ilLU[TZ]mination Hauptmenü
Genug Sicherheit kann es fuer das eigene CMS nie geben. Typo3 kann mit fail2ban geben Brute-Force Attacken geschuetzt werden. So funktionierts:
Als root / Administrator auf dem Server fail2ban installieren.
[apache-typo3]
enabled = true
port = http,https
filter = apache-typo3
logpath = /var/log/apache*/*access.log
maxretry = 7
findtime = 3600
bantime = 7200
(das ist die Datei apache-typo3.conf im Ordner filter.d)
Die Datei muss mindestens folgenden Inhalt haben:
[Definition]
failregex = ^<HOST> -.*GET.*/login-alert-error\.gif
^<HOST> -.*POST.*/typo3/index\.php
ignoreregex =
Ladet Euch die fertige Datei der Einfachheit halber hier runter.
Fail2ban prueft die angegebene Protokolldatei (hier apaches access.log) in kurzen Zeitabstaenden nach Veraenderungen. Wenn eine Anmeldung stattfindet, dann wird immer kurzfristig die Seite /typo3/index.php aufgerufen und von dort aus die Login-Parameter gepostet. Wenn die Anmeldung fehlschlaegt, wird erstens das Bild login-alert-error.gif angezeigt und 2tens erneut versucht die Parameter zu posten.
In der Konfiguration habe ich festgelegt, dass 7 mal innerhalb einer Stunde (3600sec) diese Ereignisse auftreten duerfen. Danach wird die entsprechende IP-Adresse fuer 2 Stunden (7200sec) verbannt.
Die Parameter maxretry, findtime, bantime sollte jeder nach Lust und Laune einstellen, allerdings:
Werte von maxretry < 4 werden Aerger machen, denn da beim ersten Fehlversuch sowohl das Bild als auch das Script geladen werden, sind die ersten 2 Ereignisse von fail2ban schon mit einem Fehlversuch aufgebraucht !
Den dritten braucht man zu 2 ten Anmeldung.
Daher mein Tip: maxretry >= 5 einstellen !
Auch fuer die erfolgreiche Anmeldung wird 1 Versuch "verbraucht". Wenn also mehrere Benutzer gleichzeitig das Typo3 nutzen, sollte die Anzahl maxretry (fail2ban) so hoch gesetzt werden, dass sich jeder mindestens 1 mal anmelden kann + ein paar Fehlversuche.
Mit mod_security kann ein Brute-Force Angriff noch deutlich besser abgehandelt werden. Wer die Moeglichkeit hat, mod_security einzusetzen, sollte diesen Weg waehlen.
Brute Force Risiken lauern leider auch beim http://www.modified-shop.org/ . Meine Vorschlaege gegen Angriffe koennt Ihr hier lesen