Почему делает отказ входа в систему через ssh, занимают больше времени, чем успешный?
Это сообщение от Cisco, кажется, разъясняет даты немного
похож на определенную расширенную поддержку, все еще вокруг, но покупка той в значительной степени закончилась
это сказало, ASA является достойной заменой и все еще движением сильного, я верю
Это - средство защиты, реализованное модулем PAM, это проверяет Ваши пароли.
При чтении страницы справочника для pam_unix (8) Вы будете видеть "nodelay" опцию. pam_unix используется ssh для проверки паролей входом в систему и чем-либо еще, что проверяет пароль. "Действие по умолчанию состоит в том, чтобы модуль запросил задержку при отказе порядка двухсекундных".
Существует функция, которую все pam модули могут вызвать для запроса основной задержки материала pam. pam_fail_delay. Эта функция берет самую длинную задержку любой названный модуль и случайным образом изменяет его максимум на 25% и ожидает что прежде, чем возвратиться к приложению (sshd, вход в систему, и т.д.).
Это - мера по коллективной безопасности во многих системах, что отказ (такой как попытка проверить пароль на пользователя, который не существует) вставит маленький сон. Это предотвращает атаки временным анализом, так как иначе неудачный вход в систему действительной учетной записи мог взять немного дольше (шифрующий пароль, статистику в корневом каталоге, и т.д.), чем попытка войти в несуществующую учетную запись. Другие условия для этого являются скрытым каналом, каналом синхронизации или атакой по сторонним каналам. Это также препятствует атакам перебором (но не очень хорошо, просто откройте больше соединений). Рандомизация сна немного помогает, также.
Хотя я не глубоко знаком с работами OpenSSH, он выдерживает обосновать, что это - средство защиты. Без задержки для (автоматизированного) взломщика было бы легко делать попытку многочисленных паролей в течение очень короткого промежутка времени. Любой вид "фактора отстоя" представляет этот тип менее выполнимого нападения.
Это зависит от authetication конфигурации Вашего сервера. На большинстве полей Linux (простая ваниль с полки) это будет использовать PAM для локальных учетных записей. Однако это будет, вероятно, также искать сервис NIS. Это никогда не прибывает для переноса, когда Вы успешно входите в учетную запись локального пользователя, но если это не будет работать затем, то PAM испытает таймаут в поиске сервера NIS (или учетные данные на сервере NIS, если будет один).
Конечно, существует много других возможных сценариев, где подобные принципы применяются. Чтобы дать Вам подробный ответ, Вам был бы нужен tom, предоставляют больше подробную информацию об установке аутентификации Вашего сервера (например,/etc/nsswitch.conf и/etc/pam.conf или содержание файлов в/etc/pam.d).