16.3. 暴力攻击
通过多次尝试多次登录,会强制攻击尝试猜测用户密码。Red Hat Single Sign-On 具有暴力检测功能,并在登录失败次数超过指定阈值时暂时禁用用户帐户。
默认情况下,Red Hat Single Sign-On 禁用暴力强制检测。启用此功能以防御暴力攻击。
流程
启用此保护:
- 点菜单中的 Realm Settings
- 点 Security Defenses 选项卡。
点 Brute Force Detection 选项卡。
暴力强制检测
Red Hat Single Sign-On 可在检测到攻击时部署永久锁定和临时锁定操作。永久锁定会禁用用户帐户,直到管理员重新启用它。临时锁定会禁用特定时间的用户帐户。禁用该帐户的时间周期会随着攻击继续继续而增加。
当用户临时锁定并尝试登录时,Red Hat Single Sign-On 会显示默认的 Invalid username 或 password 错误消息。这个消息与为无效用户名或无效密码显示的消息相同,以确保攻击者不知道帐户已被禁用。
常用参数
| 名称 | 描述 | 默认 |
|---|---|---|
| 最大登录失败数 | 登录失败的最大数量。 | 30 个故障。 |
| 快速登录检查毫秒 | 登录尝试之间的最短时间。 | 1000 毫秒. |
| 最少快速登录等待 | 当登录尝试的速度快于 Quick Login Check Milliseconds 时,用户会被禁用的最短时间。 | 1 分钟. |
永久锁定流
成功登录时
-
重置
计数
-
重置
登录失败时
-
递增
计数 如果
计数大于 Max Login Failure- 永久禁用用户
否则,如果这个失败和最后一个失败之间的时间小于 Quick Login Check Milliseconds
- 临时禁用用户以进行 最小快速登录 Wait
-
递增
当 Red Hat Single Sign-On 禁用一个用户时,在管理员启用该用户前无法登录。启用帐户重置 计数。
临时锁定参数
| 名称 | 描述 | 默认 |
|---|---|---|
| wait Increment | 当用户尝试超过 Max Login Failure 时,在用户登录尝试超过 Max Login Failure 时,会临时禁用用户的时间。 | 1 分钟. |
| max Wait | 用户临时禁用的最长时间。 | 15 分钟. |
| 故障重置时间 | 故障计数重置的时间。计时器从最后一次失败的登录运行。 | 12 小时. |
临时锁定算法
成功登录时
-
重置
计数
-
重置
登录失败时
如果此故障和最后一次故障之间的时间大于 Failure 的重置时间
-
重置
计数
-
重置
-
递增
计数 -
使用
Wait Increment* 计算等待 (计数/ Max Login Failures)。这个部门是一个整数划分到一个整数 如果
等待0,且这个失败之间的时间小于 Quick Login Check Milliseconds,则把wait设置为 Minimum Quick Login Wait。-
暂时禁用用户以获得较小的
等待和 Max Wait 秒
-
暂时禁用用户以获得较小的
当临时禁用的帐户提交登录失败时,'count' 不会递增。
Red Hat Single Sign-On brute 强制检测的缺点是服务器容易受到拒绝服务攻击的影响。在实施拒绝服务攻击时,攻击者可以通过猜测其知道的帐户的密码登录,并最终导致红帽单点登录禁用帐户。
考虑使用入侵检测软件(IPS)。Red Hat Single Sign-On 会记录每个登录失败和客户端 IP 地址失败。您可以将 IPS 指向 Red Hat Single Sign-On 服务器的日志文件,IPS 可以修改防火墙来阻止来自这些 IP 地址的连接。
16.3.1. 密码策略
确保您有复杂的密码策略,以强制用户选择复杂的密码。如需更多信息,请参阅密码策略章节。???通过将红帽单点登录服务器设置为使用一次性密码,防止密码猜测。
