Я не проверял реализацию(*), но если задержка, установленная pam_faildelay
, будет реализована как простой сон, это приведет к тому, что одна попытка входа займет больше времени (тем самым раздражая пользователя), но не само по себе ограничит количество одновременных попыток входа.
Это в некоторой степени отменяет смысл задержки, поскольку кто-то, пытающийся перебрать ваш пароль, может просто открыть сотни или тысячи попыток входа одновременно. В основном они будут тратить свое время на сон, поэтому нагрузка на систему может быть даже незаметна.
Что вам нужно сделать, так это ограничить скорость попыток входа, а не продолжительность одной попытки. Для сетевой службы я бы предложил ограничить это на стороне сети (скажем, с помощью iptables
в Linux), но у меня нет решения для PAM.
(Политическая сторона этого, длина пароля и временные ограничения, возможно, больше подходит для security.SE.)
(* Потому что у меня не было времени. Задержка, похоже, устанавливается через PAM, и может быть реализована в приложении. Но вряд ли это будет реализовано как занятый цикл, и любая программа, реализующая ограничение скорости)
useradd
- это служебная программа низкого уровня. adduser
был бы лучшим выбором. Здесь ваша проблема в том, что по умолчанию useradd
создает пользователя без оболочки. И вы ничего не сможете сделать с ssh
, если вы подключитесь к учетной записи без оболочки .
Решение состоит в том, чтобы добавить вашему пользователю оболочку:
chsh -s /bin/sh golden