Estou desejando executar um servidor publicamente acessível para hospedagem na web. Estou interessado em impedir ataques de força bruta feitos contra o PHPMyAdmin ou qualquer outra forma de processo de autenticação que eu possa incluir no site.
Que tipos de opções existem para isso sem ter que monitorar todos os possíveis métodos de login que eu possa querer que o público enfrente?
Eu uso o Fail2ban para bloquear coisas como muitas tentativas ssh. Eu também comecei a usá-lo para parar muitas tentativas de login do PHPMyAdmin. Minha preocupação são outras páginas de login arbitrárias que meu desenvolvedor da Web pode criar para coisas específicas do site.
Os pensamentos iniciais eram coisas como interromper muitas solicitações por X segundos. Isso, no entanto, teria que ser um número bastante alto para acomodar páginas com muitas imagens e sons que teriam muito espaço para falsos positivos.
Eu acho que isso seria semelhante a como um provedor de hospedagem compartilhada ajudaria a manter seu site seguro quando eles não têm idéia do conteúdo que você pode ter (um banco obviamente não hospedaria esse tipo de informação com um provedor compartilhado, mas muitos sites menos sensíveis ainda querem impedir que os logins sejam forçados brutos). Talvez esta seja a razão para captchas?