저는 긴 비밀번호를 기억하는 데 정말 서툴러서(그러나 짧고 임의의 짧은 비밀번호는 꽤 잘 기억합니다) 그래서 비교적 짧은 비밀번호를 사용하는 것을 선호하지만 이로 인해 시스템이 덜 안전해질까 봐 걱정됩니다.
짧은 비밀번호의 보안을 강화하기 위해 sudo시도 실패 사이의 지연 시간을 늘리고 싶습니다.
pam의 비밀번호 길이에 따른 sudo 대기 시간 설정에 대한 좋은 지침은 무엇이라고 생각하시나요?
이 접근 방식이 문제가 있거나 안전하지 않다고 생각하시나요? 아니면 실패할 수도 있다고 생각하는 곳.
문제가 있는 경우 긴 비밀번호를 기억하는 것보다 더 나은 대안은 무엇입니까?
(손에 있는 컴퓨터는 서버가 아니며 ssh/rdx 등을 사용한 어떤 종류의 원격 액세스도 허용하지 않습니다. 개인 데스크톱으로 사용합니다.)
답변1
구현을 두 번 확인하지는 않았지만 (*) 지연이 설정된 단순 절전 모드로 구현되면 pam_faildelay단일 로그인 시도에 시간이 더 오래 걸리게 되지만(따라서 사용자를 짜증나게 합니다)아니요그 자체로 한계가 있어요숫자동시 로그인 시도 횟수입니다.
누군가가 귀하의 비밀번호를 무차별 대입하려고 시도하면 동시에 수백 또는 수천 번의 로그인 시도가 열려 있을 수 있으므로 이는 지연 의도를 다소 무효화합니다. 대부분의 시간은 잠을 자면서 보내므로 시스템에 가해지는 부하가 눈에 띄지 않을 수 있습니다.
당신이해야 할 일은 제한하는 것입니다속도단일 시도 기간이 아닌 로그인 시도 횟수입니다. 네트워크 서비스의 경우 네트워크 측(예: iptablesLinux)에서 제한하는 것이 좋지만 PAM에 대한 솔루션이 없습니다.
(정책 측면에서는 비밀번호 길이와 시간 제한이 더 적절할 수 있습니다.안전.)
(*시간이 없기 때문에. 지연은 PAM을 통해 설정되는 것 같은데, 이는 구현하기 위해 애플리케이션으로 갈 수도 있습니다. 하지만 바쁜 루프와 속도 제한을 구현하는 모든 프로그램으로 구현될 가능성은 낮습니다.)