Мы настроили сервер Subversion через модуль Apache mod_dav_svn, а аутентификация выполняется через LDAP.
Теперь мы хотели бы ограничить попытки входа в Subversion, чтобы предотвратить атаки методом подбора. Если пользователь (или бот) вводит свой пароль три раза неправильно, он должен быть заблокирован на определенное время.
Как мы можем установить эту защиту с помощью описанной выше настройки?
решение1
mod_dav_svnимеет обширныйфункция ведения журнала. Объедините это сFail2banи вы должны иметь возможность перехватывать попытки входа в систему методом подбора пароля.
решение2
Это можно сделать в самом LDAP, если он поддерживает проект политики паролей IETF. (OpenLDAP поддерживает.) Просто установите pwdLockoutатрибут стандартной политики в значение true, pwdMaxFailureненулевое значение, например, 3 в вашем случае, и pwdLockoutDurationстолько секунд, сколько вы хотите, чтобы длилась блокировка, например, 300, сколько вы считаете достаточным для сдерживания ботов, не раздражая при этом реальных пользователей.