pam_fail_delay(3) manページ

申請ユーザのアクセスをスキームが拒否する場合にかかる時間を悪用することで、しばしば認証スキームに攻撃可能です。タイムアウトが短い場合、 腕力による 辞書攻撃が可能な場合があります。自動処理により考えられるパスワードをすべて試して、攻撃者がシステムにアクセスしようとするのです。一方、個々の失敗が (失敗の性質を示すような) 計測可能な時間を費す場合、認証処理に関する有用な情報を攻撃者が取得可能です。後者の攻撃は、重要な情報の 隠れ通信路 (covert channel) である、手続き遅延を使用することです。

このような攻撃の効果を最低限に抑えるには、エラーとなった認証プロセスでランダムな遅延を導入することが有効です。 PAM には、ランダムな遅延を導入する機能があります。遅延は、 pam_authenticate(3) 関数と pam_chauthtok(3) 関数のエラー時に発生します。すべての認証モジュールが呼び出された後で、制御がサービスアプリケーションに戻る前に発生します。

pam_fail_delay(3) 関数を使用すると、エラー遅延に必要な最低時間 ( usec 引数) を指定できます。この関数は、ユーザによるサービスの再申請を遅らせることが重要となるサービスアプリケーションや認証モジュールから呼び出せます。遅延の長さは必要なときに算出されます。長さは、最大要求値に対する擬似ガウシアン分布になります。最大要求値の上下 25% までに分散されるのです。

pam_authenticate(3) や pam_chauthtok(3) から戻る場合、問題の有無に関係なく、新しい要求遅延はデフォルト値の 0 にリセットされます。

pam_fail_delay(3) で問題が発生しなかった場合は、 PAM_SUC-CESS が戻されます。その他すべての戻り値は、重大なエラーとみなしてください。

pam_strerror(3) でテキストに変換できます。

pam_start(3), pam_get_item(3) [英語], pam_strerror(3)

システム管理者 、 モジュール開発者 、 アプリケーション開発者 用の Linux-PAM ガイドも参照してください。

manページ — PAM_FAIL_DELAY

名称

内容

書式

解説

例

戻り値

エラー

準拠

バグ

関連項目