强化 Apache 身份验证以阻止暴力攻击(例如延迟)

强化 Apache 身份验证以阻止暴力攻击(例如延迟)

有没有办法配置 Apache 在尝试失败后减慢登录速度?

看起来这不是默认设置,正如已经讨论过的这里

另一方面,似乎也可以不将其添加到自己的应用程序逻辑中,在普通的 Apache 上,请参阅这里,但我在文档和讨论中没有找到任何内容???

答案1

我认为您可以使用 mod_security 模块中的规则来完成此操作:

SecFilterSelective VAR VALUE log,pass,pause:5000

但最终你最好使用fail2ban或类似的东西来阻止违规用户。

答案2

Fail2Ban 可以在错误日志中查找身份验证错误,并使用 iptables 阻止 bf 尝试

相关内容