Aru*_*mar 4 security brute-force locked keycloak
我在我的项目中应用了 keycloak 中的暴力检测。但我的要求是,我希望阻止 2 个用户受到暴力检测,并希望为他们提供默认设置。
如何在领域中进行设置,以便防止对某些用户进行暴力检测?
在 Keycloak密码猜测:暴力攻击功能的文档中,可以阅读:
\n\n\n当攻击者试图猜测用户\xe2\x80\x99s 密码时,就会发生暴力攻击。Keycloak 具有一些有限的强力检测\n功能。如果打开,则在达到登录失败阈值时\n用户帐户将被暂时禁用。要启用此功能,请转到“领域设置”左侧菜单项,单击“安全”\n防御选项卡,然后转到“暴力检测”子选项卡。
\n
由此可以推断,该功能是在 Realm 级别应用的,因此会影响该 Realm 内的所有用户。此外,阅读有关此功能及其配置设置的完整 Keycloak 文档,发现没有排除某些用户帐户的选项。因此,如果您想要从暴力检测功能中排除的两个用户与您想要使用该功能的用户位于同一领域,那么您就不走运了。
\n尽管如此,从下面这段
\n\n\nKeycloak 暴力检测的缺点是服务器容易受到拒绝服务攻击。攻击者可以尝试猜测其知道的任何帐户的密码,\n这些帐户将被禁用。最终我们将扩展此功能,\n在决定是否阻止\n用户时考虑客户端 IP 地址。
\n
那么也许将来您可以根据 IP 排除这两个用户?!但这是一个疯狂的猜测。这取决于未来的功能将如何实现。
\n最后:
\n\n\n更好的选择可能是像 Fail2Ban 这样的工具。您可以将此服务指向 Keycloak 服务器\xe2\x80\x99s 日志文件。Keycloak 记录每次登录失败和失败的客户端 IP 地址。Fail2Ban 可用于在检测到阻止\n来自特定 IP 地址的连接的攻击后修改防火墙。
\n
我想您可以尝试(暂时)使用 Fail2Ban ,并将其与 Keycloak 相应地集成。然后尝试根据 IP 排除这两个用户。
\n| 归档时间: |
|
| 查看次数: |
5735 次 |
| 最近记录: |