LINUX.ORG.RU
ФорумAdmin

защита от брутфорса apache

 , ,


0

2

Добрый день

Есть преимущественно внутренний web-сервис (redmine) Авторизация на нем происходит с помощью kerberos

<Location /login>
  AuthType Kerberos
  AuthName "Login"
  KrbMethodNegotiate On
  KrbMethodK5Passwd On
  KrbAuthRealms DOMAIN.LOCAL 
  Krb5KeyTab /etc/apache2/http.keytab
  require valid-user
  AllowOverride all
</Location>

Для нечастых подключений он выставлен наружу с помощью другого вебсервера через проксирование

<VirtualHost *:443>
ServerName redmine.domain.public
...
ProxyPass / https://redmine.domain.local:443/
ProxyPassReverse / https://redmine.domain.local:443/
</VirtualHost>
Как защититься от возможного брутфорса? fail2ban не подходит, т.к. внутренний сервер ничего не знает об ip адресе подбирающего, а внешний сервер не знает о ведущихся попытках перебора.


а подбор детектит внутренний сервер?
тогда можно сохранять заголовок и redmine будет знать адрес клиента, только я хз как тебе это поможет

ii343hbka ★★★
()
Ответ на: комментарий от ii343hbka

ну только если сделать эти логи доступными для пограничного сервера, но так не хочется...

можно было бы банить подключения с тем же пользователем идущие от пограничного сервера на несколько минут, было бы норм

abyss
() автор топика

Установи наконец mod_rpaf, будут тебе внешние адреса.

внешний сервер не знает о ведущихся попытках перебора

А, кстати, чего это он не знает? Там же в логах прокси по идее должен возникать 403 для неуспешных запросов к /login.

frozen_twilight ★★
()
Последнее исправление: frozen_twilight (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.