Настраиваем сервер Subversion через модуль Apache mod_dav_svn
а аутентификация выполняется через LDAP.
Теперь мы хотели бы ограничить попытки входа в систему в Subversion, чтобы предотвратить атаки методом грубой силы. Если пользователь (или бот) трижды неправильно введет свой пароль, его следует заблокировать на определенное время.
Как мы можем установить эту защиту с помощью описанной выше настройки?
mod_dav_svn
имеет обширный функция регистрации. Совместите это с Fail2ban и вы сможете перехватывать попытки входа в систему методом перебора.
Вы можете сделать это в самом LDAP, если он поддерживает проект политики паролей IETF. (OpenLDAP делает.) Просто установите стандартную политику pwdLockout
приписывать true
, pwdMaxFailure
к ненулевому значению, скажем, 3 в вашем случае, и pwdLockoutDuration
до того, сколько секунд вы хотите, чтобы блокировка была, скажем, 300, независимо от того, что вы думаете, достаточно долго, чтобы сдерживать ботов, не раздражая до чертиков реальных пользователей.