Допустимые попытки .htaccess

У меня есть htaccess и htpasswd, когда я захожу на страницу, я открываю alert для ввода имени пользователя и пароля. Все работает ок. Какую проверку следует выполнить, чтобы ограничить количество раз, когда пользователь может разместить комбинацию имени пользователя и пароля. Я хочу, чтобы он дал мне ошибку в третий раз, когда он плохо вошел.

Мой .htaccess имеет вид

AuthType Basic
AuthName "Por favor ingresa tu codigo y clave"
AuthUserFile /etc/httpd/.htpasswd
require valid-user
1
задан 23.03.2016, 16:30
2 ответа

Ища на теме (не проверенный), ты можешь контролировать это с модулем modsecurity

Если твой сервер не считает это включенным по умолчанию, Веди, как он устанавливается и конфигурирует modsecurity

Попытайся со следующим кодом, который устанавливает 3 неудавшиеся попытки из-за каждого единственного IP, если он бьется козырем в более чем 3 попытках, IP останется блокированной в течение 10 минут.

<LocationMatch /sessions>
         # Uncomment to troubleshoot
        #SecDebugLogLevel 9
        #SecDebugLog /tmp/troubleshooting.log

        # Enforce an existing IP address block
        SecRule IP:bf_block "@eq 1" \
                "phase:2,deny,\
                msg:'IP address blocked because of suspected brute-force attack'"

        # Check that this is a POST
        SecRule REQUEST_METHOD "@streq POST" "phase:5,chain,t:none,nolog,pass"
                # AND Check for authentication failure and increment counters
                # NOTE this is for a Rails application, you probably need to customize this
            SecRule RESPONSE_STATUS "^200" \
                    "setvar:IP.bf_counter=+1"

    # Check for too many failures from a single IP address. Block for 10 minutes.
    SecRule IP:bf_counter "@ge 3" \
            "phase:5,pass,t:none, \
            setvar:IP.bf_block,\
            setvar:!IP.bf_counter,\
            expirevar:IP.bf_block=600"

Personalización:

Ты можешь определять попытки доступа, нежели блок IP.

SecRule IP:bf_counter "@ge 3" \

и время сбоя в секунды (600 секунд = 10 минут)

expirevar:IP.bf_block=600

Извлеченный: Brute Force Аутентикатион Протектион with ModSecurity (английский язык)

1
ответ дан 24.11.2019, 14:42

Не могут ( ref ). И обычно он не стоит. В общем, тот же браузер берется за то, чтобы ограничивать количество перепопыток.

0
ответ дан 24.11.2019, 14:42