Security
什麼是強 sudo 密碼和長時間延遲之間的良好平衡
我真的不擅長記住長密碼(但我可以很好地記住短隨機密碼),這就是為什麼我更願意使用相對較短的密碼,但我擔心那些會降低我係統的安全性。
為了提高短密碼的安全性,
sudo我想增加失敗嘗試之間的延遲。您認為在 pam 中設置 sudo 相對於密碼長度的延遲的良好指南是什麼?
您是否認為這種方法有問題/不安全,或者您認為它會在哪裡失敗。
如果有問題,那麼努力記住長密碼的更好選擇是什麼。
(手中的電腦不是伺服器,不允許使用 ssh/rdx 等進行任何形式的遠端訪問,我將其用作我的個人桌面)
我沒有仔細檢查實現(),但是如果設置的延遲
pam_faildelay被實現為簡單的睡眠,它將導致單次登錄嘗試花費更長的時間(從而使使用者煩惱),但本身不會限制同時登錄嘗試的次數*。這在一定程度上消除了延遲的意圖,因為試圖暴力破解您的密碼的人可能會同時打開數百或數千次登錄嘗試。大多數情況下,他們會花時間睡覺,因此系統上的負載甚至可能都不明顯。
您需要做的是限制登錄嘗試的速率,而不是單次嘗試的持續時間。對於網路服務,我建議將其限制在網路端(比如
iptables在 Linux 上),但我沒有為 PAM 提供的解決方案。(策略方面,密碼長度和時間限制,可能更適合security.SE。)
(*因為我沒有時間。延遲好像是通過PAM設置的,可能會去應用程序實現。但是不太可能實現為忙循環,任何實現限速的程序)