Защита sudo "в лоб" действительно полезна?
В этом вопросе: Почему там задержка при вводе неправильного пароля? кажется, что существует тайм-аут 1-2 секунд в sudo, после того как этому дают неправильный пароль для предпринятия раскалывающихся более трудных попыток.
Это является раздражающим для многих пользователей, и это - действительно решение проблемы?
Что препятствует тому, чтобы взломщик выполнил тысячи sudo экземпляров в параллели и протестировал тысячи различных паролей в секунду? Тайм-аут не предотвращает это.
3 ответа
Задержка примерно не делает атаки перебором тяжелее. Это также об утечке информации. Было известное использование SunOS несколько лет назад, это зависело от знания, что пароль был неправильным путем наблюдения как быстро возвращенные команды.
нападения безопасности часто не полагаются на единственный вектор, но комбинируют векторы интересными способами усилить небольшие ошибки или надзор.
Сокрытие, хорошее по сравнению с плохими попытками от взломщиков, Вы уменьшаете полную поверхность атаки. Это - правильный поступок.
, Если Вам не нравится он, существуют другие методы аутентификации, которые можно использовать.
Доберитесь Ваш пароль исправляют в первый раз?
Любопытно я думавший протестировать Ваше заявление, что задержка не остановила бы скота. Кажется глупым, что это могло позволить это... Но здесь я выполняю 2 000 отдельных потоков сразу. Это работает.
parallel -j2000 sh -c 'echo $"{}\n" | sudo -S echo; echo done' -- {1..2000}
, Который сорит auth.log с отказами, но этим никогда груши выше "2 попыток неправильного пароля".
я полагал , что PAM, как предполагалось, остановил людей. Следовательно задержка.
Это могло бы быть [плохим] дизайном, или это могла бы просто быть [довольно серьезная] ошибка.
у меня есть система со слабым паролем в сети. Я испытываю желание попробовать этот метод для наблюдения его, это может действительно увеличить масштаб до "в лоб" пароля.
Как Вы видите этот случай "параллельно"?
С 8 символьными паролями Вы имеете (26+26+10+12 =) 74^8 возможные слова. Делает для 899 194 740 203 776 уникальных слов. С 3-секундной задержкой (это 3 ;-)), который делает 85 539 834 лет (899.194.740.203.776 * 3 / (365*24*60*60)). Позволяет предполагают, что Вам нужна половина попыток так, чтобы были бы 42 769 917 лет. Даже с 100 000 (невозможный я знаю) попытки параллельно (в среднем) потребовалось бы примерно 427 лет.
система А, которой нужна защита (например, база данных учетной записи пользователя) будет иметь хороший набор пароля (таким образом, эти 8 символов могли бы быть еще больше), и также настройте почтовую систему для аварийной сигнализации администратора, что кто-то приводит пароль к сбою много.
Все еще полагают, что это возможно?