ব্রুপ ফোর্স লগইন আক্রমণগুলির বিরুদ্ধে ড্রুপাল কি নিরাপদ?

একটি নিষ্ঠুর শক্তি আক্রমণ ক্রমাগত উত্পন্ন করে এবং একটি পাসওয়ার্ডের বিভিন্ন সংমিশ্রণ ইনপুট দ্বারা একটি ওয়েবসাইটে অননুমোদিত অ্যাক্সেস অর্জন করার প্রচেষ্টা। এই কাজটি সাধারণত অটোমেশন সফ্টওয়্যার (একটি "বট") দ্বারা সম্পন্ন হয় যা সাফল্য বা ব্যর্থতার বার্তাগুলি সন্ধান করে এবং সাফল্যের বার্তা না পাওয়া পর্যন্ত নতুন পাসওয়ার্ড চেষ্টা করে চলে।

ডিফলাল 7 ডিফল্টরূপে এর বিরুদ্ধে নিরাপদ? এর জন্য আরও সুরক্ষিত কনফিগারেশন কী? কোন মডিউল আমাকে আরও সুরক্ষিত সাইন ইন করতে সহায়তা করতে পারে?

আপনি কোডটিতে দেখতে পাচ্ছেন, ব্যবহারকারী_লগিন_ফাইনাল_ডিয়্যালিটি ফাংশনটি বন্যার ইভেন্টটি নিবন্ধ করুন। এর অর্থ যদি একই আইপি কোনও ব্যবহারকারী / লগইন পাসওয়ার্ডকে বহুবার সংযোগ দেওয়ার চেষ্টা করে তবে আমরা কিছু সময়ের জন্য "নিষিদ্ধ" হয়ে যাব।

এটি দ্রুপাল যে সুরক্ষা সরবরাহ করে তার মধ্যে একটি। আর একটি, এবং আমি মনে করি এটি যদি আপনার ওয়েব সাইটে ঘটে তবে আপনি এটি খুব দ্রুত লক্ষ্য করবেন, এটি সিএসআরএফ টোকেন যা প্রতিটি ফর্মের জন্য দ্রুপাল জেনারেট করে।

এর অর্থ হ'ল আক্রমণকারী বট ফর্মটি তৈরি করতে হবে, তারপরে টোকেনটি পাবে এবং এটি জমা দেওয়ার ফর্মের সাথে সংযুক্ত করবে। এটি অত্যন্ত সময়সাপেক্ষ এবং সম্ভবত আক্রমণকারীকে নিরুৎসাহিত করবে। তবে প্রথমে আপনি দেখতে পাবেন যে আপনার সার্ভারটি আরও গরম হতে শুরু করে।

লগইন প্রচেষ্টা বন্ধ করার জন্য ড্রুপাল 7 কার্যকর পদক্ষেপগুলি ছাড়াও, আমি স্প্যামবট মডিউলটি ইনস্টল করার পরামর্শ দেব , যা বিশেষত নতুন ব্যবহারকারী নিবন্ধকরণ প্রচেষ্টা নিয়ে কাজ করে।

প্রতিটি নতুন ব্যবহারকারীর রেজিস্ট্রেশনে, এই মডিউলটি ফোরাম স্প্যাম সার্ভারটি বন্ধ করে জিজ্ঞাসা করবে যে ব্যবহারকারী নিবন্ধকরণের চেষ্টা করছেন এটি পরিচিত বট কিনা see

আপনি আপনার ওয়েবসাইটটির নিবন্ধকরণের প্রচেষ্টা সহ ফোরাম স্প্যাম বন্ধ করুন optionচ্ছিকভাবে অবদান রাখতে পারেন।

নেই বন্যা নিয়ন্ত্রণ

এই প্রকল্পটি লগইন প্রচেষ্টা সীমাবদ্ধকারী এবং যে কোনও ভবিষ্যতে লুকানো ভেরিয়েবলের মতো, ড্রুপাল in এ লুকানো বন্যা নিয়ন্ত্রণের ভেরিয়েবলগুলির জন্য প্রশাসনিক ইন্টারফেস যুক্ত করার উদ্দেশ্যে।

মূল বন্যা নিয়ন্ত্রণ ব্যবস্থার সাথে সংজ্ঞা ও ইন্টারঅ্যাক্ট করার কাজগুলি

বন্যার ব্যবস্থা আমাদের তিনটি ফাংশন সরবরাহ করে:

flood_register_event($name, $window = 3600, $identifier = NULL)

বন্যা নিয়ন্ত্রণ ব্যবস্থায় বর্তমান দর্শকের জন্য একটি ইভেন্ট নিবন্ধ করুন।

flood_clear_event($name, $identifier = NULL)

বন্যা নিয়ন্ত্রণ ব্যবস্থাকে বর্তমান দর্শকের জন্য কোনও অনুষ্ঠানের কথা ভুলে যান।

flood_is_allowed($name, $threshold, $window = 3600, $identifier = NULL)

নির্দিষ্ট ইভেন্টের সাথে ব্যবহারকারীকে এগিয়ে যাওয়ার অনুমতি দেওয়া হয়েছে কিনা তা পরীক্ষা করে। মূলত, আমরা কোনও ব্যবহারকারীকে বন্যা_আইস_কে বাতিল বলে কল করে অ্যাক্সেস পেয়েছি কিনা তা যাচাই করি। যদি এটি মিথ্যা ফেরত দেয় তবে একটি 'অ্যাক্সেস অস্বীকৃত' নিক্ষেপ করুন। যখনই কোনও ব্যবহারকারী ক্রিয়া সম্পাদন করে তখনই আমরা প্লাবন-নিবন্ধক_আভেন্ট বলি।

ডিফল্টরূপে এটি ব্যবহারকারীর আইপি ঠিকানাটি পরীক্ষা করে। তবে আমরা ব্যবহারকারীর আইডির মতো আরও কিছু অনন্য সনাক্তকারী পাস করতে পারি।

উপরে ড্রপালের বন্যা সিস্টেমের সাথে প্লে করা থেকে অনুলিপি করা হয়েছে

এই সমস্যাটি ভাবছেন (এবং করছেন), আমি একটি মডিউল লিখেছিলাম যা আপনাকে এই ধরণের আক্রমণ প্রতিরোধ করতে দেয়: https://drupal.org/project/AntispammerBot

কোন ভূমিকাটি নিরাপদ, কোনও স্প্যাম আক্রমণ ইত্যাদি বিবেচনা করার আগে ব্যবহারকারী কতগুলি নোড প্রকাশ করতে পারে তা আপনি চয়ন করতে পারেন ...