Mengapa proses masuk linux yang gagal memakan waktu begitu lama? [duplikat]

26

Kemungkinan Duplikat:
Mengapa upaya memasukkan kata sandi yang salah membutuhkan waktu lebih lama daripada yang benar?

Ketika Anda mendapatkan kredensial login yang benar, Anda segera login. Ketika kata sandi Anda salah, ada penundaan kedua sebelum Anda diberi tahu dan dapat mencoba lagi.

Apakah ini pencegahan agar tidak retak, atau ada sesuatu yang terjadi di balik layar?

linux login Dekan
sumber
1
Saya telah memperhatikan kekurangan pada beberapa sistem Linux yang memungkinkan saya untuk masuk sebagai 'bin' tanpa memerlukan kata sandi!
Frank R.
@ Jujur - distro apa? Saya menemukan ini sangat mengejutkan.
stefgosselin
distro = distribusi .. ya, untuk waktu yang paling lama, ada kelemahan keamanan yang sangat sedikit orang tahu yang memungkinkan seorang peretas untuk mendapatkan kata sandi untuk root!
Frank R.

Jawaban:

45

Ini adalah pencegahan agar tidak retak. Ini adalah penundaan yang dipaksakan, biasanya sekitar 2 atau 3 detik penundaan sebelum prompt login baru dikeluarkan. Ini membantu mencegah serangan otomatis dengan membuat iterasi terlalu lama menjadi praktis.

Di linux, itu dapat dikonfigurasi dalam /etc/login.defsfile.

# Delay in seconds before being allowed another attempt after a login failure.
FAIL_DELAY              3
Keith
sumber
8
Di komputer saya, file konfigurasi itu mengatakan bahwa FAIL_DELAY sudah usang oleh pam dan harus ditangani dalam file /etc/pam.d/login (pam_faildelay.so)
matzahboy
16

Alasan utamanya adalah, seperti yang Anda katakan, untuk menghentikan serangan otomatis. Itu hanya memperlambat "orang jahat" potensial jika dia hanya bisa mencoba sepuluh kata sandi per menit, bukannya seratus.

Anda juga akan melihat bahwa shell sepenuhnya restart setelah 3 atau 4 upaya gagal. Saya pikir ini untuk melepaskan atau membunuh proses terlampir yang dapat berbahaya.

jackweirdy
sumber
7

Saya kira itu adalah bentuk " Tarpitting " di mana server menunda koneksi masuk selama mungkin

ScaryAardvark
sumber