如何使用 Fail2Ban 保護 ProxyPass(ed) 應用程序
所以我最近配置了一個使用 WebSockets 的應用程序,我正在使用 Apache 代理傳遞通過 domain.com/application 傳遞應用程序
問題是應用程序非常裸機。它確實帶有登錄螢幕,但我更進一步,通過位於 proxypass 配置中的 Apache 實現了 htpasswd 登錄。
(我覺得我在打字時正在回答我的問題,但我會重新寫字/重新提問)
<Location /application> AllowOverride AuthConfig AuthUserFile /home/[USERNAME]/.htpasswd AuthName "Authorization Required" AuthType Basic require user [USERNAME] ProxyPass wss://192.168.1.50:443/application ProxyPassReverse wss://192.168.1.50:443/application </Location>我可以配置 Fail2Ban 從 ProxyPass 伺服器監控實際的應用程序登錄螢幕嗎$$ The Application can not install Fail2Ban $$
- -解決方法?? 通過實現 htpasswd 授權頁面@代理伺服器將基於失敗的嘗試通過初始 Apache 身份驗證提示登錄而阻止失敗?
您絕對可以確定在純配置中,因為 proxypass fail2ban 不會在這里工作,原因有幾個。
fail2ban 實際上可以查看日誌,並阻止失敗的身份驗證嘗試;由於身份驗證日誌位於後端,因此您沒有進行身份驗證的人。
fail2ban 作為已知協議的一系列定義;在某些特定情況下可能並非如此,當這種情況發生時,您將不得不開發您的外掛。
fail2ban 需要在完成身份驗證的同一台機器上執行。
首先,當您選擇工具時,我建議您稍微調查一下它們是否適用於您的特定情況。比使用這些工具更重要的是了解它們是否適用於您的情況。
正如此連結所示,確實有可能將 fail2ban 用於阻止濫用的 Web 基本身份驗證。我只是認為您的 proxypass 優先,並且永遠不會完成身份驗證。您可能需要一個登錄頁面來進行身份驗證,並且不在該虛擬主機的根目錄中執行 proxypass。
我通常使用 mod_evasive 至少作為 Apache 中用於控制 DoS/濫用請求的附加安全層。看看我線上程上的回复(它不是標記為正確的那個)編輯我的 /etc/hosts.deny不要以為在 Apache 中你可以對請求進行速率限制,這對濫用你的服務的人有很大幫助,而不僅僅是在詢問密碼時。
請考慮使用驗證碼作為第 7 層措施來限制答案。殭屍網路協調網路將使您的 fail2ban 規則失效,使用多個不同的 IP 繞過您的措施。
看看這個:
“Google reCAPTCHA - 保護您的網站免受垃圾郵件和濫用,同時讓真實的人輕鬆通過”