Nextcloud 有内置的防止密码暴力破解的功能。
防暴力穷举密码的功能在登录页面复现很简单,第一次输入个错误的账号或密码,Nextcloud会正常提示错误,表面上看起来没啥问题。
但是当多次输入错误的账号密码后,就会发现。登录时,一次比一次慢。这是因为防暴力破解机制介入的原因。 最大延迟有25秒。可以在config/config.php配置文件里配置。
连续输入几次错误的账号密码,当感觉反应越来越慢时。
用自己喜欢的工具连接到数据库,打开【oc_bruteforce_attempts】表,内容如下:
ip字段显示的就是破解者使用的IP,metadata 字段是破解人穷举的登录密码内容。
比如我们可以限制新用户禁止使用破解字典里的用户名,用于反制。
如果连续登录失败的话,就会触发nextcloud的屏蔽机制,提示几分钟后再试,如下图:
相关文章: