অ্যাডমিন হিসাবে লগইন করার চেষ্টা করা কারও সাথে কীভাবে व्यवहार করবেন?

এই শেষ দিনগুলিতে, আমি আমার ডিব্লগে লক্ষ্য করেছি যে কেউ চারিদিকে লুকিয়ে থাকার চেষ্টা করছে।

ব্যক্তিটি লগইন ইউআরএল অনুসন্ধান করার চেষ্টা করেছিল (আমার ওয়েবসাইট ব্যবহারকারী নিবন্ধকরণের জন্য উন্মুক্ত নয়) তাই তারা আমার-ডমাইন / অ্যাডমিন, মাই-ডোমেন / অ্যাডমিনিস্ট্রেটর .. এবং আমার- ডোমেন.com/wp- লগইন (যা নির্দেশ করে যে ব্যক্তি ড্রুপালের সাথে পরিচিত নয় ..)

একবার ব্যক্তি / ব্যবহারকারী শেষ হয়ে গেলে সে বা সে পৃথক ব্যবহারকারী নাম: অ্যাডমিন, প্রশাসক ইত্যাদি ব্যবহার করে অ্যাডমিন হিসাবে লগইন করার চেষ্টা করেছিল ... (আমি কখনই মূল ব্যবহারকারীর জন্য ব্যবহারকারীর নাম হিসাবে 'অ্যাডমিন' ব্যবহার করি না)

এই ধরণের জিনিস থেকে কোনও ড্রুপাল ওয়েবসাইটকে রোধ / সুরক্ষার কোনও উপায় আছে কি?

ধন্যবাদ

PS: আমি কীভাবে এটি ডি 6 এবং ডি 7 এর জন্য করতে আগ্রহী

এই ধরণের প্রোবগুলি ইন্টারনেটে খুব সাধারণ। এই সমস্যাটি ব্লক করতে এবং আক্রমণকারীর সাফল্য হ্রাস করার জন্য কয়েকটি জিনিস আপনি সম্ভাব্যভাবে করতে পারেন।

প্রথমে, আমি প্রত্যেককে দুটি ফ্যাক্টর প্রমাণীকরণ ব্যবহার করার পরামর্শ দিচ্ছি যাতে আক্রমণকারী আপনার ব্যবহারকারী নাম এবং পাসওয়ার্ড অনুমান করেও তারা লগইন করতে না পারে। টিএফএ ভাঙতে 500 ডলারের অনুদান ছিল এবং যদিও সাদা-টুপি আক্রমণকারীদের ব্যবহারকারীর নাম এবং পাসওয়ার্ড ছিল তারা ভেঙে ফেলতে পারেনি।

নিরাপত্তা পর্যালোচনা মডিউল বা Droptor এই ব্যর্থ লগইন নিরীক্ষণ সাহায্য করতে পারেন। যদি সেগুলি অনেক ঘটে তবে আপনার আরও পদক্ষেপ নেওয়া শুরু করতে হবে। পাসওয়ার্ডগুলিতে হিংস্র আক্রমণগুলি কেবল তখনই কাজ করে যদি কেউ সেগুলি অনেক কিছু করে তবে যদি এটি কয়েক ডজনবার ঘটে তবে আমি চিন্তা করব না।

আপনি এই আইডিটির মাধ্যমে অ্যাক্সেস ব্লক করতে এই আইডি ঠিকানাটি নজরদারি এন্ট্রি ব্যবহার করে এই বিল্ট-ইন ডি 6 অ্যাক্সেস বিধিগুলি (বা ডি 7 সমতুল্য - http://drupal.org/project/user_restrictions ) ব্যবহার করতে পারেন। আপনি অ্যাপাচি বা অন্য কোনও সার্ভার স্তরের ফায়ারওয়ালে আইপি অ্যাক্সেস অস্বীকার করতে পারেন। ফায়ারওয়াল / ওয়েবসার্ভারটি সার্ভারে লোডের ক্ষেত্রে ব্যবহারকারীদের ব্লক করার জন্য আরও কার্যকর জায়গা, তবে এটি সাধারণত কিছুটা বেশি প্রচেষ্টা প্রয়োজন।

দ্রুপাল 6 এবং For এর জন্য অজিৎ একই আইপি থেকে বারবার লগইন প্রচেষ্টা রোধ করতে কীভাবে হার-সীমাবদ্ধ বৈশিষ্ট্যটি ব্যবহার করতে হবে তার একটি ভাল বিবরণ সহ একটি উত্তর সরবরাহ করেছে।

ড্রুপাল 6 এর জন্য আপনার লগইন সুরক্ষা মডিউলটি পরীক্ষা করা উচিত ।

লগইন সুরক্ষা মডিউল একটি দ্রুপাল সাইটের লগইন অপারেশনে সুরক্ষা বিকল্পগুলিকে উন্নত করে। ডিফল্টরূপে, দ্রুপাল সাইটের সম্পূর্ণ সামগ্রীতে আইপি অ্যাক্সেস অস্বীকার করে কেবলমাত্র প্রাথমিক প্রবেশাধিকার নিয়ন্ত্রণের সাথে পরিচয় করিয়ে দেয়।

লগইন সুরক্ষা মডিউল সহ, কোনও সাইট প্রশাসক লগইন ফর্মগুলিতে অ্যাক্সেস নিয়ন্ত্রণ বৈশিষ্ট্যগুলি (ব্যবহারকারীর মধ্যে ডিফল্ট লগইন ফর্ম এবং "লগইন ফর্ম ব্লক" নামক ব্লক) যুক্ত করে অ্যাক্সেস সুরক্ষা এবং সীমাবদ্ধ করতে পারে। এই মডিউলটি সক্ষম করে, কোনও সাইট প্রশাসক অ্যাকাউন্টগুলি অবরুদ্ধ করার আগে বা অস্থায়ীভাবে বা স্থায়ীভাবে আইপি ঠিকানা দ্বারা অ্যাক্সেস অস্বীকার করার আগে অবৈধ লগইন প্রচেষ্টাগুলির সংখ্যা সীমাবদ্ধ করতে পারে। বিজ্ঞপ্তিগুলির একটি সেট সাইট প্রশাসককে তাদের সাইটের লগইন ফর্মের সাথে কখন কী ঘটছে তা জানতে সহায়তা করতে পারে: পাসওয়ার্ড এবং অ্যাকাউন্ট অনুমান করা, ব্রুফোর্স লগইন প্রচেষ্টা বা লগইন অপারেশনের সাথে কেবল অপ্রত্যাশিত আচরণ।

ড্রুপাল For-এর জন্য, যেমন @ এসএলডুলু বলেছিলেন যে লগইনের 5 টি ব্যর্থ চেষ্টা করার পরেও অ্যাক্সেসটিকে লক করার একটি বৈশিষ্ট্য ইতিমধ্যে রয়েছে। আপনি যদি আরও নিয়ন্ত্রণ চান তবে আপনি বন্যা নিয়ন্ত্রণ মডিউলটি চেষ্টা করতে পারেন ।

এই প্রকল্পটি লগইন প্রচেষ্টা সীমাবদ্ধকারী এবং যে কোনও ভবিষ্যতে লুকানো ভেরিয়েবলের মতো, ড্রুপাল in এ লুকানো বন্যা নিয়ন্ত্রণের ভেরিয়েবলগুলির জন্য প্রশাসনিক ইন্টারফেস যুক্ত করার উদ্দেশ্যে।

সম্ভবত অ্যাডমিন পাথের নাম পরিবর্তন করতে সাহায্য করবে?

এই মডিউলটির উদ্দেশ্য অ্যাডমিন পাথকে ওভাররাইড করে ড্রুপাল ব্যাকএন্ড সুরক্ষিত করা।

আমি এটি একইভাবে পরিচালনা করতে চাই যে অন্যান্য উত্সগুলি (যেমন ssh, ftp) থেকে ব্যর্থ লগইনগুলি হ্যান্ডেল করা হয়, সুতরাং এগুলি সবই ধারাবাহিকভাবে মোকাবেলা করা হয়। যে জন্য আমি এ খুঁজছেন করা চাই fail2ban , যা আমি মহান সাফল্য পাশব বল, SSH লগইন বিরুদ্ধে ব্যবহার হয়েছে। এটি মনিটরিং সরঞ্জামগুলিতে এবং ফায়ারওয়াল স্তরের ব্লকগুলিতে খুব সুন্দরভাবে ফিড দেয় যা কেবলমাত্র ড্রুপাল লগইনগুলি প্রতিরোধের চেয়ে সাধারণত নিরাপদ কারণ একাধিক আক্রমণকারী ভেক্টর একই জায়গা থেকে আসা যেমন সাধারণভাবে যদি তারা মেটাস্পপ্লিটের মতো জিনিস চালাচ্ছে তবে এটি সাধারণভাবে কার্যকর eds ।

এটি আসলে সম্পূর্ণ প্রত্যাশিত আচরণ। আপনি যখনই কোনও পাবলিক আইপিতে কোনও ওয়েবসাইট প্রকাশ করবেন তখন কয়েক ঘন্টা / দিনের মধ্যে আপনি সাজানোর ট্র্যাফিক পেতে শুরু করবেন। 99.99% সময়ের মধ্যে, এগুলি কেবল বট হয় যা জেনেরিক স্ক্রিপ্টটি চালায় না এমন কোনও অ্যাপ্লিকেশন বা সহজ পাসওয়ার্ডের সন্ধান করে। এটি আপনাকে ডোমেন / ডাব্লুপি-লগিনে হিটগুলি কেন দেখায়, এটি (স্বয়ংক্রিয়) আক্রমণকারী হোস্ট প্রাথমিকভাবে জানেন না যে আপনি দ্রুপাল চালাচ্ছেন, এটি জনপ্রিয় সিএমএস, ওয়ার্ডপ্রেস, দ্রুপাল ইত্যাদির সমস্ত পথ চেষ্টা করছে ... ।

আমি বললাম এ নিয়ে খুব বেশি সময় ব্যয় করবেন না। আপনি যা কিছু করুন আপনি সর্বদা আপনার সাইটটিকে স্ক্র্যাপ করে এই স্ক্রিপ্টগুলি দেখতে পাবেন ... সারা বিশ্ব থেকে।

দুটি সহজ জিনিস আপনার অ্যাপ্লিকেশনটিকে তুলনামূলকভাবে সুরক্ষিত করে তুলবে:

1. Https এর মাধ্যমে লগইন এবং অ্যাডমিন পৃষ্ঠাগুলি পরিবেশন করুন

2. প্রশাসকের জন্য একটি শালীন পাসওয়ার্ড রয়েছে

সুরক্ষা যেকোন স্কিম আপনি প্রয়োগ করেন না কেন, সর্বদা আপনার স্টাফের সাম্প্রতিক ব্যাকআপ থাকে।

শুভকামনা, শুভ নববর্ষের বন্ধু।

আপনি যদি ব্যবহারকারী / ব্যবহারকারী পৃষ্ঠায় অ্যাক্সেস অপসারণ বা প্রতিরোধ করতে চান তবে আপনি যা জিজ্ঞাসা করছেন তা যৌক্তিক নয়।

আপনি যদি কোনওভাবে সেই পৃষ্ঠাটি আটকাতে পরিচালনা করেন তবে আপনি কীভাবে এটিতে অ্যাক্সেস করতে যাচ্ছেন?

প্লাস ড্রুপাল ইতিমধ্যে 5 টি চেষ্টার পরে ব্যবহারকারীর অ্যাক্সেস লক করে এই ধরনের আক্রমণ বন্ধ করার একটি উপায় সরবরাহ করে।

আপনি চেষ্টাগুলি যদিও আপনার অ্যাডমিন অ্যাকাউন্টে সীমাবদ্ধ করতে পারেন।