보안을 유지하려고 하는 전 세계적으로 열려 있는 openldap 서버(사용자 비밀번호 포함)가 있습니다.
1단계는 ACL을 통해 인증된 사용자에게 데이터 액세스를 제한하는 것이었습니다.
무차별 대입 공격을 방지하기 위한 2단계는 ppolicy를 구현하는 것이었습니다. 잘 작동하는 것 같습니다. 멋지군요.
3단계는 가능한 원인과 함께 DNS 잠금을 가능한 한 빨리 발견하여 "잠긴 사용자를 처리하고 자신의 잘못이 아니라고 맹세하는 사용자를 처리"하는 것입니다.
나는 pwdAccountLockedTime 속성 존재를 확인하고, 이메일을 통해 경고하고, 벨을 울리는 등의 스크립트를 작성하기 시작했습니다. 괜찮지만, 의심스러운 로그인이 발생한 시간, 어디서 수행되었는지 등을 알려주는 로그의 데이터에 연결하기가 어렵습니다. 모든 데이터가 있지만 이를 모두 하나로 모으는 것은 정말 고통스럽습니다. 나는 이 문제에 직면한 유일한 사람이 아니며(또는 내가 잘못된 문제를 해결하려고 하는 걸까?) 해결책이 존재하지만 단지 찾지 못했을 뿐이라고 확신합니다. 내가 잘못 ?
Fail2ban은 실제로 적합하지 않다는 사실을 잊어버렸습니다. 주소를 반드시 알지는 못하지만 디렉토리에 대해 합법적인 대량 요청을 수행하고 Fail2ban을 통과하지 못하는 클라이언트가 많이 있습니다. 이상하게 들리겠지만 여기서의 구성은 복잡하므로 이를 해결해야 합니다. 그래서 나는 ppolicy를보고 있습니다.
간단히 말해서, pwdAccountLockedTime 발생을 모니터링하고, 그런 일이 발생하면 어떤 사용자가 문제가 있는지, pwdFailureTime 값, 해당 시간에 어떤 요청이 수행되었는지, 어떤 IP에서 수행되었는지에 대한 정보를 즉시 얻을 수 있는 방법을 갖고 싶습니다. 읽기 쉬운 단일 로그 파일에 주소를 저장합니다. 정말 좋겠군요. 확실히 존재할까요?
답변1
3단계에 대해 질문하겠습니다. 영향을 받을 수 있는 사용자를 찾기 위해 로그를 검색하는 것은 로그인할 수 없다는 실제 문제를 해결하지 못합니다.
필요한 것은 그가 불만을 제기할 때(다른 방법으로 그를 인증한 후) 알려주고 다음에 로그인할 때 변경해야 하는 임시 새 비밀번호로 계정을 재설정하는 관리 조치뿐입니다. 이 모든 작업은 완료될 수 있습니다. 정책을 통해.