Backend Login absichern

  • einpraegsam.net einpraegs...
    MacGyver
    0 x
    8860 Beiträge
    25 Hilfreiche Beiträge
    27. 08. 2009, 11:30

    Wenn ich SSL im BE aktiviere und das typo3 Verzeichnis umbenenne (da gab es doch mal eine Anleitung hierzu?), könnte ich mir Probleme bei diversen Extensions vorstellen.

    Jemand Erfahrung?

    in2code.de - Wir leben TYPO3
    Die Arbeit mit TYPO3 macht dir Spaß? Du stehst auf Berge? Komm zu uns! http://www.in2code.de/jobs/


  • Julian.Hofmann Julian.Ho...
    Flash Gordon
    0 x
    2236 Beiträge
    16 Hilfreiche Beiträge
    28. 08. 2009, 09:51

    Meinst Du nur die Kombination von "SSL im BE" + "umbenennen", oder auch die beiden Punkte für sich?

  • just2b just2b
    TYPO3-Yoda
    0 x
    18737 Beiträge
    1 Hilfreiche Beiträge
    28. 08. 2009, 10:19

    security through obscurity hat noch nie funktioniert, IMO fängst du dir mehr ärger ein als es was bringt.

    besser per htaccess/ip/getrennte server/whatever sperren als so

    georg

  • einpraegsam.net einpraegs...
    MacGyver
    0 x
    8860 Beiträge
    25 Hilfreiche Beiträge
    28. 08. 2009, 11:18

    In diesem Fall geht es nicht um meine Meinung sondern eine "Empfehlung" von einem externen Unternehmen.
    Das BE über SSL zu verschlüsseln, halte ich übrigens auch für sinnvoll - aber der andere Punkt bereitet mir Kopfschmerzen.

    Aber welche anderen Möglichkeiten (Links immer erwünscht) gäbe es gegen Brute Force Attacken aufs BE Login? IP Filter ist leider nicht möglich...

    in2code.de - Wir leben TYPO3
    Die Arbeit mit TYPO3 macht dir Spaß? Du stehst auf Berge? Komm zu uns! http://www.in2code.de/jobs/

  • just2b just2b
    TYPO3-Yoda
    0 x
    18737 Beiträge
    1 Hilfreiche Beiträge
    28. 08. 2009, 14:19

    hallo,

    naja empfehlungen sind nicht immer gescheit --- ich empfehle dir es nicht zu tun.

    ansonsten: wie wärs mit einfach den login service erweitern, die IPs mitzuzählen und abe einer gewissen menge einfach das BE komplett zu sperren, da sollte sich doch ein hook finden lassen -- ansonsten den loginprozess frühzeitig abbrechen

  • einpraegsam.net einpraegs...
    MacGyver
    0 x
    8860 Beiträge
    25 Hilfreiche Beiträge
    28. 08. 2009, 14:27

    [quote="just2b"]
    ansonsten: wie wärs mit einfach den login service erweitern, die IPs mitzuzählen und abe einer gewissen menge einfach das BE komplett zu sperren, da sollte sich doch ein hook finden lassen -- ansonsten den loginprozess frühzeitig abbrechen
    [/quote]

    ja ok - aber ich wollte in diesen Mist eigentlich keine Zeit investieren - gibts nichts fertiges?

    Ich habe es hier leider ohne Erfolg versucht nach drei Falscheingaben den BE_User zu deaktivieren:
    http://www.typo3.net/forum/list/list_post//92477/

    in2code.de - Wir leben TYPO3
    Die Arbeit mit TYPO3 macht dir Spaß? Du stehst auf Berge? Komm zu uns! http://www.in2code.de/jobs/

  • LutzOMat LutzOMat
    TYPO3-Anwärter
    0 x
    7 Beiträge
    0 Hilfreiche Beiträge
    02. 06. 2010, 12:29

    [quote="einpraegsam.net"]
    [quote="just2b"]
    ansonsten: wie wärs mit einfach den login service erweitern, die IPs mitzuzählen und abe einer gewissen menge einfach das BE komplett zu sperren, da sollte sich doch ein hook finden lassen -- ansonsten den loginprozess frühzeitig abbrechen
    [/quote]

    ja ok - aber ich wollte in diesen Mist eigentlich keine Zeit investieren - gibts nichts fertiges?

    Ich habe es hier leider ohne Erfolg versucht nach drei Falscheingaben den BE_User zu deaktivieren:
    http://www.typo3.net/forum/list/list_post//92477/
    [/quote]

    Hallo zusammen, da ich vor kurzem auch ne Typo3 Seite begonnen habe, habe ich mich ebenfalls mit dem Problem der Attacken gegen die Login-Seite befasst. Als einfach funktionierende Lösung hat sich fail2ban herausgestellt ( http://www.fail2ban.org )
    Das kann man allerdings nur dann installieren, wenn man Root-Rechte hat, also auf nem virtuellen Server oder nem echten Root-Server.

    Hat man also fail2ban installiert, dann funktioniert es so:

    === Zur jail.conf folgende Zeilen hinzugefügen
    [apache-typo3]
    enabled = true
    port = http,https
    filter = apache-typo3
    logpath = /var/log/apache*/*access.log
    maxretry = 7
    findtime = 3600
    bantime = 7200

    === Den Filter apache-typo3 erstellen (das ist die Datei apache-typo3.conf im Ordner filter.d)
    Die Datei muss mindestens folgenden Inhalt haben:
    [Definition]failregex = ^<HOST> -.*GET.*/login-alert-error\.gif
    ^<HOST> -.*POST.*/typo3/index\.php
    ignoreregex =

    === Jetzt zur Erklärung: Warum und wie funktioniert das ?
    Fail2ban prüft die angegebene Protokolldatei (hier access.log) in Sekundenabständen nach Veränderungen. Wenn eine Anmeldung stattfindet, dann wird immer kurzfristig die Seite /typo3/index.php aufgerufen und von dort aus die Login-Parameter gepostet. Wenn die Anmeldung fehlschlägt, wird erstens das Bild login-alert-error.gif angezeigt und 2tens erneut versucht die Parameter zu posten.

    In der Konfiguration habe ich festgelegt, dass 7 mal innerhalb einer Stunde (3600sec) diese Ereignisse auftreten dürfen. Danach wird die entsprechende IP-Adresse für 2 Stunden (7200sec) verbannt.

    Die Parameter maxretry, findtime, bantime sollte jeder nach Lust und Laune einstellen, allerdings:
    Werte < 4 werden Ärger machen, denn da beim ersten Fehlversuch sowohl das Bild als auch das Script geladen werden, sind die ersten 2 Ereignisse von fail2ban schon mit einem Fehlversuch aufgebraucht !
    Den dritten braucht man zu 2 ten Anmeldung.
    Daher mein Tip: maxretry >= 5 einstellen !

    Wer es braucht, kann sich die Datei aus dem Anhang laden.

    Ich hoffe, dass hilft Euch weiter
    Lutz

    Anhänge (1)
    apache-typo3.conf application/octet-stream 937,00 B 157 heruntergeladen
  • mirco mirco
    Typ im Roten Hemd
    0 x
    2 Beiträge
    0 Hilfreiche Beiträge
    08. 06. 2010, 22:07

    Habe gerade fail2ban auf meinem Squeeze basierten Root-Server installiert, leider bekomm ich ne Fehlermeldung:

    1. [root@www ~]
    2. 7# /etc/init.d/fail2ban restart
    3. Restarting authentication failure monitor: fail2banTraceback (most recent call last):
    4. File "/usr/bin/fail2ban-client", line 401, in <module>
    5. if client.start(sys.argv):
    6. File "/usr/bin/fail2ban-client", line 370, in start
    7. return self.__processCommand(args)
    8. File "/usr/bin/fail2ban-client", line 180, in __processCommand
    9. ret = self.__readConfig()
    10. File "/usr/bin/fail2ban-client", line 375, in __readConfig
    11. ret = self.__configurator.getOptions()
    12. File "/usr/share/fail2ban/client/configurator.py", line 65, in getOptions
    13. return self.__jails.getOptions(jail)
    14. File "/usr/share/fail2ban/client/jailsreader.py", line 64, in getOptions
    15. ret = jail.getOptions()
    16. File "/usr/share/fail2ban/client/jailreader.py", line 75, in getOptions
    17. ret = self.__filter.read()
    18. File "/usr/share/fail2ban/client/filterreader.py", line 53, in read
    19. return ConfigReader.read(self, "filter.d/" + self.__file)
    20. File "/usr/share/fail2ban/client/configreader.py", line 59, in read
    21. SafeConfigParserWithIncludes.read(self, [bConf, bLocal])
    22. File "/usr/share/fail2ban/client/configparserinc.py", line 105, in read
    23. fileNamesFull += SafeConfigParserWithIncludes.getIncludes(filename)
    24. File "/usr/share/fail2ban/client/configparserinc.py", line 76, in getIncludes
    25. parser.read(resource)
    26. File "/usr/lib/python2.5/ConfigParser.py", line 267, in read
    27. self._read(fp, filename)
    28. File "/usr/lib/python2.5/ConfigParser.py", line 490, in _read
    29. raise e
    30. ConfigParser.ParsingError: File contains parsing errors: /etc/fail2ban/filter.d/apache-typo3.conf
    31. [line 3]: '^<HOST> -.*POST.*/typo3/index\\.php\n'
    32. failed!

    Bin zu Regex unerfahren um da nen Fehler zu finden...

    Ach und die angehängte apache-typo3.conf ist leer... Hab es halt genau so eingefügt wie oben beschrieben

    /etc/fail2ban/filter.d/apache-typo3.conf erstellt

    1. [Definition]
    2. failregex = ^<HOST> -.*GET.*/login-alert-error\.gif
    3. ^<HOST> -.*POST.*/typo3/index\.php
    4. ignoreregex =

    und am Ende der /etc/fail2ban/jail.conf
    1. [apache-typo3]
    2. enabled = true
    3. port = http,https
    4. filter = apache-typo3
    5. logpath = /var/log/apache2/*access.log
    6. maxretry = 6
    7. findtime = 1800
    8. bantime = 7200

  • LutzOMat LutzOMat
    TYPO3-Anwärter
    0 x
    7 Beiträge
    0 Hilfreiche Beiträge
    08. 06. 2010, 23:35

    Hallo Mirco,
    in der Tat scheint mit der Datei was schief gelaufen zu sein. Der Fehler den Du hast liegt vermutlich am Zeilenanfang / ende oder so. Insofern ist das Runterladen der Datei natürlich sinnvoller. Hoffentlich klappts mit der neuen

    Anhänge (1)
    apache-typo3.conf application/octet-stream 937,00 B 174 heruntergeladen
  • LutzOMat LutzOMat
    TYPO3-Anwärter
    0 x
    7 Beiträge
    0 Hilfreiche Beiträge
    08. 06. 2010, 23:38

    Auch die letzte Datei hat runtergeladen ne Grösse von 0 Bytes.
    Keine Ahnung, was mit Dateien hier schief läuft. Ich versuche es mal mit ner gepackten Version.

    Auch das klappt leider nicht !

    Also ladet es an folgender Stelle runter:
    http://www.ilLUTZmination.de/fileadmin/download/apache-typo3.conf.zip

  • mirco mirco
    Typ im Roten Hemd
    0 x
    2 Beiträge
    0 Hilfreiche Beiträge
    14. 06. 2010, 11:13

    [quote="LutzOMat"]
    Also ladet es an folgender Stelle runter:
    http://www.ilLUTZmination.de/fileadmin/download/apache-typo3.conf.zip
    [/quote]
    Jetzt klappt der Download! Und der Dienst läßt sich starten:

    [root@www ~]
    2# mv apache-typo3.conf /etc/fail2ban/filter.d/
    [root@www ~]
    3# /etc/init.d/fail2ban restart
    Restarting authentication failure monitor: fail2ban.

    Nach ner Anpassung der jail.conf:

    - logpath = /var/log/apache2/*access.log
    + logpath = /var/log/apache2/access1-*.log

    besteht es nun auch den Test via UMTS:
    2010-06-14 11:01:22,763 fail2ban.actions: WARNING [apache-typo3] Ban 80.187.101.155

    Also sag ich herzlichen Dank und lass das Typo3 nun mit bestem Gewissen auf die Welt los!

    Greetz
    Mirco