我已经给了一些其他开发人员的代码,他们已经创建了一些登录安全策略。例如,如果您尝试使用数据库中存在的用户名登录,它将开始记录失败的登录尝试次数。然后,在达到3次登录尝试后,它会在日志中添加另一个条目,但会将位1添加到LockedOut。
你们认为这是一个好的安全政策吗?难道不会有人试图进入,只是尝试大量的随机用户名,并强行锁定每个人的帐户?这似乎是一种糟糕的安全哲学。
我认为更好的安全程序是根据IP表锁定任何进行了3次尝试的人,该表跟踪各种用户尝试,并在大约30分钟内过期,以防止DDoS。
你们是如何设计登录安全的?下面是这个开发人员所做的基本工作:
if username is in dat
我安装了ZSH并使它成为我的kali linux系统的默认bash,然后我重新启动了系统,并且不能再以root身份登录。我输入正确的密码,上面写着登录失败。我通过点击(CTRL+ALT+F1)切换到另一个窗口,然后登录。并通过以下命令查看身份验证日志
tail /var/log/auth.log
有句话说
pam_succeed_if(sddm:auth): requirement "user != root" not met by user "root"
有什么帮助吗?!
我已经配置了使用键登录到ssh,并且运行良好。问题是,当我用密钥和包含的密码连接到服务器时,当我输入错误的密码时,我没有看到任何失败的登录尝试。使用密匙进行的登录尝试没有失败:
/var/log/audit/audit.log
或
/var/log/secure
换句话说,我可以在没有任何动作的情况下输入密码,直到我死。您是否知道如何使用带密码的密钥将失败的登录调度记录到ssh?
操作系统是:红帽企业Linux服务器第7.3版(Maipo)
提前谢谢你。
当我多次输入错误的密码时,这是来自服务器的日志:
Connection from my_ip port 51115 on server_ip