书摘:
1.从我们的实践中发现,这种不确定的自动禁用账号并没有实际的帮助。更好的做法是在登录的时候,使用一种递增延迟的机制。在一定次数的不成功登录之后,在每个提示符之间就加入了一段递增的延迟。在网络环境中要实现这样的延迟,就必须维护一份错误登录的记录。这样即使攻击者断开连接,然后再重新连接,也无法回避这一延迟。
2.Unix并不在系统中保存真实的密码。Unix通过一种单向函数crypt()对密码进行加密,然后保存加密后的值;一般系统在/etc/passwd文件保存这一加密值。当用户登录时,/bin/login程序并不会解密密码。相反,/bin/login重新加密用户输入的密码,然后将这一加密结果与/ect/passwd文件中保存结果相比较。如果两个加密结果相匹配,那么系统允许用户登录。
虽然crypt()的源码是公开的,但是至今还没发现一种技术可以把密文翻译成原始密码。这样的反方向破译几乎是不可能的。
3.记住:即使世界上最聪明的黑客拔号进入你的系统,如果他“卡”在了login:这一提示符上时,他所能做的只有猜测用户名和密码。除非攻击者出于报复心理一定要攻击你的系统,或是系统上存放了一些特殊信息,否者大部分攻击者都会放弃攻击你的系统。