Administrator sifatida kirishga harakat qilayotgan odam bilan qanday munosabatda bo'lish mumkin?

Ushbu oxirgi kunlarda, men dblogda, kimdir atrofga yashirinishga urinayotganini payqab qoldim.

Kirish urlini topishga urinib ko'rgan odam (mening veb-saytim foydalanuvchi ro'yxatga olish uchun ochiq emas), shuning uchun har narsani my-domain.com/admin, my-domain.com/administrator-dan, va my-domain.com/wp- login (bu kishi Drupal bilan tanish emasligidan dalolat beradi ..)

Keyin foydalanuvchi/foydalanuvchi tomonidan tugatilganidan keyin u turli foydalanuvchi nomlarini urgan holda administrator sifatida kirishga harakat qildi: administrator, administrator va boshqalar ... (Men hech qachon "administrator" ni root foydalanuvchi uchun foydalanuvchi nomi sifatida ishlatmayman)

drupal veb-saytini bunday narsalardan himoya qilish va oldini olishning bir yo'li bormi?

Rahmat

PS: Men buni d6 va d7 uchun qanday qilishni bilaman.

15

6 javoblar

Ushbu turdagi problar internet orqali juda keng tarqalgan. Ushbu muammoni bartaraf etish va tajovuzkorning muvaffaqiyatini kamaytirish uchun potentsial jihatdan bir nechta narsalar mavjud.

Birinchidan, har kimga ikki faktor tasdiqlanishi dan foydalanishni tavsiya qilaman, shunda ham tajovuzkor foydalanuvchi nomi va parolingizni taxmin qilsa ham, Tizimga kirish. "TFAni buzish uchun 500 dollarlik loyiqligi bor edi va oq papkadagi hujumkorlar foydalanuvchi nomi va parolga ega bo'lishsa ham buzilmas edi.

Xavfsizlikni o'rganish moduli yoki Droptor ushbu muvaffaqiyatsiz loginlarni kuzatishda yordam beradi. Agar ular juda ko'p bo'lsa, unda ko'proq harakatlarni boshlashingiz kerak. Agar parollarga qarshi kuchli kuchlar hujumlari faqatgina juda ko'p bo'lsa ishlaydi, shuning uchun u faqat bir necha o'nlab marta xavotirlanmas ekan.

Kuzatuv yozuvlari yordamida ushbu shaxs tomonidan ishlatilayotgan IP-manzilni kuzatishingiz va undan keyin o'rnatilgan D6 Kirish qoidalarini (yoki d7 ekvivalenti - http://drupal.org/project/user_restrictions ) ushbu IP orqali kirishni taqiqlaydi. Apache yoki boshqa server darajasidagi xavfsizlik devoridagi IP-ga kirishni rad etishingiz mumkin. Faervol/veb-server serverda yukni yuklashda foydalanuvchilarni blokirovka qilish uchun yanada qulay joy, lekin odatda biroz ko'proq harakat talab qiladi.

Drupal 6 va 7 uchun, AjitS bir xil IP dan qayta kirishga urinishlar oldini olish uchun tezlikni chegaralash xususiyatidan qanday foydalanishni yaxshi tushuntirish bilan javob berdi.

15
qo'shib qo'ydi
@greggles - qo'pol kuchga kirishga urinishlar bo'yicha, ular dastur darajasida emas, balki router/tarmoq darajasida ishlamasligi kerak. Agar arizangiz barcha kirish urinishlariga javob bersa, siz DOS tipidagi hujumlarga ochiq. Buni eng yaxshi usul (mening xushmuomala tarzda) Drupalni fail2ban . Masalan, konf-fayli mavjud (frantsuzcha, afsus) -> alexandreracine.com/… . Lekin aytganimdek, ko'pgina saytlar uchun bu juda ham ko'p. Yaxshi kun do'stim!
qo'shib qo'ydi muallif KP., manba
@greggles - Menga xushmuomala tarzda ruxsat ber. HTTPS veb-ilovalar xavfsizligidagi eng muhim mudofaa chizig'i . O'ylab ko'r. Sizning foydalanuvchi parolingiz butun dunyo bo'ylab ochiq matnda o'tkazilganda qo'pol kuch hujumlari (juda kam muvaffaqiyat darajasi) haqida xavotirlanishga odatlanmaysizmi? Agar https - bu imkoniyat bo'lmasa, unda xavfsizlikni unutib qo'yishingiz mumkin, bu sayt aslida kimligini hisobga olish uchun trafikni yoqib yuboradigan odamga ochiq va bu oson va qo'pol kuchlarga qaraganda ancha yuqori muvaffaqiyatga ega.
qo'shib qo'ydi muallif KP., manba
Kudos yaxshi yozma javob uchun, lekin katta vaqt sarflash. Nima qilsangiz qilsangiz, siz har doim da ushbu skriptlarni saytingizni skanerlashingiz mumkin. Faqat administrator va login sahifangizga https-ga murojaat qiling va yaxshi administrator parolga ega bo'ling.
qo'shib qo'ydi muallif KP., manba
Endi bu Drupal Security komandasidan bo'lgan bir kishining javobiga o'xshaydi ;-) +1
qo'shib qo'ydi muallif splattne, manba
Qiziqarli fikrlar. Men IP-adreslarni bir necha kun davomida d6 ruxsat qoidalaridan foydalanib bloklashni boshlayman va bu qanday yordam berishini ko'rishni boshlayman. Barchangizga rahmat!
qo'shib qo'ydi muallif dpollitt, manba
Drupal 7 takrorlanmagan urinish harakatlaridan keyin aniq bir IP-manzildan kirishni avtomatik ravishda bloklamaydimi? Bir vaqtlar men mijozga qo'ng'iroq qila olmaydi, chunki u o'z foydalanuvchi/passni 5 marta sinab ko'rdi va u muvaffaqiyatsizlikka uchradi va endi u endi tizimga kira olmaydi va JB-dan ba'zi jadvallarni tozalashga to'g'ri keldi. ..
qo'shib qo'ydi muallif danmcardle, manba
@stefgosselin HTTPS juda ko'p odamlar uchun imkoniyat emas, garchi bu yaxshi qadam ekanligiga qo'shilaman. Bundan tashqari, "https" ning qo'pol kuch muammosiga qanchalik yordam berayotganini ko'rmayapman. O'ylaymanki, TFA HTTdan foydalana olmaydigan va/yoki, albatta, qo'pol kuch hujumlariga yechim topadigan odamlarga yordam beradi.
qo'shib qo'ydi muallif greggles, manba
Men bu suhbatni o'limga duchor qilmoqchi edim, lekin o'tgan hafta oxirida Jerry Grossmandan kelgan bir tvit mening ko'zimni ushladi: "Men oxirgi foydalanuvchilarga mo'ljallangan onlayn maqolalarni qanday qilib yo'q qilishni" bir necha marta qayta yozganman. Men hech qachon "SSL himoyasini yoki yashil barni izlang" deb aytdim.) twitter.com/jeremiahg/status/290520898103029762 Menimcha, tarmoq/router darajasida qo'pol kuch-quvvat hujumlariga javob beradigan saytlar uchun juda yaxshi (ya'ni, siz ushbu qurilmalarni boshqarasiz). Agar siz Drupal qavatidagi echimlardan birini ishlata olmasangiz.
qo'shib qo'ydi muallif greggles, manba

Drupal 6 uchun Kirish xavfsizligi modulini tekshirishingiz kerak.

Kirish Xavfsizlik moduli Drupal saytining kirish jarayonida xavfsizlik parametrlarini yaxshilaydi. Odatiy bo'lib, Drupal saytning to'liq mazmuniga IP-dan foydalanishni rad etish uchun faqat asosiy kirishni boshqarishni taqdim etadi.

     

Kirish xavfsizligi moduli bilan sayt ma'muri login shakllariga kirishni boshqarish xususiyatlarini qo'shish orqali kirishni cheklashi va cheklashi mumkin ("login" bloki deb nomlangan "login" shaklida/foydalanuvchi va blok). Ushbu modulni yoqish uchun sayt ma'muri hisoblarni bloklashdan oldin yoki IP-manzilga kirishni vaqtinchalik yoki doimiy ravishda bekor qilish uchun noto'g'ri kirish urinishlar sonini cheklab qo'yishi mumkin. Bir nechta xabarnoma sayt ma'muri saytining kirish shakli bilan nima yuz berayotganini bilishlariga yordam beradi: parol va hisobni aniqlash, shavqatsiz kirishga urinishlar yoki kirish amaliyoti bilan kutilmagan xatti-harakatlar.

Dafal 7 uchun @saadlulu 5 ta muvaffaqiyatsiz urinishdan keyin kirishni blokirovka qilish xususiyati mavjudligini aytgan. Agar ko'proq nazorat qilishni istasangiz, siz To'fonni nazorat qilish moduli orqali sinab ko'rishingiz mumkin.

Ushbu loyiha Drupal 7 tizimidagi maxfiy toshqin boshqaruvi parametrlari uchun administrator interfeysi, masalan, loginga kirish cheklovchilari va kelajakdagi yashirin o'zgaruvchilar kabi boshqarish uchun mo'ljallangan.

4
qo'shib qo'ydi

Bu umuman kutilgan xatti-harakatlar. Agar veb-saytni ommaviy ipda nashr qilsangiz, soatlab/kun ichida siz navbati trafikka kirishga kirishasiz. Vaqtning 99,99% ni tashkil etuvchi, bu oddiy dasturlardan yoki oson parollardan foydalanadigan umumiy skriptni boshqaradigan botlardan iborat. Bu nima uchun saytga tashrif buyurganingizning sababi - "Dropal" ni ishga tushirganingizdan xabardor emas, balki mashhur CMS, Wordpress, Drupal va boshqalar ... .

Aytmoqchimanki, buning uchun juda ko'p vaqt sarflamayapman. Siz nima qilsangiz qila olasiz, har doim har doim saytni qirib tashlaymiz ... bu skriptlarni butun dunyodan topasiz.

Ikki oddiy narsa ilovangiz nisbatan xavfsizligini ta'minlaydi:

  1. https va

    orqali tizimga kirish sahifalariga xizmat qiling
  2. Admin uchun yaxshi parolga ega

Siz amalga oshiradigan xavfsizlik sxemasidan qat'i nazar, har doim sizning narsalaringizning zaxira nusxasi bor.

Yaxshi omad, baxtli yangi yil do'stim.

3
qo'shib qo'ydi

Balki administratorlik yo'llarini nomini o'zgartirish yordamida yordam berishi mumkinmi?

Ushbu modulning maqsadi administratorning yo'lini bekor qilish orqali Drupal backendni ta'minlash.

3
qo'shib qo'ydi
qo'shib qo'ydi muallif Joey deVilla, manba
yaxshi javob, foydalanuvchi nomini/foydalanuvchi/login/login/yo'lga kirishga ruxsat berish botslarni standart urlga kirishga urinishdan to'xtatish uchun juda samarali bo'lishi mumkin
qo'shib qo'ydi muallif Chris, manba
Ha, bilaman, "xavfsizlik yo'li bilan xavfsizlik" aslida xavfsizlik emas, lekin aslida savolga javob berishga intilardim ...
qo'shib qo'ydi muallif Dean MacGregor, manba

Buni boshqa manbalardan (masalan, ssh, ftp) olib kirgan muvaffaqiyatsiz ishlarni amalga oshirishni xohlayman, shuning uchun hammasi doimiy ravishda ko'rib chiqiladi. Buning uchun fail2ban ga qarashim mumkin, bu juda katta muvaffaqiyatga aylandim SSH kirish qo'zg'aluvchan kuchlariga qarshi foydalanish. Bundan tashqari, nazorat qilish vositalari uchun yaxshi jihozlangan va xavfsizlik devori darajasida bloklanadi, bu odatda Drupal tizimiga kirishni oldini olishdan ko'ra xavfsizroq bo'ladi, chunki u bir nechta hujum vektorlarini o'sha joydan kelishi uchun keng tarqalgan, masalan, agar ular metasploit .

3
qo'shib qo'ydi
Qabul qilaman, lekin "maqsadli" bo'lgan ushbu Drupal o'rnatmasi men server darajasida sozlamalarga kirishga to'sqinlik qiladigan, birgalikda ishlaydigan hosting serverida ishlayapti, faqat uni Drupal ichida saqlay olaman va saqlay olaman, lekin men uni maxsus serverga o'tkazishni o'ylayapman kelgusi bir necha hafta ichida. Rahmat
qo'shib qo'ydi muallif dpollitt, manba
Faervol darajasiga erishishning birdan-bir afzalligi, Drupal saytingizning hujum doirasi qismidir. Agar kimdir Drupal orqali qabul qila olmasa, ular ssh yoki ftp yoki ... boshqa xizmatlar ishlayotganini ko'radi va u usullardan foydalanmoqchi.
qo'shib qo'ydi muallif greggles, manba

Sizga/foydalanuvchining sahifasiga kirishni o'chirish yoki oldini olishni so'rab, nima so'rasangiz, mantiqiy emas.

Agar siz ushbu sahifani oldini olish uchun qanday yo'l tutsangiz, uni qanday qilib kirishingiz mumkin?

Bundan tashqari, Drupal 5 marta urinishdan keyin foydalanuvchiga kirishni blokirovkalash orqali bunday hujumlarni to'xtatishning usulini allaqachon taqdim etadi.

Administrator hisobiga bo'lgan harakatlaringizni cheklashingiz mumkin.

2
qo'shib qo'ydi
Salom, javob berganingiz uchun tashakkur. Men aniq bir narsa so'ramayman. Men bu bilan shug'ullanish uchun qandaydir g'oyalarni izlayapman. O'ylaymanki, '5 muvaffaqiyatsiz urinishlar qulflash' faqatgina 7 Drupal funktsiyasidir, to'g'rimi? Drupal 6 da shunga o'xshash xususiyatni qo'llash mumkinmi?
qo'shib qo'ydi muallif dpollitt, manba
Mening fonim faqat Frupal 7 bo'lgani uchun hech qanday tasavvurga ega emasman. Buni Drupal 6 dan birodarlarimga qoldiraman :). siz menga yaxshilik qila olasiz va agar siz buni yoqtirsangiz javobimni qabul qilishingiz mumkin.
qo'shib qo'ydi muallif Mark, manba
ushbu modulni login xavfsizligini tekshirishingiz mumkin.
qo'shib qo'ydi muallif Mark, manba
Ushbu "javob" yaxshi emas, chunki 5 ta kirishni to'xtatish faqat Drupal 7 va muammoni oldini olish uchun har doim kerak bo'lgan narsalar mavjud.
qo'shib qo'ydi muallif greggles, manba