総合手引 | セクション 3 | オプション |
pam_fail_delay - エラー時に遅延を要求
int pam_fail_delay(pam_handle_t *pamh, unsigned int usec);
このような攻撃の効果を最低限に抑えるには、エラーとなった認証プロセスで ランダムな遅延を導入することが有効です。 PAM には、ランダムな遅延を導入する機能があります。遅延は、 pam_authenticate(3) 関数と pam_chauthtok(3) 関数の エラー時に発生します。すべての認証モジュールが呼び出された 後 で、制御がサービスアプリケーションに戻る 前 に発生します。
pam_fail_delay(3) 関数を使用すると、エラー遅延に必要な最低時間 ( usec 引数) を指定できます。この関数は、ユーザによるサービスの再申請を 遅らせることが重要となるサービスアプリケーションや認証モジュールから呼び 出せます。遅延の長さは必要なときに算出されます。 長さは、 最大 要求値に対する擬似ガウシアン分布になります。 最大要求値の上下 25% までに分散されるのです。
pam_authenticate(3) や pam_chauthtok(3) から戻る場合、問題の有無に関係なく、新しい要求遅延は デフォルト値の 0 にリセットされます。
pam_fail_delay(pamh, 3000000 /* micro-seconds */ );
pam_authenticate(pamh, 0);
モジュールが遅延を要求しない場合、エラー遅延は 2.25 秒と 3.75 秒の 間になります。
認証プロセスで呼び出されるモジュールでも、以下のような遅延が 要求されることがあります。
(モジュール #1) pam_fail_delay(pamh, 2000000);
(モジュール #2) pam_fail_delay(pamh, 4000000);
この場合、実際のエラー遅延の算出に使用されるのは最大要求値です。 ここでは 3 秒から 5 秒です。
見つかっていません。
pam_start(3), pam_get_item(3) [英語], pam_strerror(3)
システム管理者 、 モジュール開発者 、 アプリケーション開発者 用の Linux-PAM ガイドも参照してください。
1997 Jan 12 | PAM_FAIL_DELAY (3) | PAM 0.56 |
総合手引 | セクション 3 | オプション |
このマニュアルページサービスについてのご意見は Ben Bullock にお知らせください。 Privacy policy.