security - 如果用户单击取消按钮，为什么 pam_faildelay.so 不生效？

问题描述

在安装 GUI 的 CentOS 7 服务器上验证 PAM 失败延迟规则时出现问题。我在失败的登录尝试之间增加了一分钟的延迟。system-auth-ac 和 password-auth-ac 文件的前两行如下：

auth        required      pam_env.so
auth        required      pam_faildelay.so delay=60000000

我已经执行了如下测试场景：

• 用户输入了错误的密码 现在，登录按钮和密码输入字段处于非活动状态，登录动画将持续一分钟（如果我一直在等待，我看到登录动画在一分钟后结束）
• 用户单击取消按钮，例如十秒钟后现在，再次显示用户选择屏幕（gnome 登录屏幕）
• 再次选择用户并输入错误的密码

如果用户单击取消按钮，pam_faildelay.so 不会生效。问题是什么 ？为了成功应用失败延迟规则，是否还有其他 pam 文件需要编辑？

在 2021-11-04，感谢 Bogdan Stoica 的评论。我已将参数 nodelay 添加到 pam_unix.so 中，如下所示。不幸的是，同样的问题仍在继续。

前三行password-auth-ac文件：

auth        required      pam_env.so
auth        required      pam_faildelay.so delay=60000000
auth        sufficient    pam_unix.so nullok try_first_pass nodelay 

system-auth-ac文件中的前四行：

auth        required      pam_env.so
auth        required      pam_faildelay.so delay=60000000
auth        sufficient    pam_fprintd.so
auth        sufficient    pam_unix.so nullok try_first_pass nodelay

我认为在 gnome 登录取消和 pam 规则之间可能存在设置。在 CentOS 7 Minimal 安装上不存在这个问题（因为自然没有登录取消按钮）。我怎样才能知道这个问题的原因？

标签： securitycentospam