TYPO3-Testaccount
Testen Sie die aktuellste TYPO3-Version kostenlos und unverbindlich für einen Monat!

Jetzt testen!

Schulungen

jetzt buchen
Forum » Diverses » Diverse Fragen

Backend Login absichern


Autor Nachricht
Verfasst am: 27. 08. 2009 [11:30]
einpraegsam.net
Moderator
Themenersteller
Dabei seit: 17.01.2005
Beiträge: 8849
 Wenn ich SSL im BE aktiviere und das typo3 Verzeichnis umbenenne (da gab es doch mal eine Anleitung hierzu?), könnte ich mir Probleme bei diversen Extensions vorstellen.

Jemand Erfahrung?
in2code - Wir leben TYPO3
ProfilWWW
Verfasst am: 28. 08. 2009 [09:51]
Julian.Hofmann
Dabei seit: 18.05.2007
Beiträge: 2073
 Meinst Du nur die Kombination von "SSL im BE" + "umbenennen", oder auch die beiden Punkte für sich?
Profil
Verfasst am: 28. 08. 2009 [10:19]
just2b
TYPO3-Gott
Moderator
Dabei seit: 04.08.2004
Beiträge: 19047
 security through obscurity hat noch nie funktioniert, IMO fängst du dir mehr ärger ein als es was bringt.

besser per htaccess/ip/getrennte server/whatever sperren als so

georg
=> TYPO3 - inspiring people to share <= aber kein Support per PM!

=> in eigener Sache: · inspiring people to share your location Trag dich in die TYPO3 Weltkarte ein und zeige wie groß die TYPO3 Community ist - vielen Dank!<=
ProfilWWW
Verfasst am: 28. 08. 2009 [11:18]
einpraegsam.net
Moderator
Themenersteller
Dabei seit: 17.01.2005
Beiträge: 8849
 In diesem Fall geht es nicht um meine Meinung sondern eine "Empfehlung" von einem externen Unternehmen.
Das BE über SSL zu verschlüsseln, halte ich übrigens auch für sinnvoll - aber der andere Punkt bereitet mir Kopfschmerzen.

Aber welche anderen Möglichkeiten (Links immer erwünscht) gäbe es gegen Brute Force Attacken aufs BE Login? IP Filter ist leider nicht möglich...
in2code - Wir leben TYPO3
ProfilWWW
Verfasst am: 28. 08. 2009 [14:19]
just2b
TYPO3-Gott
Moderator
Dabei seit: 04.08.2004
Beiträge: 19047
 hallo,

naja empfehlungen sind nicht immer gescheit --- ich empfehle dir es nicht zu tun.

ansonsten: wie wärs mit einfach den login service erweitern, die IPs mitzuzählen und abe einer gewissen menge einfach das BE komplett zu sperren, da sollte sich doch ein hook finden lassen -- ansonsten den loginprozess frühzeitig abbrechen
=> TYPO3 - inspiring people to share <= aber kein Support per PM!

=> in eigener Sache: · inspiring people to share your location Trag dich in die TYPO3 Weltkarte ein und zeige wie groß die TYPO3 Community ist - vielen Dank!<=
ProfilWWW
Verfasst am: 28. 08. 2009 [14:27]
einpraegsam.net
Moderator
Themenersteller
Dabei seit: 17.01.2005
Beiträge: 8849
just2b schrieb:

ansonsten: wie wärs mit einfach den login service erweitern, die IPs mitzuzählen und abe einer gewissen menge einfach das BE komplett zu sperren, da sollte sich doch ein hook finden lassen -- ansonsten den loginprozess frühzeitig abbrechen


ja ok - aber ich wollte in diesen Mist eigentlich keine Zeit investieren - gibts nichts fertiges?

Ich habe es hier leider ohne Erfolg versucht nach drei Falscheingaben den BE_User zu deaktivieren:
http://www.typo3.net/forum/list/list_post//92477/
in2code - Wir leben TYPO3
ProfilWWW
Verfasst am: 02. 06. 2010 [12:29]
LutzOMat
Dabei seit: 02.06.2010
Beiträge: 7
einpraegsam.net schrieb:

just2b schrieb:

ansonsten: wie wärs mit einfach den login service erweitern, die IPs mitzuzählen und abe einer gewissen menge einfach das BE komplett zu sperren, da sollte sich doch ein hook finden lassen -- ansonsten den loginprozess frühzeitig abbrechen


ja ok - aber ich wollte in diesen Mist eigentlich keine Zeit investieren - gibts nichts fertiges?

Ich habe es hier leider ohne Erfolg versucht nach drei Falscheingaben den BE_User zu deaktivieren:
http://www.typo3.net/forum/list/list_post//92477/


Hallo zusammen, da ich vor kurzem auch ne Typo3 Seite begonnen habe, habe ich mich ebenfalls mit dem Problem der Attacken gegen die Login-Seite befasst. Als einfach funktionierende Lösung hat sich fail2ban herausgestellt ( http://www.fail2ban.org )
Das kann man allerdings nur dann installieren, wenn man Root-Rechte hat, also auf nem virtuellen Server oder nem echten Root-Server.

Hat man also fail2ban installiert, dann funktioniert es so:

=== Zur jail.conf folgende Zeilen hinzugefügen
[apache-typo3]
enabled = true
port = http,https
filter = apache-typo3
logpath = /var/log/apache*/*access.log
maxretry = 7
findtime = 3600
bantime = 7200

=== Den Filter apache-typo3 erstellen (das ist die Datei apache-typo3.conf im Ordner filter.d)
Die Datei muss mindestens folgenden Inhalt haben:
[Definition]
failregex = ^<HOST> -.*GET.*/login-alert-error\.gif
^<HOST> -.*POST.*/typo3/index\.php
ignoreregex =

=== Jetzt zur Erklärung: Warum und wie funktioniert das ?
Fail2ban prüft die angegebene Protokolldatei (hier access.log) in Sekundenabständen nach Veränderungen. Wenn eine Anmeldung stattfindet, dann wird immer kurzfristig die Seite /typo3/index.php aufgerufen und von dort aus die Login-Parameter gepostet. Wenn die Anmeldung fehlschlägt, wird erstens das Bild login-alert-error.gif angezeigt und 2tens erneut versucht die Parameter zu posten.

In der Konfiguration habe ich festgelegt, dass 7 mal innerhalb einer Stunde (3600sec) diese Ereignisse auftreten dürfen. Danach wird die entsprechende IP-Adresse für 2 Stunden (7200sec) verbannt.

Die Parameter maxretry, findtime, bantime sollte jeder nach Lust und Laune einstellen, allerdings:
Werte < 4 werden Ärger machen, denn da beim ersten Fehlversuch sowohl das Bild als auch das Script geladen werden, sind die ersten 2 Ereignisse von fail2ban schon mit einem Fehlversuch aufgebraucht !
Den dritten braucht man zu 2 ten Anmeldung.
Daher mein Tip: maxretry >= 5 einstellen !

Wer es braucht, kann sich die Datei aus dem Anhang laden.

Ich hoffe, dass hilft Euch weiter
Lutz

Dateianhang
 apache-typo3.conf (Typ: application/octet-stream, Größe: 937 Byte) — 130 mal heruntergeladen
ProfilWWW
Verfasst am: 08. 06. 2010 [22:07]
mirco
Dabei seit: 13.12.2005
Beiträge: 2
 Habe gerade fail2ban auf meinem Squeeze basierten Root-Server installiert, leider bekomm ich ne Fehlermeldung:

PHP
[root@www ~]
 7# /etc/init.d/fail2ban restart
Restarting authentication failure monitor: fail2banTraceback (most recent call last):
  File "/usr/bin/fail2ban-client", line 401, in <module>
    if client.start(sys.argv):
  File "/usr/bin/fail2ban-client", line 370, in start
    return self.__processCommand(args)
  File "/usr/bin/fail2ban-client", line 180, in __processCommand
    ret = self.__readConfig()
  File "/usr/bin/fail2ban-client", line 375, in __readConfig
    ret = self.__configurator.getOptions()
  File "/usr/share/fail2ban/client/configurator.py", line 65, in getOptions
    return self.__jails.getOptions(jail)
  File "/usr/share/fail2ban/client/jailsreader.py", line 64, in getOptions
    ret = jail.getOptions()
  File "/usr/share/fail2ban/client/jailreader.py", line 75, in getOptions
    ret = self.__filter.read()
  File "/usr/share/fail2ban/client/filterreader.py", line 53, in read
    return ConfigReader.read(self, "filter.d/" + self.__file)
  File "/usr/share/fail2ban/client/configreader.py", line 59, in read
    SafeConfigParserWithIncludes.read(self, [bConf, bLocal])
  File "/usr/share/fail2ban/client/configparserinc.py", line 105, in read
    fileNamesFull += SafeConfigParserWithIncludes.getIncludes(filename)
  File "/usr/share/fail2ban/client/configparserinc.py", line 76, in getIncludes
    parser.read(resource)
  File "/usr/lib/python2.5/ConfigParser.py", line 267, in read
    self._read(fp, filename)
  File "/usr/lib/python2.5/ConfigParser.py", line 490, in _read
    raise e
ConfigParser.ParsingError: File contains parsing errors: /etc/fail2ban/filter.d/apache-typo3.conf
        [line  3]: '^<HOST> -.*POST.*/typo3/index\.php\n'
 failed!


Bin zu Regex unerfahren um da nen Fehler zu finden...

Ach und die angehängte apache-typo3.conf ist leer... Hab es halt genau so eingefügt wie oben beschrieben

/etc/fail2ban/filter.d/apache-typo3.conf erstellt
PHP
[Definition]
failregex = ^<HOST> -.*GET.*/login-alert-error\.gif
^<HOST> -.*POST.*/typo3/index\.php
ignoreregex =

und am Ende der /etc/fail2ban/jail.conf
PHP
[apache-typo3]
enabled = true
port = http,https
filter = apache-typo3
logpath = /var/log/apache2/*access.log
maxretry = 6
findtime = 1800
bantime = 7200
ProfilICQAIMYIM
Verfasst am: 08. 06. 2010 [23:35]
LutzOMat
Dabei seit: 02.06.2010
Beiträge: 7
 Hallo Mirco,
in der Tat scheint mit der Datei was schief gelaufen zu sein. Der Fehler den Du hast liegt vermutlich am Zeilenanfang / ende oder so. Insofern ist das Runterladen der Datei natürlich sinnvoller. Hoffentlich klappts mit der neuen
Dateianhang
 apache-typo3.conf (Typ: application/octet-stream, Größe: 937 Byte) — 109 mal heruntergeladen
ProfilWWW
Verfasst am: 08. 06. 2010 [23:38]
LutzOMat
Dabei seit: 02.06.2010
Beiträge: 7
 Auch die letzte Datei hat runtergeladen ne Grösse von 0 Bytes.
Keine Ahnung, was mit Dateien hier schief läuft. Ich versuche es mal mit ner gepackten Version.

Auch das klappt leider nicht !

Also ladet es an folgender Stelle runter:
http://www.ilLUTZmination.de/fileadmin/download/apache-typo3.conf.zip

[Dieser Beitrag wurde 4mal bearbeitet, zuletzt am 08.06.2010 um 23:50.]
ProfilWWW