Hace unos días me encontré con una situación bastante común: escribir mal la contraseña al usar sudo. Nada grave, salvo por un detalle que seguramente muchos usuarios de Linux conocen bien: el sistema obliga a esperar unos segundos antes de permitir un nuevo intento.

Normalmente no le damos importancia, pero cuando te ocurre varias veces seguidas, esos segundos terminan haciéndose más largos de lo que parecen. Esto me llevó a investigar cómo funciona realmente este comportamiento en CachyOS y si existía alguna forma de ajustarlo.

Lo que descubrí me sorprendió un poco, porque en varios debates encontré comentarios que afirmaban que el retraso podía desactivarse, pero no personalizarse. Después de revisar la configuración de PAM y hacer algunas pruebas, comprobé que sí es posible definir un tiempo de espera personalizado.

¿Qué hace exactamente este retraso?

Lo primero que conviene aclarar es que no estamos hablando del bloqueo temporal que puede producirse tras acumular demasiados intentos fallidos.

El ajuste que vamos a modificar controla únicamente el tiempo que transcurre entre introducir una contraseña incorrecta y poder volver a intentarlo.

Su función es sencilla: dificultar ataques de fuerza bruta ralentizando los intentos consecutivos de autenticación.

Desde el punto de vista de la seguridad tiene sentido, aunque en un equipo doméstico, utilizado por una única persona y protegido físicamente, puede resultar algo excesivo.

El comportamiento predeterminado

En la mayoría de configuraciones el retraso ronda los tres segundos.

No parece mucho tiempo, pero cuando simplemente has pulsado una tecla incorrecta o tienes activado accidentalmente el bloqueo de mayúsculas, la espera puede resultar algo frustrante.

Si no existe una configuración específica, este valor suele obtenerse a partir del parámetro FAIL_DELAY definido en:

/etc/login.defs

Desactivando el retraso por defecto

Para poder definir nuestro propio tiempo de espera, primero debemos impedir que PAM aplique el retraso predeterminado.

El archivo que debemos editar es:

/etc/pam.d/system-auth

En él hay que añadir la opción nodelay en las líneas correspondientes:

auth       required                    pam_faillock.so      preauth nodelay
auth       [success=1 default=bad]     pam_unix.so          try_first_pass nullok nodelay
auth       [default=die]               pam_faillock.so      authfail nodelay

Como siempre, antes de tocar cualquier configuración relacionada con la autenticación recomiendo realizar una copia de seguridad del archivo original.

Definiendo un tiempo de espera personalizado

Una vez eliminado el retraso predeterminado, podemos añadir nuestro propio valor utilizando pam_faildelay.so.

Por ejemplo:

auth       optional                    pam_faildelay.so     delay=1500000

El bloque quedaría de la siguiente forma:

auth       required                    pam_faillock.so      preauth nodelay
auth       optional                    pam_faildelay.so     delay=1500000

¿Qué significa ese número?

Aquí hay un detalle importante: el parámetro delay se expresa en microsegundos.

Algunos ejemplos rápidos:

500000    = 0,5 segundos
1000000   = 1 segundo
1500000   = 1,5 segundos
3000000   = 3 segundos
5000000   = 5 segundos

Personalmente, considero que 1500000 (1,5 segundos) es un punto bastante equilibrado. Sigue existiendo una pequeña penalización tras un error, pero la experiencia resulta más ágil que con los tres segundos habituales.

Mi conclusión

No es una modificación imprescindible y probablemente muchos usuarios nunca sentirán la necesidad de cambiar este comportamiento. Sin embargo, me pareció curioso descubrir que PAM permite algo más que simplemente activar o desactivar el retraso.

En mi caso, reducirlo ha mejorado ligeramente la experiencia diaria sin eliminar por completo esa pequeña capa de protección frente a intentos automatizados.

Como ocurre con casi todo en Linux, lo interesante no es únicamente poder modificar algo, sino tener la libertad de adaptarlo exactamente a nuestras necesidades.

Eso sí, antes de realizar cualquier cambio en archivos relacionados con PAM, conviene entender qué hace cada parámetro y valorar las implicaciones de seguridad. Un ajuste inadecuado puede provocar problemas de autenticación o reducir la protección del sistema.

• Ayuda
• Tecnología