vpsにてredmineを利用する場合の運用例

解決済

質問者：jyuden
質問日時：2012/08/08 15:16
回答数：1件

はじめまして、今回、さくらvps環境にてredmine環境を構築しました。

仕事で、使いたいと考えており、関係会社と自社の関係者からのみアクセス可能にしたいと考えているのですが、例えば、ログイン画面に対してブルートフォースアタックなどを実施されユーザーID、パスワードを不正に奪われてしまう事はないのか懸念しております。

皆様におかれましては、このような環境にて仕事で使う場合、どのような設定を施し活用されてますでしょうか。

ご意見頂けますよう宜しくお願い致します。

通報する

この質問への回答は締め切られました。

質問の本文を隠す

回答 (1件)

ベストアンサー優先
最新から表示
回答順に表示

No.1ベストアンサー

回答者： Wr5
回答日時：2012/08/08 15:52

外部向けで運用したことはありませんが……

>例えば、ログイン画面に対してブルートフォースアタックなどを実施されユーザーID、パスワードを不正に奪われてしまう事はないのか懸念しております。

ログインに規定回数失敗したら、該当IPアドレスからの接続を一定時間ブロックする。
というような運用でどうでしょうか？

redmineがログイン失敗時にどのようなログを出力するのか…とか、
スクリプトを作成しないとならない…とかありますが。

SSHブルートフォースアタックに対して、iptablesで接続拒否にする。
というスクリプトの例は検索すればあるハズですので…それの応用…ということになるかと。
# ipt_recentで対策というのも見つかりますが……HTTPプロトコルだとちょっと使いづらいですかね。
# HTTPでは都度都度切断されるので「SYN」パケットの回数を記録。では使えないですし。

iptablesで拒否…ならば、redmineのログも無駄に増えたりしないでしょう。
# 操作ミスで拒否状態になった時が面倒…ですけどね。
# クライアント側から(cgiとかで作成した)解除の為のページへのアクセスも出来ない。ということになりますから。

http://devslog.com/article/20120324183415.html
DenyHostの例。
ただし…httpdは/etc/host.deny見ていない…でしょう。たぶん。

http://www.aconus.com/~oyaji/security/swatch.htm
swatchの例。
スクリプトを修正してiptablesに登録。
最大X時間とかならcronで登録されたIPアドレスのフィルタ設定を削除する。
とかで対応できるでしょう。