Como proteger o servidor contra a força bruta da autenticação http?

Question

Como proteger o servidor contra a força bruta da autenticação http?

#1 resposta do (4 votos)
#2 resposta do (2 votos)

5

Eu tenho um servidor CentOS / Apache com um sistema clássico .htaccess de login / senha (authtype basic etc ...)

Eu tenho o fail2ban e meus iptables estão configurados para evitar ataques de sshd, mas não sei o que fazer com os pedidos de post http comuns que tentam forçar a autenticação para o meu docroot.

AFAIK, (estou errado?) essas tentativas não aparecem em lastb , então o fail2ban não pode realmente fazer muito, é a quantidade de solicitações que é razoável

security apache-2.2

por Sebas 27.02.2014 / 04:13

2 respostas

Tags security apache-2.2

Daemon morre, mas o upstart acha que ainda está em execução Possível registrar params POST / GET no Apache 2.2

score 4 · Answer 1

Este é exatamente o tipo de coisa em que o fail2ban é bom.

Dê uma olhada no seu error_log e observe as mensagens que são geradas quando ocorre uma falha de login.

Agora, veja os filtros fornecidos pelo fail2ban (fail2ban / filter.d). Um deles pode já estar configurado para reagir ao tipo de mensagens de erro que você viu anteriormente, então tudo que você precisa fazer é habilitá-lo no fail2ban / jail.conf.

Se nenhum dos filtros pré-fornecidos fizer o que você quer, geralmente é bastante simples construir o seu próprio.

score 2 · Answer 2

Você também pode tentar o mod_security . Este é um firewall de aplicação web baseado em regras de código aberto. Existem algumas regras padrão gratuitas fornecidas pelo SpiderLabs - se elas não forem suficientes, você poderá construir suas próprias regras.