跟踪认证尝试和防止暴力攻击
项目描述
跟踪认证尝试并防止暴力攻击
此模块记录用户尝试在Odoo中进行认证时发出的每个请求。如果认证失败,将增加给定远程IP的计数器。在定义的尝试次数后,Odoo将禁止远程IP并忽略新请求。此模块通过隐蔽性提供安全性(https://en.wikipedia.org/wiki/Security_through_obscurity)。当用户被禁止时,请求现在被视为攻击。因此,UI将 不会 告诉用户其IP已被禁止,并显示常规消息“错误的登录/密码”。
此模块实现了一个对Web API的调用(http://ip-api.com),以尝试获取有关远程IP的额外信息。
配置
您可以使用以下配置参数来控制此插件的行为
auth_brute_force.whitelist_remotes 是一个以逗号分隔的已批准IP列表。忽略这些远程的失败。
auth_brute_force.max_by_ip 默认为50,表示允许的IP的最大连续失败次数。达到限制后,IP将被禁止。
auth_brute_force.max_by_ip_user 默认为10,表示任何IP和用户组合允许的最大连续失败次数。达到限制后,该用户和IP组合将被禁止。
使用方法
管理员用户有解封被禁止IP的可能。
日志记录
此模块在以下情况下生成一些警告日志
当达到IP限制时: 来自远程‘x.x.x.x’的认证失败。该远程已被禁止。尝试登录:xxxx。
当IP+用户组合限制达到时: 远程‘x.x.x.x’认证失败。远程和登录组合已被禁止。尝试登录:xxxx。
截图
尝试列表
欲了解更多信息,请访问
已知问题/路线图
在v12中移除对https://github.com/odoo/odoo/issues/24183的🐒补丁。
根据服务器和/或用户网络配置,用户识别可能错误,主要在以下情况下
如果Odoo服务器位于Apache/NGinx代理后面且配置不正确,所有请求都将使用相同的IP地址。阻止此类IP地址可能导致Odoo对所有用户都不可用! 在安装此插件之前,请确保您的日志输出werkzeug流量的正确IP。
IP元数据检索应使用更好的系统。 详细信息见此处。
错误追踪器
错误在GitHub Issues上跟踪。如果遇到问题,请检查是否已报告您的问题。如果是您首先发现的,请通过提供详细和受欢迎的反馈来帮助我们解决它。
鸣谢
贡献者
Sylvain LE GAL (https://twitter.com/legalsylvain)
David Vidal <david.vidal@tecnativa.com>
Jairo Llopis <jairo.llopis@tecnativa.com>
维护者
此模块由OCA维护。
OCA,或Odoo社区协会,是一个非营利组织,其使命是支持Odoo功能的协作开发并推广其广泛使用。
要为此模块做出贡献,请访问https://odoo-community.org。
哈希值 for odoo11_addon_auth_brute_force-11.0.1.1.0-py2.py3-none-any.whl
| 算法 | 哈希摘要 | |
|---|---|---|
| SHA256 | 20884adb2b82b3476369e548510df67d46cefcaf113ea0e982b27d2944fa1892 |
|
| MD5 | ad29cea7ad4f1d1bdb57cdc20810c22b |
|
| BLAKE2b-256 | 3a6ee47f07662539df68842ee4b5bb0ccf39a8accc6f7431146dab0f9f321736 |
