Backend Login absichern


  • Rookie Rookie
    Padawan
    0 x
    41 Beiträge
    0 Hilfreiche Beiträge
    24. 02. 2011, 20:52

    Hallo zusammen,

    ich wollte fail2ban auch in diesem Zusammenhang ausprobieren.
    Bei mir greift fail2ban aktuell leider nicht, weil bei mir die Datei login-alert-error.gif durch Cache-Einstellungen nicht erneut übertragen wird.
    Man kann es aber zumindestens per Strg+F5 erzwingen.

    Falls ich noch eine Lösung finde, werde ich posten.

    Viele Grüße
    Ulf

  • LutzOMat LutzOMat
    TYPO3-Anwärter
    0 x
    7 Beiträge
    0 Hilfreiche Beiträge
    24. 02. 2011, 21:34

    Hallo Rookie,

    selbst wenn login-alert-error.gif durch Cache-Einstellungen nicht erneut geladen wird, muss fail2ban trotzdem ansprechen, weil /typo3/index.php auch gezählt wird und zumindestens das wird definitiv neu aufgerufen. Nur dauert es dann eben ein paar Versuche mehr. Beobachte mal Dein Apache access.log bei diversen Anmelde-Versuchen.
    Für JEDEN Versuch sollte POST /typo3/index.php in der access.log auftauchen

    Grüsse,
    Lutz

  • Rookie Rookie
    Padawan
    0 x
    41 Beiträge
    0 Hilfreiche Beiträge
    25. 02. 2011, 19:20

    Hallo Lutz,

    danke für die Info. So ausdauernd war ich wieder nicht :-(.
    Ich habe jetzt aber noch weiteres rausgefunden. Zuerst einmal: mod_pagespeed ist unschuldig. Die Cache-Header, die ich in Typo3 aktiviert hatte, sind schuld.

    Deswegen habe ich in der Apache config jetzt noch folgende Zeilen eingefügt:

    1. <Directory /srv/www/vhosts/vhostname/htdocs/typo3/>
    2. <IfModule mod_expires.c>
    3. # turn on the module for this directory
    4. ExpiresActive off
    5. </IfModule>
    6. </Directory>

    Ich werde es jetzt aber noch mal mit Deinen Hinweisen ausprobieren.
    Danke schön.

    Viele Grüße
    Ulf

  • Rookie Rookie
    Padawan
    0 x
    41 Beiträge
    0 Hilfreiche Beiträge
    25. 02. 2011, 19:23

    Lutz, Du hast vollkommen Recht. Es dauert zwar ein paar Klicks länger funktioniert aber auch. Immer diesen ungeduldigen Admins ;-).
    Suuuuper.

    Vielen Dank.
    Viele Grüße

    Ulf

  • LutzOMat LutzOMat
    TYPO3-Anwärter
    0 x
    7 Beiträge
    0 Hilfreiche Beiträge
    19. 02. 2012, 20:54

    Hallo zusammen,

    auch wenn die beschriebene Lösung funktioniert, gibt es eine Variante mit mod_security, die das Problem noch eleganter löst.
    Bei Interesse [url=http://www.illutzmination.de/typo3-mod_security.html]http://www.illutzmination.de/typo3-mod_security.html[/url] lesen