Typo3-fail2ban

Genug Sicherheit kann es fuer das eigene CMS nie geben. Typo3 kann mit fail2ban geben Brute-Force Attacken geschuetzt werden. So funktionierts:

Als root / Administrator auf dem Server fail2ban installieren.

 

Zur jail.conf folgende Zeilen hinzugefuegen

[apache-typo3]
enabled = true
port = http,https
filter = apache-typo3
logpath = /var/log/apache*/*access.log
maxretry = 7
findtime = 3600
bantime = 7200

Den Filter apache-typo3 erstellen

(das ist die Datei apache-typo3.conf im Ordner filter.d)
Die Datei muss mindestens folgenden Inhalt haben:

[Definition]
failregex = ^<HOST> -.*GET.*/login-alert-error\.gif
^<HOST> -.*POST.*/typo3/index\.php
ignoreregex =

Ladet Euch die fertige Datei der Einfachheit halber hier runter. 

 

Warum und wie funktioniert das ?

Fail2ban prueft die angegebene Protokolldatei (hier apaches access.log) in kurzen Zeitabstaenden nach Veraenderungen. Wenn eine Anmeldung stattfindet, dann wird immer kurzfristig die Seite /typo3/index.php aufgerufen und von dort aus die Login-Parameter gepostet. Wenn die Anmeldung fehlschlaegt, wird erstens das Bild login-alert-error.gif angezeigt und 2tens erneut versucht die Parameter zu posten.

In der Konfiguration habe ich festgelegt, dass 7 mal innerhalb einer Stunde (3600sec) diese Ereignisse auftreten duerfen. Danach wird die entsprechende IP-Adresse fuer 2 Stunden (7200sec) verbannt.

Die Parameter maxretry, findtime, bantime sollte jeder nach Lust und Laune einstellen, allerdings:
Werte von maxretry < 4 werden Aerger machen, denn da beim ersten Fehlversuch sowohl das Bild als auch das Script geladen werden, sind die ersten 2 Ereignisse von fail2ban schon mit einem Fehlversuch aufgebraucht !
Den dritten braucht man zu 2 ten Anmeldung. 
Daher mein Tip: maxretry >= 5 einstellen !

Hinweise fuer Mehrbenutzer

Auch fuer die erfolgreiche Anmeldung wird 1 Versuch "verbraucht". Wenn also mehrere Benutzer gleichzeitig das Typo3 nutzen, sollte die Anzahl maxretry (fail2ban) so hoch gesetzt werden, dass sich jeder mindestens 1 mal anmelden kann + ein paar Fehlversuche.

Alternative -> mod_security fuer Typo3

Mit mod_security kann ein Brute-Force Angriff noch deutlich besser abgehandelt werden. Wer die Moeglichkeit hat, mod_security einzusetzen, sollte diesen Weg waehlen.

Meine Eintraege bzw. Links zu diesem Artikel

• Typo3 Backend Login absichern
• Typo3 Security Checklist

und beim xtc-modified bzw. xt-commerce ?

Brute Force Risiken lauern leider auch beim http://www.modified-shop.org/ . Meine Vorschlaege gegen Angriffe koennt Ihr hier lesen

• Admin Bereich schuetzen