<html>
  <head>
    <meta content="text/html; charset=windows-1252"
      http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    <p><br>
    </p>
    <br>
    <div class="moz-cite-prefix">On 01/05/2017 10:14 AM, Aline Manera
      wrote:<br>
    </div>
    <blockquote
      cite="mid:cb73c92c-e12a-d35f-02fa-eb7b05a966f0@linux.vnet.ibm.com"
      type="cite">
      <meta content="text/html; charset=windows-1252"
        http-equiv="Content-Type">
      Hi Ramon,<br>
      <br>
      <div class="moz-cite-prefix">On 12/22/2016 01:59 PM, Ramon
        Medeiros wrote:<br>
      </div>
      <blockquote
        cite="mid:4744cb7f-3143-5334-1d9c-8514e1373504@linux.vnet.ibm.com"
        type="cite">
        <meta http-equiv="content-type" content="text/html;
          charset=windows-1252">
        <p>Propose: make adjustments at login page to make difficult
          brute force attack.<br>
          <br>
          Today, an intruder can make login tries without any action
          from Wok.<br>
          <br>
          Possible measures:</p>
        <p>Record source port and ip. After 3 tries, block user for 30
          seconds and increase the time by each more try. Using source
          port and ip will avoid errors for connections from NAT
          networks.<br>
          <br>
          Example:<br>
          <br>
          1) ip 192.168.1.1 tries to login as root 3 times and fail<br>
        </p>
      </blockquote>
      <br>
      You will consider ip and port, right? So when ip and port tries to
      login as root 3 times and fail...<br>
      <br>
    </blockquote>
    yep<br>
    <blockquote
      cite="mid:cb73c92c-e12a-d35f-02fa-eb7b05a966f0@linux.vnet.ibm.com"
      type="cite">
      <blockquote
        cite="mid:4744cb7f-3143-5334-1d9c-8514e1373504@linux.vnet.ibm.com"
        type="cite">
        <p> 2) A timeout of 30 seconds will be set<br>
        </p>
      </blockquote>
      <br>
      Does that mean the user will not be allowed to perform a login
      action for 30 seconds?<br>
      <br>
    </blockquote>
    yep. based on ip and port<br>
    <blockquote
      cite="mid:cb73c92c-e12a-d35f-02fa-eb7b05a966f0@linux.vnet.ibm.com"
      type="cite">
      <blockquote
        cite="mid:4744cb7f-3143-5334-1d9c-8514e1373504@linux.vnet.ibm.com"
        type="cite">
        <p> 3) After that, for 5 minutes, each try will add 30 seconds +
          x times the trial (60 seconds, 90 seconds. ..)</p>
      </blockquote>
      <br>
      Not sure I got what you want here. After the 30 seconds block, the
      user will be able to try to login again.<br>
      How many attempts he/she can try to login again before get
      blocked?<br>
      <br>
      Will he/she get blocked for 5 minutes in the second round of
      attempts?<br>
      <br>
    </blockquote>
    <br>
    I was thinking about this:<br>
    <br>
    1st try -&gt; denied<br>
    2nd try -&gt; denied<br>
    3rd try -&gt; denied<br>
    <br>
    30s timeout<br>
    <br>
    After this 30s, other timeout will be added, letting user try just 1
    time. If the mismatch continues, more time will be added. Let me
    explain:<br>
    <br>
    5 minutes window: <br>
    <br>
    4th try -&gt; denied<br>
    <br>
    Then we will add a new timeout block, but greater (60s)<br>
    <br>
    After 60s timeout:<br>
    <br>
    5th try -&gt; denied<br>
    <br>
    New timeout 90s<br>
    <br>
    <br>
    So, after received a 30s timeout, the user will be 5 minutes
    sensible to the algorithm.  Let me know if it was clear<br>
    <br>
    <br>
    <blockquote
      cite="mid:cb73c92c-e12a-d35f-02fa-eb7b05a966f0@linux.vnet.ibm.com"
      type="cite"> <br>
      <br>
      <blockquote
        cite="mid:4744cb7f-3143-5334-1d9c-8514e1373504@linux.vnet.ibm.com"
        type="cite">
        <p>4) After 5 minutes of the last try, the counter will be
          reset.<br>
        </p>
        <pre class="moz-signature" cols="72">-- 

Ramon Nunes Medeiros
Kimchi Developer
Linux Technology Center Brazil
IBM Systems &amp; Technology Group
Phone : +55 19 2132 7878
<a moz-do-not-send="true" class="moz-txt-link-abbreviated" href="mailto:ramonn@br.ibm.com">ramonn@br.ibm.com</a> </pre>
        <br>
        <fieldset class="mimeAttachmentHeader"></fieldset>
        <br>
        <pre wrap="">_______________________________________________
Kimchi-devel mailing list
<a moz-do-not-send="true" class="moz-txt-link-abbreviated" href="mailto:Kimchi-devel@ovirt.org">Kimchi-devel@ovirt.org</a>
<a moz-do-not-send="true" class="moz-txt-link-freetext" href="http://lists.ovirt.org/mailman/listinfo/kimchi-devel">http://lists.ovirt.org/mailman/listinfo/kimchi-devel</a>
</pre>
      </blockquote>
      <br>
    </blockquote>
    <br>
    <pre class="moz-signature" cols="72">-- 

Ramon Nunes Medeiros
Kimchi Developer
Linux Technology Center Brazil
IBM Systems &amp; Technology Group
Phone : +55 19 2132 7878
<a class="moz-txt-link-abbreviated" href="mailto:ramonn@br.ibm.com">ramonn@br.ibm.com</a> </pre>
  </body>
</html>