ban ip after failed login

Alles, was den Apache betrifft, kann hier besprochen werden.

ban ip after failed login

Postby wcfservice » 15. August 2010 22:19

Hi,

Ich hab ein apache server unter linux laufen und ein verzeichniss mit benutzernamen/pw gesichert. kann man rigendwo einstellen dass eine ip die dauerhaft probiert sich einzuloggen dauerhaft gebant wird?


Vielen Dank ;)
wcfservice
 
Posts: 14
Joined: 05. August 2010 08:10

Re: ban ip after failed login

Postby Altrea » 15. August 2010 22:35

wcfservice wrote:kann man rigendwo einstellen dass eine ip die dauerhaft probiert sich einzuloggen dauerhaft gebant wird?

Nein, kann man nicht.
We don't provide any support via personal channels like PM, email, Skype, TeamViewer!

It's like porn for programmers 8)
User avatar
Altrea
AF Moderator
 
Posts: 8298
Joined: 17. August 2009 13:05
XAMPP version: several
Operating System: Windows 10 Pro x64

Re: ban ip after failed login

Postby wcfservice » 16. August 2010 07:26

aber das bedeuted ja dass man im prinzip jeden login bruteforcen könnte oder?
wcfservice
 
Posts: 14
Joined: 05. August 2010 08:10

Re: ban ip after failed login

Postby Altrea » 17. August 2010 04:10

Bruteforce über HTTP ist sowas von ineffizient. In der Regel hat jemand schon einen hash vom Passwort irgendwie anders ausgespäht und bruteforced den dann lokal auf seinem Rechner.
Mehr Befürchtung solltest du vor DDos Attacken haben. Aber wenn jemand mit ner DDos bis zu deinem Apache durchkommt, ist es eh schon zuspät.
Für sowas gibt es andere Schutzkomponenten die man vor dem Apache schalten sollte.
We don't provide any support via personal channels like PM, email, Skype, TeamViewer!

It's like porn for programmers 8)
User avatar
Altrea
AF Moderator
 
Posts: 8298
Joined: 17. August 2009 13:05
XAMPP version: several
Operating System: Windows 10 Pro x64

Re: ban ip after failed login

Postby Nobbie » 17. August 2010 14:03

Altrea wrote:
wcfservice wrote:kann man rigendwo einstellen dass eine ip die dauerhaft probiert sich einzuloggen dauerhaft gebant wird?

Nein, kann man nicht.


Natürlich kann man das. Zwar nicht automatisch (dass Apache quasi automatisch solche Zugriffe erkennt und aussperrt), aber man kann durchaus in der .htaccess (oder in httpd.conf im <Directory ...> für diesen Ordner) ein "Deny From xxx.xxx.xxx.xxx" angeben, damit ist ein Zugriff von dieser IP gar nicht mehr möglich.
Nobbie
 
Posts: 8779
Joined: 09. March 2008 13:04

Re: ban ip after failed login

Postby Altrea » 17. August 2010 15:27

Nobbie wrote:Natürlich kann man das. Zwar nicht automatisch (dass Apache quasi automatisch solche Zugriffe erkennt und aussperrt), aber man kann durchaus in der .htaccess (oder in httpd.conf im <Directory ...> für diesen Ordner) ein "Deny From xxx.xxx.xxx.xxx" angeben, damit ist ein Zugriff von dieser IP gar nicht mehr möglich.

Pedant! :D
Aber du hast Recht, so könnte man die Frage natürlich auch verstehen.
We don't provide any support via personal channels like PM, email, Skype, TeamViewer!

It's like porn for programmers 8)
User avatar
Altrea
AF Moderator
 
Posts: 8298
Joined: 17. August 2009 13:05
XAMPP version: several
Operating System: Windows 10 Pro x64

Re: ban ip after failed login

Postby glitzi85 » 20. August 2010 16:40

Eine alternative, die ohne ständiges reloaden der Apache-Konfiguration auskommt ist Fail2ban. Damit wäre dann außerdem noch die Netzwerklast gesenkt, da gar kein HTTP mehr gesprochen wird, sondern schon die TCP-Verbindung abgebrochen wird.

http://www.fail2ban.org/wiki/index.php/Main_Page

IIRC hat Fail2Ban sogar schon eine Apache-Regel an Bord, die genau das macht (zumindest in der Debian-Variante meine ich mich daran zu erinnern).

mfg glitzi
User avatar
glitzi85
 
Posts: 1920
Joined: 05. March 2004 23:26
Location: Dahoim

Re: ban ip after failed login

Postby wcfservice » 24. August 2010 15:39

Danke, das hört sich brauchbar an das werd ich mal probieren.
Ich hatte da ein etwas seltsames Erlebnis ^^ Ich hab mir n vserver gemietet und da subversion mit apache draufgehauen. joa im apache log kamen dauernd komische anfragen aus russland. (habs mit dem ipadresslocator herausgefunden). Joa und 3 wochen später war der server gehackt und ich hab keine ahnung wie die das gemacht haben ^^. Lief eigentlich nur ssh und der apache. und das ssh passwort war mega lang ^^. ziemlich strange. Aber wenn das fail2ban funktioniert bin ich schonmal glücklich :)
wcfservice
 
Posts: 14
Joined: 05. August 2010 08:10

Re: ban ip after failed login

Postby glitzi85 » 24. August 2010 18:08

wcfservice wrote:Lief eigentlich nur ssh und der apache. und das ssh passwort war mega lang

Deshalb gibt es bei mir kein SSH mit Passwortanmeldung. Ein nicht sauber abgesicherter Apache (eventuell sogar noch mit PHP) bietet natürlich auch Angriffsflächen. Übrigens: Fail2Ban ist KEINE Sicherheitslösung. Da geht es nur drum, dass die Prozesse nicht übermäßig belastet werden und die Logs fluten.

mfg glitzi
User avatar
glitzi85
 
Posts: 1920
Joined: 05. March 2004 23:26
Location: Dahoim


Return to Apache

Who is online

Users browsing this forum: No registered users and 3 guests