Current time: 11-17-2024, 04:14 AM Hello There, Guest! (LoginRegister)


Thread Closed 
 
Thread Rating:
  • 0 Votes - 0 Average
  • 1
  • 2
  • 3
  • 4
  • 5
[ERLEDIGT] PMA besser absichern
Author Message
fulltilt Offline
Member
***

Posts: 1,225
Joined: Apr 2007
Reputation: 5
Post: #21
RE: PMA besser absichern
joximu Wrote:man müsste wohl pma dazu bringen, etwas spezielles ins Log zu schrieben, bei fehlerhafter Anmeldung...

also geloggt wird ja:
/var/log/apache2/users/admin.webserver.tld-access.log
Code:
192.168.0.5 - - [10/Feb/2008:11:16:23 +0100] "POST /tools/pma/index.php HTTP/1.1" 302 -

In /etc/fail2ban/filter.d liegt eine apache-auth.conf
mit dieser failregex:
Code:
failregex = [[]client <HOST>[]] user .*(?:: authentication failure|not found)

Habe in der jail.conf folgendes hinzugefügt:
Code:
[pma]
enabled = true
port = http
filter = apache-auth
logpath = /var/log/apache2/users/admin.webserver.tld-access*.log
maxretry = 3

Tut sich aber nichts ... ich könnte so Monate lang versuchen das Passwort zu knacken :-)

Muss da noch irgend ein auth mod im Apache aktiviert werden ... da sind ne Menge davon available Big Grin
(This post was last modified: 02-10-2008 08:29 PM by fulltilt.)
02-10-2008 08:29 PM
Find all posts by this user
Rene Offline
Member
*
Beta Team

Posts: 342
Joined: Sep 2007
Reputation: 4
Post: #22
RE: PMA besser absichern
fulltilt Wrote:Tut sich aber nichts ... ich könnte so Monate lang versuchen das Passwort zu knacken :-)

Ja das ist klar, vergleich doch mal:

fulltilt Wrote:also geloggt wird ja:
/var/log/apache2/users/admin.webserver.tld-access.log
Code:
192.168.0.5 - - [10/Feb/2008:11:16:23 +0100] "POST /tools/pma/index.php HTTP/1.1" 302 -

und:

fulltilt Wrote:In /etc/fail2ban/filter.d liegt eine apache-auth.conf
mit dieser failregex:
Code:
failregex = [[]client <HOST>[]] user .*(?:: authentication failure|not found)

wie joximu schon sagt:

joximu Wrote:man müsste wohl pma dazu bringen, etwas spezielles ins Log zu schrieben, bei fehlerhafter Anmeldung...
02-10-2008 08:42 PM
Find all posts by this user
fulltilt Offline
Member
***

Posts: 1,225
Joined: Apr 2007
Reputation: 5
Post: #23
RE: PMA besser absichern
Ja - soweit klar ...
Habe aber auch mal andere Logins auf einem Testweb probiert (conf entsprechend angepasst) ...
Da wird auch nichts geblockt, daher frage ich mich ob da ein Apache Modul noch aktiviert werden muss ...
Bislang klappt nur FTP und SSH.
02-10-2008 08:58 PM
Find all posts by this user
Rene Offline
Member
*
Beta Team

Posts: 342
Joined: Sep 2007
Reputation: 4
Post: #24
RE: PMA besser absichern
fulltilt Wrote:Habe aber auch mal andere Logins auf einem Testweb probiert (conf entsprechend angepasst) ...

darf man fragen wie die conf und die fehlermeldung aussieht?

fulltilt Wrote:Da wird auch nichts geblockt, daher frage ich mich ob da ein Apache

also soweit ich weiß eigentlich nicht...
02-10-2008 09:03 PM
Find all posts by this user
fulltilt Offline
Member
***

Posts: 1,225
Joined: Apr 2007
Reputation: 5
Post: #25
RE: PMA besser absichern
Hi Rene,

In der access.log taucht seit dem vhcs Update gar nichts auf, bin auf einer Testmaschine .. vieleicht habe ich da irgendwo einen Fehler drin.
(This post was last modified: 02-10-2008 09:26 PM by fulltilt.)
02-10-2008 09:25 PM
Find all posts by this user
joximu Offline
helper
*****
Moderators

Posts: 7,024
Joined: Jan 2007
Reputation: 92
Post: #26
RE: PMA besser absichern
pma macht (in der ispcp Version) keinen apache-auth. das wird alles mit php gemacht. Der Apache spielt da nicht mit und darum auch nicht die apache-auth regexp...
02-10-2008 09:27 PM
Visit this user's website Find all posts by this user
Rene Offline
Member
*
Beta Team

Posts: 342
Joined: Sep 2007
Reputation: 4
Post: #27
RE: PMA besser absichern
so ich hab es geschafft, bei mir geht es so:

jail.conf:
Code:
[pma]

enabled = true
port    = https
filter    = pma
logpath = /var/log/apache*/users/*access.log
maxretry = 3

pma.conf:
Code:
# Fail2Ban configuration file
#
# Author: Cyril Jaquier
#
# $Revision: 471 $
#

[Definition]

# Option:  failregex
# Notes.:  regex to match the password failure messages in the logfile. The
#          host must be matched by a group named "host". The tag "<HOST>" can
#          be used for standard IP/hostname matching.
# Values:  TEXT
#
failregex = <HOST> - -.*"POST /pma/index.php HTTP/1.1" 302 -

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex =
02-10-2008 10:46 PM
Find all posts by this user
fulltilt Offline
Member
***

Posts: 1,225
Joined: Apr 2007
Reputation: 5
Post: #28
RE: PMA besser absichern
Rene Wrote:so ich hab es geschafft, bei mir geht es so:

Hammer - habe es auch noch noch nicht aufgegeben, mit dem 302 hatte ich auch schon probiert ...

Hut ab Wink
Code:
failregex = <HOST> - -.*"POST /pma/index.php HTTP/1.1" 302 -

Jetzt können wir wohl ruhiger schlafen Big Grin
02-10-2008 10:58 PM
Find all posts by this user
Zothos Offline
Release Manager
*****
Dev Team

Posts: 1,262
Joined: Feb 2007
Reputation: 10
Post: #29
RE: PMA besser absichern
ab ins wiki damit Smile
02-10-2008 11:12 PM
Find all posts by this user
fulltilt Offline
Member
***

Posts: 1,225
Joined: Apr 2007
Reputation: 5
Post: #30
RE: PMA besser absichern
Hi Rene,

habe gerade bemerkt dass die failregex noch erweitert werden muss, weil PMA auch unter:

/tools/pma/index.php

erreichbar ist.

Die fail2ban logs sind bei mir vorhanden:
Code:
2008-02-10 14:26:56,803 fail2ban.actions: WARNING [pma] Ban 192.168.0.5
2008-02-10 14:27:03,993 fail2ban.actions: WARNING [pma] 192.168.0.5 already banned

Kann die Loginseite aber weiterhin aufrufen ...
Könnte das daran liegen das ich hier eine VM verwende?
(This post was last modified: 02-10-2008 11:30 PM by fulltilt.)
02-10-2008 11:26 PM
Find all posts by this user
Thread Closed 


Forum Jump:


User(s) browsing this thread: 2 Guest(s)