क्या ड्रूपल ब्रूट बल लॉगिन हमलों के खिलाफ सुरक्षित है?

ब्रूट-फोर्स अटैक एक पासवर्ड के विभिन्न संयोजनों को लगातार उत्पन्न करने और इनपुट करने से एक वेबसाइट पर अनधिकृत पहुंच प्राप्त करने का एक प्रयास है। यह कार्य आमतौर पर ऑटोमेशन सॉफ्टवेयर (एक "बॉट") द्वारा किया जाता है जो सफलता या विफलता संदेशों की तलाश करता है और जब तक यह एक सफल संदेश नहीं मिलता है तब तक नए पासवर्ड की कोशिश करता रहता है।

क्या Drupal 7 डिफ़ॉल्ट रूप से इसके खिलाफ सुरक्षित है? इसके लिए अधिक सुरक्षित कॉन्फ़िगरेशन क्या है? कौन सा मॉड्यूल मुझे अधिक सुरक्षित साइन इन के लिए मदद कर सकता है?

जैसा कि आप कोड में देख सकते हैं, फ़ंक्शन user_login_final_validate एक बाढ़ घटना दर्ज करता है। इसका मतलब है कि अगर एक ही आईपी कई बार उपयोगकर्ता / लॉगिन पासवर्ड को जोड़ने का प्रयास करता है तो हमें कुछ समय के लिए "प्रतिबंधित" कर दिया जाएगा।

यह उन सुरक्षाओं में से एक है जो द्रुपाल प्रदान करता है। एक और, और मुझे लगता है कि अगर यह आपकी वेब साइट पर होता है, तो आप इसे बहुत तेज़ी से नोटिस करेंगे, यह CSRF टोकन है जो ड्रुपल प्रत्येक फॉर्म के लिए उत्पन्न करता है।

इसका मतलब है कि हमलावर बॉट को फॉर्म उत्पन्न करना चाहिए, फिर टोकन प्राप्त करें और इसे सबमिट फॉर्म के साथ जोड़ दें। यह बहुत समय लेने वाला है और संभवतः हमलावर को हतोत्साहित करेगा। लेकिन सबसे पहले, आप देखेंगे कि आपका सर्वर गर्म हो रहा है।

Drupal 7 लॉगिन प्रयासों को रोकने के लिए लागू होने वाले अच्छे उपायों के अलावा, मैं Spambot मॉड्यूल स्थापित करने का सुझाव दूंगा , जो विशेष रूप से नए उपयोगकर्ता पंजीकरण प्रयासों से संबंधित है।

प्रत्येक नए उपयोगकर्ता पंजीकरण में, यह मॉड्यूल स्टॉप फोरम स्पैम सर्वर को यह देखने के लिए क्वेरी करेगा कि उपयोगकर्ता पंजीकरण का प्रयास कर रहा है या नहीं।

आप वैकल्पिक रूप से अपनी वेबसाइट के पंजीकरण प्रयासों के साथ फोरम स्पैम को रोकने में योगदान कर सकते हैं।

नहीं है बाढ़ नियंत्रण

यह परियोजना Drupal 7 में छिपे हुए बाढ़ नियंत्रण चर के लिए एक प्रशासन इंटरफ़ेस जोड़ने के लिए है, जैसे लॉगिन प्रयास सीमा और भविष्य के किसी भी नए चर।

कोर बाढ़ नियंत्रण प्रणाली के साथ परिभाषित करने और बातचीत करने के कार्य

बाढ़ प्रणाली हमें तीन कार्य प्रदान करती है:

flood_register_event($name, $window = 3600, $identifier = NULL)

वर्तमान आगंतुक को बाढ़ नियंत्रण तंत्र के लिए एक घटना दर्ज करें।

flood_clear_event($name, $identifier = NULL)

वर्तमान आगंतुक के लिए एक घटना के बारे में बाढ़ नियंत्रण तंत्र को भूल जाओ।

flood_is_allowed($name, $threshold, $window = 3600, $identifier = NULL)

जाँच करता है कि क्या उपयोगकर्ता को निर्दिष्ट घटना के साथ आगे बढ़ने की अनुमति है। मूल रूप से, हम जाँचते हैं कि किसी उपयोगकर्ता के पास बाढ़_is_allowed कॉल करके पहुँच है या नहीं। यदि यह FALSE लौटाता है, तो एक 'एक्सेस अस्वीकृत' फेंक दें। जब भी कोई उपयोगकर्ता कार्रवाई करता है तो हम बाढ़_रजिस्ट्री_वेंट कहते हैं।

डिफ़ॉल्ट रूप से यह उपयोगकर्ता के आईपी एड्रेस की जांच करता है। लेकिन हम उपयोगकर्ता आईडी जैसे कुछ अन्य विशिष्ट पहचानकर्ता को पास कर सकते हैं।

ड्रुपल के बाढ़ प्रणाली के साथ खेलने से ऊपर की नकल की

इस समस्या के बारे में सोचते हुए, मैंने एक मॉड्यूल लिखा है जो आपको इस तरह के हमलों को रोकने की अनुमति देता है: https://drupal.org/project/AntispammerBot

आप चुन सकते हैं कि कौन सी भूमिकाएँ सुरक्षित हैं, उपयोगकर्ता इसे स्पैम हमले, आदि पर विचार करने से पहले कितने नोड प्रकाशित कर सकता है ...