wiki:sicherheit:owncloud_fail2ban

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
wiki:sicherheit:owncloud_fail2ban [2014/05/17 18:06] wikiadminwiki:sicherheit:owncloud_fail2ban [2016/09/26 15:22] (aktuell) wikiadmin
Zeile 2: Zeile 2:
  
 Auch Owncloud lässt sich per fail2ban absichern Auch Owncloud lässt sich per fail2ban absichern
 +====== Owncloud ======
  
-====== Logging aktivieren ======+ 
 +===== Logging aktivieren =====
  
 Zunächst muss man das Loglevel auf 2 (WARN) oder weniger gesetzt werden. Dies geschieht entweder per Default (Default-Wert = 2), oder indem man in der Config-Datei folgende Zeile setzt. Dabei gelten folgende Levels: 0=DEBUG, 1=INFO, 2=WARN, 3=ERROR (default is WARN) Zunächst muss man das Loglevel auf 2 (WARN) oder weniger gesetzt werden. Dies geschieht entweder per Default (Default-Wert = 2), oder indem man in der Config-Datei folgende Zeile setzt. Dabei gelten folgende Levels: 0=DEBUG, 1=INFO, 2=WARN, 3=ERROR (default is WARN)
Zeile 18: Zeile 20:
 Jetzt wird auch die IP im Log-File angezeigt Jetzt wird auch die IP im Log-File angezeigt
  
-====== Fail2ban-Regel erstellen ======+===== Fail2ban-Regel erstellen =====
  
 Als nächstes sollte man das folgende rule-file nach ''/etc/fail2ban/filter.d'' kopieren. Als nächstes sollte man das folgende rule-file nach ''/etc/fail2ban/filter.d'' kopieren.
Zeile 39: Zeile 41:
 # Values:  TEXT # Values:  TEXT
 # #
-failregex = ^{"app":"core","message":"Login failed: user '.*' , wrong password, IP\:<HOST>.* +failregex = ^{"app":"core","message":"Login failed: .*'.*' , wrong password, IP\:<HOST>.* 
 +            ^{"app":"core","message":"Login failed: .*'.*' (Remote IP: '<HOST>'.*
 # Option:  ignoreregex # Option:  ignoreregex
 # Notes.:  regex to ignore. If this regex matches, the line is ignored. # Notes.:  regex to ignore. If this regex matches, the line is ignored.
Zeile 64: Zeile 66:
  
 Zum Schluss muss noch fail2ban neu gestartet werden und man ist gegen Bruteforce-Attacken gegen ownCloud geschützt. Zum Schluss muss noch fail2ban neu gestartet werden und man ist gegen Bruteforce-Attacken gegen ownCloud geschützt.
 +
 +====== Nextcloud ======
 +Da nextcloud ein Fork von owncloud ist, ist das vorgehen hier das selbe. Lediglich die Filterregeln lauten ein wenig anders.
 +
 +<file bash nextcloud.conf>
 +# Fail2Ban configuration file
 +#
 +# Author: Patrick Schindelmann
 +#
 +# $Revision$
 +#
 +
 +[Definition]
 +
 +# Option:  failregex
 +# Notes.:  regex to match the password failures messages in the logfile. The
 +#          host must be matched by a group named "host". The tag "<HOST>" can
 +#          be used for standard IP/hostname matching and is only an alias for
 +#          (?:::f{4,6}:)?(?P<host>[\w\-.^_]+)
 +# Values:  TEXT
 +#
 +failregex = ^{"app":"core","message":"Login failed: .*'.*' , wrong password, IP\:<HOST>.*
 +            ^{"reqId":"jmTe8ODTcm1BPp6yrgGf","remoteAddr":"<HOST>","app":"core","message":"Login failed: .*
 +
 +# Option:  ignoreregex
 +# Notes.:  regex to ignore. If this regex matches, the line is ignored.
 +# Values:  TEXT
 +#
 +ignoreregex =
 +
 +</file>
 +
 +Das File wird in das Verzeichnis ''/etc/fail2ban/filter.d/'' gespeichert und mit folgendem Codeschnipsel in der jail.local aktiviert.
 +
 +<file bash jail.local>
 +[nextcloud]
 +
 +enabled  = true
 +port     = http,https
 +filter   = nextcloud
 +logpath  = /var/www/nextcloud/data/nextcloud.log
 +maxretry = 6
 +findtime = 6000
 +
 +</file>
 +
 +Dienst restarten und man hat eine einbruchsicherung für nextcloud
  • wiki/sicherheit/owncloud_fail2ban.1400342806.txt.gz
  • Zuletzt geändert: 2014/05/17 18:06
  • von wikiadmin