跳转到主要内容
一路上有亮 提交于 8 March 2012

原文链接:http://drupal.org/node/595068

 

登录安全模块在Drupal站点的登录操作,提高了安全性选项。默认情况下,Drupal的介绍只有基本的访问控制,拒绝IP访问网站的全部内容。

与网站管理员登录的安全模块,可以保护和限制访问,通过添加访问控制功能的登录表单(默认/用户的登录表单块称为“登录表单块”)。启用这个模块,站点管理员可能阻塞的帐户,或者拒绝通过IP地址的访问之前,无效的登录尝试的数量限制,暂时或永久。网站管理员也可以通知有关密码和帐户的猜测,蛮力登录尝试,或只是意外的行为与登录操作。

模块功能列表

持续的攻击检测

该系统能够检测正在对Drupal的登录表单进行密码猜测或暴力攻击。使用一个阈值,你可以指示模块(使用看门狗消息,并有选择地发送电子邮件),以提醒管理员用户时,无效的登录尝试的数量达到阈值,用于早期反应意外的登录尝试。

软保护

软保护不破坏网站导航,但可能会改变执行登录操作的方式。这种特征使该体系更加灵活,当一个可疑的行为,在出现的登录表单。目前,登录表单提交可以是软保护这两个选项:

  • 无效的登录请求延时:任何失败的登录表单提交被推迟了一个基本的时间,硬化登录形式的暴力破解攻击。包括在每个无效提交的延迟时间,减少用户或脚本可以做的登录尝试的数量。这种保护是暂时的,一旦用户或脚本停止处罚延迟时间做表单提交,将被删除。
  • 增加无效的登录延迟:基延迟时间可以延长,并做登录尝试的数量增加。通过这种方式,将被处以额外的尝试猜测密码不再是每个提交的延迟。
  • 无效登录表单提交:当一个用户或脚本触发这个 ​​软块保护标志,由于大量的尝试,不再登录表单提交,并从这个IP地址的任何新的登录请求将失败。然而,该网站的其余部分仍然是该主机作为一个经常性的匿名用户完全访问,无法登陆暂时。

硬盘保护

当有硬帐户的证据,猜测操作,或当你需要阻止用户因泄漏密码猜测企图,保护硬盘可能帮助战胜系统。这些行动具有永久的结果,只能由站点管理员撤销。

  • 座帐户:帐户是很常见的封锁后的登录失败attemps数。一旦这个计数完成后,被挡在无效的登录操作使用的帐户名称,并建议用户和管理员。请注意:不能阻止用户UID 1。(建议不使用“管理员”或“管理员”,为此用户名)。
  • 阻止IP地址:一些失败的尝试,可能会增加一台主机的访问控制列表。这一行动将离开完全禁止从该网站的主机。

缺乏功能/其他模块和集成

请参阅:是安全登录仍然保持呢?

通知

该模块还提供了一些通知管理员或普通用户明白发生了什么。可定制模块所提供的几个占位符的所有邮件。这是名单的通知选项:

  • 显示上次登录时间戳:显示时,用户最后一次登录在每次成功登录。
  • 显示上次访问时间戳:当用户在每次成功登录该网站上次访问的显示器。
  • 通知用户有关剩余的登录尝试的数量:警告用户的帐户被封锁之前约可用剩余的尝试。
  • 禁用登录失败错误信息:没有错误消息将显示在所有选择此选项,让用户不会知道失败的登录尝试,或冻结帐户信息(包括Drupal的“无效的用户名或密码”的消息。
  • 有关账户被封的管理员发送电子邮件:电子邮件,也可以发送到管理员(UID), ​​每一个帐户被锁定的时间。
  • 发送电子邮件消息的可疑登录活动的管理,也可以将一封电子邮件发送到管理员(UID), ​​只要在登录表单提交检测可疑活动。当达到一个确定的值无效登录attemps(阈值),发送电子邮件。

安装

转到登录安全模块项目“页面,下载并安装任何其他的Drupal模块。

组态

要配置登录的安全模块,请仔细阅读软件包中包含的README.txt文件。一旦你理解了不同的选择,你可以去“管理”>“站点配置”>“登录安全”(/管理/设置/ login_security的),与您更喜欢的设置和配置。