【发布时间】:2021-04-07 13:46:54
【问题描述】:
我在我的项目中应用了 keycloak 中的蛮力检测。但我的要求是我想阻止 2 个用户进行暴力检测,并希望为他们设置一个默认设置。
如何在领域中进行设置,以防止对某些用户进行暴力检测?
【问题讨论】:
标签: security keycloak brute-force locked
【发布时间】:2021-04-07 13:46:54
【问题描述】:
在Password guess: brute force attacks 功能的 Keycloak 文档中,可以阅读:
当攻击者试图猜测一个 用户的密码。 Keycloak 有一些有限的暴力检测 能力。如果打开,用户帐户将暂时 如果达到登录失败的阈值,则禁用。 启用此功能 功能转到领域设置左侧菜单项,单击安全 防御选项卡,然后额外转到蛮力检测子选项卡。
据此,可以推断此功能是在领域级别应用的,因此会影响该领域内的所有用户。此外,阅读有关此功能及其配置设置的完整 Keycloak 文档,没有选项可以排除某些用户的帐户。因此,如果您要从暴力检测功能中排除的两个用户与您要使用该功能的用户在同一领域内,那么您就不走运了。
尽管如此,从以下段落开始
Keycloak 暴力检测的缺点是服务器 变得容易受到拒绝服务攻击。攻击者可以 只需尝试猜测它知道的任何帐户的密码,这些 帐户将被禁用。 最终我们将扩展此功能 在决定是否阻止时考虑客户端 IP 地址 一个用户。
那么也许以后,您可以根据他们的 IP 排除这两个用户?!但这是一个疯狂的猜测;这取决于未来的功能将如何实现。
最后:
更好的选择可能是像 Fail2Ban 这样的工具。你可以指出这个 Keycloak 服务器的日志文件中的服务。 Keycloak 记录每次登录 故障和发生故障的客户端 IP 地址。 Fail2Ban 可以是 用于在检测到要阻止的攻击后修改防火墙 来自特定 IP 地址的连接。
我想你可以尝试(现在)使用Fail2Ban,并相应地将它与 Keycloak 集成。然后尝试根据他们的 IP 排除这两个用户。
【讨论】: