[12593] Улучшить механизм блокировки при вводе неправильного пароля

Я правильно понимаю что если кто-то начнет подбирать пароль к системной учетной записи администратора - то тем самым он заблокирует на некоторое время учетную запись администратора?
Если это единственная учетная запись с такими правами на сервере - то таким образом можно серьезно парализовать работу с системой. Или я что-то упускаю?
В таком случае предложение raven34716 выглядит логичным - менять еще и логин со стандартного на какой-то уникальный.

Поддерживаю, сам как то столкнулся с этим моментом, сам себя забанил на своем сервере. может это зависит от того что я ставлю количество одновременных сеансов=1?

Такое решается административно: штрафами, выговорами, увольнениями. По-другому никак.

Это правильный подход. По крайней мере, на серверах наших обсуживающих организаций учётка admin была сразу заблокирована, а права администратора выданы другим пользователям.

Мы прорабатываем ещё и вопрос двухфакторной аутентификации по SMS. Думаю, что в крайнем случае можно будет включить и такой механизм. Но придётся тратится на сообщения.

В качестве дополнительной меры защиты для всех учетных записей, которые имеют права на удаление объектов и другие подобные действия у нас установлен белый список ip адресов, содержащий подсети провайдеров, с которых такие пользователи входят в свои учетные записи.
Посмотреть принадлежащие провайдеру подсети можно например здесь
Таким образом атаки через Tor/VPN/Proxy совсем не страшны.
Прошу все таки рассмотреть возможность блокировки не учетных записей, а ip адресов (например дать возможность выбора).
Либо настройку блокировки, потому что сейчас ни количество неправильных вводов пароля, ни срок блокировки не настраивается.
Так же нужно продумать момент, когда администратор блокирует сам себя когда неверно вводит пароль - как видно по сообщению sergey_foton я не один попал в такую ситуацию (я проверял работу механизма блокировки).

В качестве совета другим пользователям в контексте обсуждения безопасности:
Для системной учетной записи администратора можно так же установить определенный ip адрес, с которого разрешен вход. Например это может быть подсеть, в которой находится сервер ЛЭРС УЧЕТ вида 192.168.1.0/24 - таким образом под администратором можно будет работать только из локальной сети.
image

Хорошо, этот момент продумаем.

Но ведь пароль всегда можно сбросить и разблокировать учётную запись.

Сбросить через утилиту сброса, или через ссылку “Забыли пароль”?

Через утилиту сброса, запрос к БД напрямую, или cli сервера.

Приветствую, это не дело сброс пароля. Смысл? кто то где то долбит в морду входа правильный логин, но неправильный пароль и блокирует работу официального оператора. И чего? каждый раз сбрасывать что ли? Как там эти атаки называются? брут форс что ли? Сколь мне раз в час надо будет пароль сбросить?

Есть кросплатформенный проект IPBan, который работает на windows и на linux. Можем добавить ещё один журнал, на основании которого будет заблокирован IP.

Думаю, что использовать специаилизированно ПО надёжнее, чем делать блокировку в ЛЭРС УЧЁТ.

Что скажете?

Я думаю это хорошее решение

Как это работает? Ресурс англоязычный, а использование зарубежных сервисов в нынешних реалиях чревато известными и неизвестными проблемами.

IP Бан платное приложение я полагаю, не айс. Организация оплачивает поддержку продукта. Теперь получается что бы защитить продукт надо еще куда то платить. Думаю директор меня не поймет =(

Насколько я понимаю ЛЭРС будет писать в файл IP, которые нужно заблокировать. Как они будут блокироваться - остается на усмотрение системного администратора.
Я верно понял?

У IPBan станадртная модель с открытым бесплатным приложением и платной pro-версией. Бесплатная версия под лицензией MIT находится в открытом доступе.

ЛЭРС будет формировать журнал, который обрабатывается IPBan. Администратор сможет настроить какие IP блокировать, на какое время, количество попыток, и так далее. Плюс блокируется IP на уровне ОС. ЛЭРС, естественно, этого делать не будет.

Зачем платить, вам должно хватить и открытой версии.

Делайте что считаете нужным, у меня только один вопрос: будет ли блокироваться запущенная (оператор уже зашел под ней), учетная запись официального оператора если кто то 3 раза введет, с другого компьютера, неправильный пароль при правильном логине этого оператора?

Нет, если мы говорим про бан по IP-адресу, то будет забанен только один IP-адрес. Бан при подборе пароля временно (до суток) заблокирует вход для учётной записи по логину и паролю. Если с какого-то компьютера пользователь уже вошёл и сохранил пароль, он продолжит работать.

Помимо поддержки журнала ipban мы ещё реализуем возможность отключить временную блокировку учётной записи. Таким образом, вы сможете настроить ipban и не блокировать учётки при попытках подбора пароля.

И ещё очень важный момент. Если вы хотите настроить бан по IP-адресу, крайне важно настроить отображение реального IP адреса клиента. Иначе последствия самые непредсказуемые.

Проверили, схема работает. Можете уже сейчас установить на сервер IPBan. В 3.50 мы добавим протоколирование журнала. 5 провалившихся попыток ввода пароля подряд блокируют IP-адрес на сутки.

После выпуска 3.50 добавим документацию по настройке.

@lersbot update 3.50.0

ок, спасибо.