Nginx:速率限制基本身份验证尝试失败

Nginx:速率限制基本身份验证尝试失败

在 Nginx(撰写本文时为 1.14.1)中给出一个简单的 HTTP Basic Auth 设置,如下所示:

server {
  ...
  location / {
    auth basic "HTTP Auth Required";
    auth basic user file "/path/to/htpasswd";
  }
}

... 如何对失败的登录尝试应用速率限制?例如,如果 30 秒内有 10 次登录尝试失败,我想阻止该源 IP 访问该站点一小时。我希望使用limit_req_zone和相关指令,但找不到一种方法来连接到请求的身份验证状态。

在 HAproxy 中,这相当简单,使用类似以下工作示例的粘贴表和 ACL。

userlist users
  user me password s3cr3t

frontend https.local
  ...

  # Set up the stick table to track our source IPs, both IPv4 & IPv6
  stick-table  type ipv6  size 100k  expire 1h  store http_req_rate(30s)

  # Check if the user has authenticated
  acl  auth_ok  http_auth(users)

  # Track the client IP
  http-request track-sc0 src

  # Deny the connection if it exceeds 10 requests within the defined
  # stick-table period AND if the client isn't authenticated already
  http-request deny deny_status 429 if { sc_http_req_rate(0) gt 10 } !auth_ok

  # Define the auth realm if the users isn't authenticated and made it this far
  http-request auth realm Authorization\ Required unless auth_ok

使用 Nginx 是否可行,而不需要使用auth_request方法并且不需要应用请求限制来location阻止外部身份验证机制?

答案1

您还可以使用 fail2ban,然后使用 nginx 监狱。

答案2


  limit_req_status     429;
  auth_basic           "-";
  auth_basic_user_file "...";
  error_page           401 = @nein;
  proxy_intercept_errors on; # not needed if not proxying

  location / {
    # note you cannot use a short circuiting `return`  here.
    try_files /dev/null =204;
  }

  location @nein {
    internal  ;
    limit_req zone=<zone>;
    # this is the magic trick, `try_files` takes place AFTER `limit_req`.
    try_files /dev/null =401;
  }


注意:这仅在身份验证失败后生效,因此您必须尝试使用​​突发限制来延迟下一个请求。我甚至不确定是否可以通过这种方式保护自己免受暴力攻击。

相关内容