защита от брутфорса apache

0

2

Добрый день

Есть преимущественно внутренний web-сервис (redmine) Авторизация на нем происходит с помощью kerberos

<Location /login>
  AuthType Kerberos
  AuthName "Login"
  KrbMethodNegotiate On
  KrbMethodK5Passwd On
  KrbAuthRealms DOMAIN.LOCAL 
  Krb5KeyTab /etc/apache2/http.keytab
  require valid-user
  AllowOverride all
</Location>

Для нечастых подключений он выставлен наружу с помощью другого вебсервера через проксирование

<VirtualHost *:443>
ServerName redmine.domain.public
...
ProxyPass / https://redmine.domain.local:443/
ProxyPassReverse / https://redmine.domain.local:443/
</VirtualHost>

Как защититься от возможного брутфорса? fail2ban не подходит, т.к. внутренний сервер ничего не знает об ip адресе подбирающего, а внешний сервер не знает о ведущихся попытках перебора.

Ссылка

←	Сравнение переменных в bash

тюнинг iSCSI/TCP

→

а подбор детектит внутренний сервер?
тогда можно сохранять заголовок и redmine будет знать адрес клиента, только я хз как тебе это поможет

ii343hbka ★★★
(05.02.15 16:42:43 MSK)

Ответ на: комментарий от ii343hbka 05.02.15 16:42:43 MSK

ну только если сделать эти логи доступными для пограничного сервера, но так не хочется...

можно было бы банить подключения с тем же пользователем идущие от пограничного сервера на несколько минут, было бы норм

abyss
(06.02.15 07:59:11 MSK) автор топика

Ссылка

Установи наконец mod_rpaf, будут тебе внешние адреса.

внешний сервер не знает о ведущихся попытках перебора

А, кстати, чего это он не знает? Там же в логах прокси по идее должен возникать 403 для неуспешных запросов к /login.

frozen_twilight ★★
(08.02.15 08:07:17 MSK)
Последнее исправление: frozen_twilight 08.02.15 08:10:08 MSK (всего исправлений: 1)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Сравнение переменных в bash

Admin

тюнинг iSCSI/TCP

→

Похожие темы