Gentoo - как убрать задержку после ввода неправильного пароля?

$ ip ad sh | grep inet
    inet 127.0.0.1/8 brd 127.255.255.255 scope host lo
    inet 192.168.1.2/24 brd 192.168.1.255 scope global wlp2s0
    inet 10.10.10.6 peer 10.10.10.5/32 scope global tun0

$ ip ad sh | grep inet
    inet 127.0.0.1/8 brd 127.255.255.255 scope host lo
    inet 192.168.1.253/24 brd 192.168.1.255 scope global enp4s1
    inet 10.85.81.81/24 brd 10.85.81.255 scope global enp3s0
    inet 192.168.0.2 peer 192.168.0.1/32 scope global inet
    inet 10.10.10.1 peer 10.10.10.2/32 scope global home

Lavos ★★★★★
(12.07.15 12:52:50 MSK) автор топика

Ответ на: комментарий от Lavos 12.07.15 12:52:50 MSK

Затем, что ты ССЗБ который из-за лени и тупоумия ставит под угрозу безопасность.

zunkree ★
(12.07.15 13:08:33 MSK)

Нашел рабочий рецепт на том же stackexchange. Забавно, но он не заплюсован, хотя работает, а заплюсованные наоборот не работают.

# grep nodelay /etc/pam.d/system-auth 
auth            required        pam_unix.so try_first_pass likeauth nullok nodelay

Lavos ★★★★★
(12.07.15 13:08:50 MSK) автор топика

Ссылка

Ответ на: комментарий от zunkree 12.07.15 13:08:33 MSK

Да? И как же тут безопасность пострадает?

Lavos ★★★★★
(12.07.15 13:09:43 MSK) автор топика

Предполагаю, что у тебя используется стандартный метод авторизации через PAM и pam_unix, тогда:

/etc/login.defs:

# Delay in seconds before being allowed another attempt after a login failure
# Note: When PAM is used, some modules may enfore a minimal delay (e.g.
#       pam_unix enforces a 2s delay)
#
FAIL_DELAY              3

pam_unix enforces a 2s delay

Курим дальше, man pam_unix:

       nodelay
           This argument can be used to discourage the authentication component from requesting a delay should the authentication as a whole fail. The
           default action is for the module to request a delay-on-failure of the order of two second.

Прописываем это в /etc/pam.d/system-auth в строчки с pam_unix

Pinkbyte ★★★★★
(12.07.15 13:11:15 MSK)

Ответ на: комментарий от Lavos 12.07.15 13:09:43 MSK

Эта задержка сделана специально для усложнения брутфорса пароля.

zunkree ★
(12.07.15 13:12:49 MSK)

Ответ на: комментарий от Pinkbyte 12.07.15 13:11:15 MSK

Да-да, с nodelay работает. А заплюсованные рецепты со stackexchange (в том числе и про FAIL_DELAY) не взлетели.

Lavos ★★★★★
(12.07.15 13:12:52 MSK) автор топика

Ответ на: комментарий от zunkree 12.07.15 13:12:49 MSK

У меня брутфорс усложняется с помощью iptables -m recent.
Ну и еще тем, что провайдер не дает белых IP.

Lavos ★★★★★
(12.07.15 13:14:57 MSK) автор топика

Ответ на: комментарий от Lavos 12.07.15 13:12:52 MSK

FAIL_DELAY применяется в системах без PAM. Но не всегда, например у меня на серваке без PAM с dropbear - по ssh таймаута на неудачный логин нет. Да и не сильно нужен, если честно - там разрешен только логин по ключу - нехай брутят

На локальный логин через терминал FAIL_DELAY в моём случае распространяется

Pinkbyte ★★★★★
(12.07.15 13:19:16 MSK)
Последнее исправление: Pinkbyte 12.07.15 13:19:49 MSK (всего исправлений: 1)