序

PAM 1.4.0からpam_faillockというのが入り、デフォルトでログインに失敗するとロックされるようになった。

しかし、この設定がまたきつすぎて困惑している。

設定

設定は(Manjaroの場合)/etc/secutiry/faillock.confにあり、標準では「3回失敗すると」「10分ロックアウト」である。 あまり細かな設定はできない。

それは適当か

3回失敗すると、なので、簡単に言えば「sudoに1回失敗するとロックアウト」である。

スマートフォンと比べても格段に厳しい。 しかも10分ロックアウトである。bot攻撃を防ぐとかそんな次元ではない。人間を諦めさせるレベルである。

日常によくあるレベルのfailで人間を諦めさせてどうする? 大抵諦めるのはユーザーだぞ?

再起動するほうが圧倒的に早いため、私は再起動して対応した。

そもそも、私は十分に複雑で長く、打つのも大変な(指的な理由で)パスワードを使っているため、普通に間違える可能性は高いのだ。

私としては無効にしてもいいと思うくらいだが、一応10回/3分にしておいた。 まぁ、なんとか許容範囲といったところ。

だが、急いでいるときほど打ち間違えは発生しやすいし、そのときに3分待てというのもきついから、やはり無効化でも良い気がする。 LUKSのパスフレーズなんか、もっと長いので何十回も間違えることすらあるし。

とりあえず、困る前に設定しといたほうが良い。