Warum gibt es eine große Verzögerung nach der Eingabe eines falschen Passworts?

Ich bemerke eine seltsame (naja, meiner Meinung nach) Sache mit Passwörtern. Wenn ich zum Beispiel beim Anmelden ein falsches Kennwort eingebe, dauert es einige Sekunden, bis das System dies mitteilt. Wenn ich es sudomit einem falschen Passwort versuche, muss ich auch warten, bis die Shell "Sorry, try again" sagt.

Ich frage mich, warum es so lange dauert, ein falsches Passwort zu "erkennen". Dies wurde bei mehreren Distributionen beobachtet, die ich verwende (und sogar bei OSX), daher denke ich, dass dies keine verteilungsspezifische Sache ist.

Dies ist eine Sicherheitssache, und es dauert nicht lange, sie zu realisieren. 2 Schwachstellen, die dadurch behoben werden:

1. Dadurch werden die Anmeldeversuche gedrosselt, was bedeutet, dass jemand das System nicht so schnell zerstören kann, wie er versucht, es zu knacken (1 Million Versuche pro Sekunde? Ich weiß nicht).

2. Wenn dies der Fall war, sobald überprüft wurde, dass Ihre Anmeldeinformationen falsch waren, können Sie die dafür benötigte Zeit zum Ungültigmachen Ihrer Anmeldeinformationen verwenden, um zu erraten, ob ein Teil Ihrer Anmeldeinformationen korrekt war.

Um diese 2 Dinge zu verhindern, braucht das System nur eine gewisse Zeit, um dies zu tun. Ich denke, Sie können die Wartezeit mit PAM konfigurieren ( siehe Michaels Antwort ).

Security Engineering ( 2ed, amazon | 1ed, kostenlos ) bietet eine viel bessere Erklärung für diese Probleme.

Dies ist beabsichtigt, um das brachiale Erzwingen zu begrenzen. Sie können es normalerweise ändern, indem Sie nach dem FAIL_DELAYKonfigurationseintrag in suchen /etc/login.defsund dessen Wert ändern (meiner ist 3standardmäßig Sekunden), obwohl der Kommentar in dieser Datei den Eindruck erweckt, dass PAM 2unabhängig von der Einstellung mindestens eine zweite Verzögerung erzwingt

Auf modernen Linux-Systemen ist der Grund, dass pam_unix.so eine solche Verzögerung auferlegt. Wie bereits berichtet, kann dies durch eine Änderung auf zwei Sekunden eingestellt wird FAIL_DELAYin /etc/login.defs. Wenn Sie die Verzögerung weiter reduzieren möchten, müssen Sie pam_unix.so die Option "nodelay" zuweisen. Wenn Sie beispielsweise auf meinem System die Includes ab verfolgen /etc/pam.d/sudo, müssen Sie die folgende Zeile bearbeiten /etc/pam.d/system-auth:

auth      required  pam_unix.so     try_first_pass nullok

und ändere es so:

auth      required  pam_unix.so     try_first_pass nullok nodelay

Leider wird auf die Art und Weise, wie meine Linux-Distribution (Arch) die Dinge konfiguriert, genau dieselbe system-authDatei mit einbezogen system-remote-login, die von sshd verwendet wird.

Obwohl es sicher ist, die Verzögerung für sudo zu beseitigen, da diese protokolliert wird, nur von lokalen Benutzern verwendet wird und von lokalen Angreifern sowieso umgangen werden kann, möchten Sie diese Verzögerung wahrscheinlich nicht für Remoteanmeldungen beseitigen. Sie können das Problem natürlich beheben, indem Sie ein benutzerdefiniertes Sudo schreiben, das nicht nur die freigegebenen Systemauthentifizierungsdateien enthält.

Persönlich halte ich die Verzögerung bei sudo (und das Ignorieren von SIGINT) für einen großen Fehler. Dies bedeutet, dass Benutzer, die wissen, dass sie das Kennwort falsch eingegeben haben, den Vorgang nicht abbrechen und frustriert werden können. Natürlich können Sie sudo immer noch mit Strg-Z stoppen, da sudo SIGTSTP nicht abfängt, und nachdem Sie es gestoppt haben, können Sie es mit kill -9 (SIGKILL) beenden. Es ist nur ärgerlich zu tun. Das bedeutet, dass ein automatisierter Angriff Sudos auf Pseudo-Terminals mit einer super hohen Rate abfeuern könnte. Aber die Verzögerung frustriert legitime Benutzer und ermutigt sie, ihre Root-Shells auszusetzen, anstatt sie zu beenden, um zu vermeiden, dass sie erneut sudo müssen.