Suche
Teilen
startseite » forum

Backend Login absichern

  • 0 x
    3273 Beiträge
    157 Hilfreiche Beiträge
    28. 08. 2009, 09:51

    Meinst Du nur die Kombination von "SSL im BE" + "umbenennen", oder auch die beiden Punkte für sich?

    Kleiner Hinweis:
    das Forum hier ist leider nicht mehr so frequentiert :-(
    Für schnellere Hilfe und mehr Leser, guck mal
    - auf stackoverflow ( https://stackoverflow.com/questions/tagged/typo3 )
    - oder in die slack-Channels ( https://typo3.org/community/meet/chat-slack )

  • just2b just2b
    TYPO3-Yoda
    0 x
    18741 Beiträge
    2 Hilfreiche Beiträge
    28. 08. 2009, 10:19

    security through obscurity hat noch nie funktioniert, IMO fängst du dir mehr ärger ein als es was bringt.

    besser per htaccess/ip/getrennte server/whatever sperren als so

    georg

  • einpraegsam.net einpraegs...
    MacGyver
    0 x
    9340 Beiträge
    80 Hilfreiche Beiträge
    28. 08. 2009, 11:18

    In diesem Fall geht es nicht um meine Meinung sondern eine "Empfehlung" von einem externen Unternehmen.
    Das BE über SSL zu verschlüsseln, halte ich übrigens auch für sinnvoll - aber der andere Punkt bereitet mir Kopfschmerzen.

    Aber welche anderen Möglichkeiten (Links immer erwünscht) gäbe es gegen Brute Force Attacken aufs BE Login? IP Filter ist leider nicht möglich...

    in2code.de - Wir leben TYPO3
    - Möchtest du TYPO3 komplett verstehen? Eigene Erweiterungen erstellen? Bei uns gibt es auch Schulungen https://www.in2code.de/produkte/typo3-schulungen/
    - Die Arbeit mit TYPO3 macht dir Spaß? Du stehst auf Berge? Komm zu uns! https://www.in2code.de/agentur/karriere/

  • just2b just2b
    TYPO3-Yoda
    0 x
    18741 Beiträge
    2 Hilfreiche Beiträge
    28. 08. 2009, 14:19

    hallo,

    naja empfehlungen sind nicht immer gescheit --- ich empfehle dir es nicht zu tun.

    ansonsten: wie wärs mit einfach den login service erweitern, die IPs mitzuzählen und abe einer gewissen menge einfach das BE komplett zu sperren, da sollte sich doch ein hook finden lassen -- ansonsten den loginprozess frühzeitig abbrechen

  • einpraegsam.net einpraegs...
    MacGyver
    0 x
    9340 Beiträge
    80 Hilfreiche Beiträge
    28. 08. 2009, 14:27

    [quote="just2b"]
    ansonsten: wie wärs mit einfach den login service erweitern, die IPs mitzuzählen und abe einer gewissen menge einfach das BE komplett zu sperren, da sollte sich doch ein hook finden lassen -- ansonsten den loginprozess frühzeitig abbrechen
    [/quote]

    ja ok - aber ich wollte in diesen Mist eigentlich keine Zeit investieren - gibts nichts fertiges?

    Ich habe es hier leider ohne Erfolg versucht nach drei Falscheingaben den BE_User zu deaktivieren:
    http://www.typo3.net/forum/list/list_post//92477/

    in2code.de - Wir leben TYPO3
    - Möchtest du TYPO3 komplett verstehen? Eigene Erweiterungen erstellen? Bei uns gibt es auch Schulungen https://www.in2code.de/produkte/typo3-schulungen/
    - Die Arbeit mit TYPO3 macht dir Spaß? Du stehst auf Berge? Komm zu uns! https://www.in2code.de/agentur/karriere/

  • LutzOMat LutzOMat
    TYPO3-Anwärter
    0 x
    7 Beiträge
    0 Hilfreiche Beiträge
    02. 06. 2010, 12:29

    [quote="einpraegsam.net"]
    [quote="just2b"]
    ansonsten: wie wärs mit einfach den login service erweitern, die IPs mitzuzählen und abe einer gewissen menge einfach das BE komplett zu sperren, da sollte sich doch ein hook finden lassen -- ansonsten den loginprozess frühzeitig abbrechen
    [/quote]

    ja ok - aber ich wollte in diesen Mist eigentlich keine Zeit investieren - gibts nichts fertiges?

    Ich habe es hier leider ohne Erfolg versucht nach drei Falscheingaben den BE_User zu deaktivieren:
    http://www.typo3.net/forum/list/list_post//92477/
    [/quote]

    Hallo zusammen, da ich vor kurzem auch ne Typo3 Seite begonnen habe, habe ich mich ebenfalls mit dem Problem der Attacken gegen die Login-Seite befasst. Als einfach funktionierende Lösung hat sich fail2ban herausgestellt ( http://www.fail2ban.org )
    Das kann man allerdings nur dann installieren, wenn man Root-Rechte hat, also auf nem virtuellen Server oder nem echten Root-Server.

    Hat man also fail2ban installiert, dann funktioniert es so:

    === Zur jail.conf folgende Zeilen hinzugefügen
    [apache-typo3]
    enabled = true
    port = http,https
    filter = apache-typo3
    logpath = /var/log/apache*/*access.log
    maxretry = 7
    findtime = 3600
    bantime = 7200

    === Den Filter apache-typo3 erstellen (das ist die Datei apache-typo3.conf im Ordner filter.d)
    Die Datei muss mindestens folgenden Inhalt haben:
    [Definition]failregex = ^<HOST> -.*GET.*/login-alert-error\.gif
    ^<HOST> -.*POST.*/typo3/index\.php
    ignoreregex =

    === Jetzt zur Erklärung: Warum und wie funktioniert das ?
    Fail2ban prüft die angegebene Protokolldatei (hier access.log) in Sekundenabständen nach Veränderungen. Wenn eine Anmeldung stattfindet, dann wird immer kurzfristig die Seite /typo3/index.php aufgerufen und von dort aus die Login-Parameter gepostet. Wenn die Anmeldung fehlschlägt, wird erstens das Bild login-alert-error.gif angezeigt und 2tens erneut versucht die Parameter zu posten.

    In der Konfiguration habe ich festgelegt, dass 7 mal innerhalb einer Stunde (3600sec) diese Ereignisse auftreten dürfen. Danach wird die entsprechende IP-Adresse für 2 Stunden (7200sec) verbannt.

    Die Parameter maxretry, findtime, bantime sollte jeder nach Lust und Laune einstellen, allerdings:
    Werte < 4 werden Ärger machen, denn da beim ersten Fehlversuch sowohl das Bild als auch das Script geladen werden, sind die ersten 2 Ereignisse von fail2ban schon mit einem Fehlversuch aufgebraucht !
    Den dritten braucht man zu 2 ten Anmeldung.
    Daher mein Tip: maxretry >= 5 einstellen !

    Wer es braucht, kann sich die Datei aus dem Anhang laden.

    Ich hoffe, dass hilft Euch weiter
    Lutz

    Anhänge (1)
    apache-typo3.conf application/octet-stream 0,00 B 524 heruntergeladen
  • mirco mirco
    Typ im Roten Hemd
    0 x
    2 Beiträge
    0 Hilfreiche Beiträge
    08. 06. 2010, 22:07

    Habe gerade fail2ban auf meinem Squeeze basierten Root-Server installiert, leider bekomm ich ne Fehlermeldung:

    1. [root@www ~]
    2.  7# /etc/init.d/fail2ban restart
    3. Restarting authentication failure monitor: fail2banTraceback (most recent call last):
    4.   File "/usr/bin/fail2ban-client", line 401, in <module>
    5.     if client.start(sys.argv):
    6.   File "/usr/bin/fail2ban-client", line 370, in start
    7.     return self.__processCommand(args)
    8.   File "/usr/bin/fail2ban-client", line 180, in __processCommand
    9.     ret = self.__readConfig()
    10.   File "/usr/bin/fail2ban-client", line 375, in __readConfig
    11.     ret = self.__configurator.getOptions()
    12.   File "/usr/share/fail2ban/client/configurator.py", line 65, in getOptions
    13.     return self.__jails.getOptions(jail)
    14.   File "/usr/share/fail2ban/client/jailsreader.py", line 64, in getOptions
    15.     ret = jail.getOptions()
    16.   File "/usr/share/fail2ban/client/jailreader.py", line 75, in getOptions
    17.     ret = self.__filter.read()
    18.   File "/usr/share/fail2ban/client/filterreader.py", line 53, in read
    19.     return ConfigReader.read(self, "filter.d/" + self.__file)
    20.   File "/usr/share/fail2ban/client/configreader.py", line 59, in read
    21.     SafeConfigParserWithIncludes.read(self, [bConf, bLocal])
    22.   File "/usr/share/fail2ban/client/configparserinc.py", line 105, in read
    23.     fileNamesFull += SafeConfigParserWithIncludes.getIncludes(filename)
    24.   File "/usr/share/fail2ban/client/configparserinc.py", line 76, in getIncludes
    25.     parser.read(resource)
    26.   File "/usr/lib/python2.5/ConfigParser.py", line 267, in read
    27.     self._read(fp, filename)
    28.   File "/usr/lib/python2.5/ConfigParser.py", line 490, in _read
    29.     raise e
    30. ConfigParser.ParsingError: File contains parsing errors: /etc/fail2ban/filter.d/apache-typo3.conf
    31.         [line  3]: '^<HOST> -.*POST.*/typo3/index\\.php\n'
    32.  failed!

    Bin zu Regex unerfahren um da nen Fehler zu finden...

    Ach und die angehängte apache-typo3.conf ist leer... Hab es halt genau so eingefügt wie oben beschrieben

    /etc/fail2ban/filter.d/apache-typo3.conf erstellt

    1. [Definition]
    2. failregex = ^<HOST> -.*GET.*/login-alert-error\.gif
    3. ^<HOST> -.*POST.*/typo3/index\.php
    4. ignoreregex =

    und am Ende der /etc/fail2ban/jail.conf
    1. [apache-typo3]
    2. enabled = true
    3. port = http,https
    4. filter = apache-typo3
    5. logpath = /var/log/apache2/*access.log
    6. maxretry = 6
    7. findtime = 1800
    8. bantime = 7200

  • LutzOMat LutzOMat
    TYPO3-Anwärter
    0 x
    7 Beiträge
    0 Hilfreiche Beiträge
    08. 06. 2010, 23:35

    Hallo Mirco,
    in der Tat scheint mit der Datei was schief gelaufen zu sein. Der Fehler den Du hast liegt vermutlich am Zeilenanfang / ende oder so. Insofern ist das Runterladen der Datei natürlich sinnvoller. Hoffentlich klappts mit der neuen

    Anhänge (1)
    apache-typo3.conf application/octet-stream 0,00 B 524 heruntergeladen
  • LutzOMat LutzOMat
    TYPO3-Anwärter
    0 x
    7 Beiträge
    0 Hilfreiche Beiträge
    08. 06. 2010, 23:38

    Auch die letzte Datei hat runtergeladen ne Grösse von 0 Bytes.
    Keine Ahnung, was mit Dateien hier schief läuft. Ich versuche es mal mit ner gepackten Version.

    Auch das klappt leider nicht !

    Also ladet es an folgender Stelle runter:
    http://www.ilLUTZmination.de/fileadmin/download/apache-typo3.conf.zip

Präsentiert von