管理者としてログインしようとする人に対処する方法は?
この最後の数日間、私は私のdblogで、誰かが忍び寄ろうとしていることに気づきました。
その人はログインURLを見つけようとしました(私のWebサイトはユーザー登録用に開いていません)。そのため、my-domain.com/admin、my-domain.com/administrator ..およびmy-domain.com/wp-ログイン(その人がdrupalに慣れていないことを示します。)
その人が/ userになってしまうと、別のユーザー名(admin、administratorなど)を試してadminとしてログインしようとしました(rootユーザーのユーザー名として「admin」を使用することはありません)。
drupal Webサイトをこのようなことから防ぐ/保護する方法はありますか?
ありがとう
ps:d6とd7の両方でこれを行う方法に興味があります。
これらの種類のプローブは、インターネット全体で非常に一般的です。この問題をブロックし、攻撃者の成功を減らすために実行できることがいくつかあります。
まず、攻撃者がユーザー名とパスワードを推測したとしてもログインできないように、すべての人に Two Factor Authentication を使用することをお勧めします。 $ 500の賞金でTFAを破る があり、ホワイトハットの攻撃者はユーザー名とパスワードを持っていますが、侵入することはできませんでした。
セキュリティレビューモジュール または ドロップター は、これらの失敗したログインの監視に役立ちます。それらが頻繁に発生する場合は、より多くのアクションを開始する必要があります。パスワードへのブルートフォース攻撃は、誰かがそれらを実行した場合にのみ機能しますたくさんあるため、数十回だけ発生しても、心配する必要はありません。
このユーザーが使用しているIPアドレスをウォッチドッグエントリを使用して追跡し、組み込みのD6アクセスルール(または同等のd7- http://drupal.org/project/user_restrictions )を使用して、そのIP経由のアクセスをブロックします。 Apacheまたはその他のサーバーレベルのファイアウォールでIPへのアクセスを拒否することもできます。ファイアウォール/ウェブサーバーは、サーバーの負荷の観点からユーザーをブロックするためのより効率的な場所ですが、通常は少し手間がかかります。
Drupal 6および7の場合、AjitSは、同じIPからの繰り返しログイン試行を防ぐためにレート制限機能を使用する方法を適切に説明した回答を提供しました。
これは実際には完全に予想される動作です。あなたがパブリックIPでウェブサイトを公開するときはいつでも、数時間/日以内にあなたはそのようなトラフィックを得始めます。 99.99%の確率で、これらは、パッチが適用されていないアプリケーションや簡単なパスワードを探す汎用スクリプトを実行するボットにすぎません。これは、domain.com/wp-loginでヒットが表示される理由を説明します。(自動化された)攻撃ホストは、最初にDrupalを実行していることすら知らず、人気のあるCMS、Wordpress、Drupalなどのすべてのパスを試行しています... 。
これについて心配するのにあまり時間を無駄にしないでください。何をするにせよ常に世界中からあなたのサイトをこすり取っているこれらのスクリプトを見つけてください...
次の2つの簡単な方法で、アプリを比較的安全にします。
Https経由でログインページと管理ページを提供する
管理者用のまともなパスワードを持っている
実装するセキュリティスキームに関係なく、常に最新のものをバックアップします。
幸運、幸せな新年の友達。
おそらく rename admin paths を使用すると役立つでしょうか?
このモジュールの目的は、管理パスを上書きすることにより、drupalバックエンドを保護することです。
Drupal 6の場合、 Login Security モジュールを確認する必要があります。
ログインセキュリティモジュールは、Drupalサイトのログイン操作におけるセキュリティオプションを改善します。デフォルトでは、Drupalは、完全なコンテンツへのIPアクセスを拒否する基本的なアクセス制御のみを導入しますサイトの。
ログインセキュリティモジュールを使用すると、サイト管理者は、ログインフォーム(/ userのデフォルトのログインフォームと「ログインフォームブロック」と呼ばれるブロック)にアクセス制御機能を追加して、アクセスを保護および制限できます。このモジュールを有効にすると、サイト管理者は一時的または永続的に、アカウントをブロックしたり、IPアドレスによるアクセスを拒否する前に、無効なログイン試行の回数を制限できます。一連の通知は、サイト管理者がサイトのログインフォームで何かが起こったことを知るのに役立ちます:パスワードとアカウントの推測、ブルートフォースログインの試行、またはログイン操作での予期しない動作。
Drupal 7の場合、@ saadluluは、ログインに5回失敗した後にアクセスをロックする機能がすでにあると言ったので、より詳細に制御したい場合は、 Flood Control モジュール。
このプロジェクトは、Drupal 7に、ログイン試行リミッターや将来の非表示変数などの非表示フラッド制御変数の管理インターフェースを追加することを目的としています。
他のソース(ssh、ftpなど)からの失敗したログインが処理されるのと同じ方法でこれを処理したいので、それらはすべて一貫して処理されます。そのため、私は fail2ban を調べています。これは、ブルートフォースのSSHログインに対して使用して大きな成功を収めています。また、監視ツールに適切にフィードし、ファイアウォールレベルでブロックします。これは、Drupalログインを防止するよりも一般的に安全です。 metasploitなどを実行している場合の例。
/ userページへのアクセスを削除または禁止する場合、何を求めているのかは論理的ではありません。
そのページを防ぐためになんとか管理している場合、どのようにアクセスしますか?
プラスDrupalは、5回の試行後にユーザーへのアクセスをロックすることにより、このような攻撃を阻止する方法をすでに提供しています。
ただし、管理アカウントへの試行を制限できます。