![Tally2의 가장 안전하고 편리한 설정은 무엇입니까? [폐쇄]](https://linux55.com/image/189342/Tally2%EC%9D%98%20%EA%B0%80%EC%9E%A5%20%EC%95%88%EC%A0%84%ED%95%98%EA%B3%A0%20%ED%8E%B8%EB%A6%AC%ED%95%9C%20%EC%84%A4%EC%A0%95%EC%9D%80%20%EB%AC%B4%EC%97%87%EC%9E%85%EB%8B%88%EA%B9%8C%3F%20%5B%ED%8F%90%EC%87%84%5D.png)
따라서 Tally2를 사용하면 잘못된 비밀번호를 일정 횟수 입력한 후 로그인 시스템을 잠글 수 있습니다.
그래서
/etc/pam.d/common-auth
입구:
auth required pam_tally2.so onerr=fail deny=5 unlock_time=1200 audit
계정을 잠그는 실패한 로그인 시도 횟수와 계속 시도할 수 있도록 잠금을 해제하는 데 걸리는 시간( unlock_time초) 을 정의합니다.
따라서 문제는 필요한 보안 수준에 따라 거부/잠금 해제 시간 설정 조합을 사용해야 하는 명확한 규칙이 무엇인지입니다.
기본값은 5/1200이지만 비밀번호가 기억나지 않고 몇 가지를 시도하고 싶다면 10분을 기다리는 것이 고통스러울 수 있습니다. 해커가 비밀번호를 모르고 추측해야 한다면 수천 개의 비밀번호를 시도해야 합니다. 그래서 5는 아주 작은 숫자처럼 보입니다. 100/1200이 더 나을까요? 따라서 비밀번호가 확실하지 않은 경우 시스템을 잠그지 않고도 비밀번호를 더 많이 추측할 수 있습니다. 무차별 대입 공격의 경우 5 또는 100은 아무런 차이가 없습니다. 또는 더 안전하려면 시간을 100/3600으로 늘릴 수 있습니다. 이를 통해 가능한 많은 비밀번호를 시도할 수 있지만 해커에게는 너무 깁니다.
반면에 단시간에 한두 번의 실패를 잠그는 것도 가능합니다. 예를 들어 2/60입니다. 그러니 1분에 2번씩 시도해 보세요. 이렇게 하면 공격도 차단되지만 몇 가지 가능한 비밀번호를 시도해야 하는 경우에는 어렵지 않습니다.
이러한 설정이 보안에 어떤 영향을 미치는지에 대한 진지한 연구가 있습니까?
답변1
내 생각에는 오랫동안 봉쇄하는 것은 의미가 없습니다. 이는 합법적인 사용자의 삶을 비참하게 만들 수 있습니다. 합법적인 사용자가 자신의 비밀번호를 잊어버릴 수 있지만 5~6개의 비밀번호를 시도할 수 있으며 각 비밀번호는 여러 번 시도할 수 있다고 가정해야 합니다.
공격을 하려면 수천 개의 잠재적인 비밀번호를 시도해야 합니다.
이제 1~5회 비밀번호 시도마다 잠그면 사용자는 잠금 기간 동안 올바른 비밀번호를 입력하여 비밀번호가 틀렸다고 생각하게 될 수 있습니다.
10~20번의 시도를 허용한 후 1분간 차단하는 것이 좋습니다. 이는 무차별 대입 공격을 중단하기에 충분하지만 잊어버린 사용자가 여러 번 시도할 수 있습니다.
이게 안전하고 편리해요