоставленные учетные данные. (Однако не имеет отношения к этому вопросу.)