Wir haben über das Apache-Modul einen Subversion-Server aufgesetzt mod_dav_svnund die Authentifizierung erfolgt über LDAP.
Nun möchten wir die Login-Versuche bei Subversion beschränken, um Brute-Force-Angriffe zu verhindern. Wenn ein Benutzer (oder ein Bot) sein Passwort dreimal falsch eingibt, soll er für eine bestimmte Zeit gesperrt werden.
Wie können wir diesen Schutz mit dem oben beschriebenen Setup herstellen?
Antwort1
mod_dav_svnverfügt über eine umfangreicheProtokollierungsfunktionKombinieren Sie dies mitFail2banund Sie sollten in der Lage sein, Brute-Force-Anmeldeversuche abzufangen.
Antwort2
Sie können das in LDAP selbst tun, sofern es den Kennwortrichtlinien-Entwurf des IETF unterstützt. (OpenLDAP tut dies.) Setzen Sie einfach das pwdLockoutAttribut der Standardrichtlinie auf trueeinen pwdMaxFailureWert ungleich Null, in Ihrem Fall etwa 3, und pwdLockoutDurationauf die gewünschte Anzahl von Sekunden für die Sperre, etwa 300 Sekunden. Was auch immer Sie für lang genug halten, um Bots abzuschrecken, ohne echte Benutzer zu sehr zu belästigen.