标签:nginx django admin ratelimit
我正在研究限制Django管理员登录的各种方法,以防止字典攻击.
这里解释了一个解决方案:http://simonwillison.net/2009/Jan/7/ratelimitcache/
但是,我更喜欢使用Nginx在Web服务器端进行速率限制.
Nginx的limit_req模块就是这样 – 允许您指定每分钟的最大请求数,如果用户超过则发送503:http://wiki.nginx.org/NginxHttpLimitReqModule
完善!我以为我已经破解了它,直到我意识到Django管理员的登录页面不在一致的位置,例如/ admin / blah /给你一个登录页面,而不是弹跳到标准的登录页面.
所以我无法匹配URL.任何人都可以想到另一种方式来了解管理页面是否正在显示(regexp响应HTML?)
解决方法:
首先:为了保护django管理员一点点,我总是使用一个网址管理员与/ admin /一个好主意是将管理员部署为另一个域或子域的第二个应用程序
您可以通过IPTABLES / NETFILTER将每分钟的请求限制为整个webapp.有关如何完成此操作的教程可以在debian administrator找到.这是一个如何保护ssh-port的示例,但是您可以对http使用相同的技术.
您可以使用NginxHttpLimitZone模块来限制分配的会话的同时连接数,或者作为特殊情况,从一个IP地址.编辑nginx.conf:
### Directive describes the zone, in which the session states are stored i.e. store in slimits. ###
### 1m can handle 32000 sessions with 32 bytes/session, set to 5m x 32000 session ###
limit_zone slimits $binary_remote_addr 5m;
### Control maximum number of simultaneous connections for one session i.e. ###
### restricts the amount of connections from a single ip address ###
limit_conn slimits 5;
以上将限制远程客户端每个远程IP地址不超过5个并发“打开”连接.
标签:nginx,django,admin,ratelimit 来源: https://codeday.me/bug/20190627/1300347.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。