跟踪身份验证尝试并防止暴力攻击
项目描述
跟踪身份验证尝试并防止暴力攻击
此模块记录用户尝试在Odoo中进行身份验证时发出的每个请求。如果身份验证失败,则针对给定远程IP的计数器会增加。达到一定次数后,Odoo将禁止该远程IP并忽略新的请求。此模块通过隐蔽性提供安全性(https://en.wikipedia.org/wiki/Security_through_obscurity),当一个用户被禁止时,请求现在被视为攻击。因此,UI将 不会 告诉用户其IP已被禁止,并显示常规消息“错误的登录/密码”。
此模块通过调用Web API(http://ip-api.com)来尝试获取有关远程IP的额外信息。
配置
您可以使用以下配置参数来控制此插件的行为
auth_brute_force.whitelist_remotes 是一个以逗号分隔的允许IP列表。忽略这些远程的失败。
auth_brute_force.max_by_ip 默认为50,表示允许一个IP的最大连续失败次数。达到限制后,该IP将被禁止。
auth_brute_force.max_by_ip_user 默认为10,表示允许任何IP和用户组合的最大连续失败次数。达到限制后,该用户和IP组合将被禁止。
使用
管理员用户有权限解锁被禁止的IP。
日志记录
此模块在以下情况下生成一些警告日志:
当达到IP限制时: 远程‘x.x.x.x’的身份验证失败。远程已被禁止。尝试登录:xxxx。
当IP+用户组合达到限制时: 远程‘x.x.x.x’认证失败。远程和登录组合已被禁止。尝试登录:xxxx。
屏幕截图
尝试列表
更多信息,请访问
已知问题/路线图
在v12中移除 🐒 修补程序https://github.com/odoo/odoo/issues/24183
根据服务器和/或用户网络配置,用户识别可能会出错,主要在以下情况下
如果Odoo服务器位于Apache / NGinx代理后面且配置不当,所有请求都将使用相同的IP地址。阻止此类IP可能导致Odoo对所有用户不可用! 在安装此插件之前,请确保您的日志输出werkzeug流量的正确IP。
IP元数据检索应使用更好的系统。 查看详情。
错误跟踪器
错误在GitHub问题上跟踪。如有问题,请检查是否已报告您的问题。如果您是第一个发现的人,请通过提供详细且受欢迎的反馈来帮助我们解决它。
致谢
贡献者
Sylvain LE GAL (https://twitter.com/legalsylvain)
David Vidal <david.vidal@tecnativa.com>
Jairo Llopis <jairo.llopis@tecnativa.com>
维护者
此模块由OCA维护。
OCA,即Odoo社区协会,是一个非营利组织,其使命是支持Odoo功能的协作开发并推广其广泛应用。
要为此模块做出贡献,请访问https://odoo-community.org。
散列 for odoo9_addon_auth_brute_force-9.0.1.1.0-py2-none-any.whl
| 算法 | 散列摘要 | |
|---|---|---|
| SHA256 | 50fbd8bb3585d8636d3c70198f8c7337b7399d9be86f9962005b331fbc9cb0a3 |
|
| MD5 | ae6800dff43adc8135993b08a3b346cd |
|
| BLAKE2b-256 | 333fc569f5a3d1289bb77edd3013ca6a03a7060abdb4930ee21769b44fa45028 |