Current time: 12-23-2024, 06:48 PM Hello There, Guest! (LoginRegister)


Thread Closed 
 
Thread Rating:
  • 0 Votes - 0 Average
  • 1
  • 2
  • 3
  • 4
  • 5
[ERLEDIGT] PMA besser absichern
Author Message
Rene Offline
Member
*
Beta Team

Posts: 342
Joined: Sep 2007
Reputation: 4
Post: #31
RE: PMA besser absichern
fulltilt Wrote:habe gerade bemerkt dass die failregex noch erweitert werden muss, weil PMA auch unter:

/tools/pma/index.php

erreichbar ist.

ja, daran habe ich nicht gerade, hast recht das muss noch geändert werden

fulltilt Wrote:Die fail2ban logs sind bei mir vorhanden:
Code:
2008-02-10 14:26:56,803 fail2ban.actions: WARNING [pma] Ban 192.168.0.5
2008-02-10 14:27:03,993 fail2ban.actions: WARNING [pma] 192.168.0.5 already banned

Kann die Loginseite aber weiterhin aufrufen ...
Könnte das daran liegen das ich hier eine VM verwende?

hm, das ist komisch. also ich kann dann gar keine seite mehr aufrufen.
kann das bitte noch jmd. testen?
02-10-2008 11:38 PM
Find all posts by this user
Rene Offline
Member
*
Beta Team

Posts: 342
Joined: Sep 2007
Reputation: 4
Post: #32
RE: PMA besser absichern
fulltilt Wrote:Die fail2ban logs sind bei mir vorhanden:
Code:
2008-02-10 14:26:56,803 fail2ban.actions: WARNING [pma] Ban 192.168.0.5
2008-02-10 14:27:03,993 fail2ban.actions: WARNING [pma] 192.168.0.5 already banned


so habe die selbe meldung produziert und zwar wie folgt:
in der jail.conf habe ich den port https festgelegt.
so gebe ich da das passwort 3 mal falsch ein, bin ich gesperrt, jedoch nur auf dem port!
öffne ich die seite über den port 80 geht es noch, gebe ich da dreimal das passwort falsch ein, kommt die meldung im log das der user schon gebanned ist.
also muss man noch eine regel erstellen für den port 80. dann geht es.

ich weiß ja nicht über welche ports du gehst...
fulltilt, trifft es denn bei dir zu?
02-11-2008 12:21 AM
Find all posts by this user
fulltilt Offline
Member
***

Posts: 1,225
Joined: Apr 2007
Reputation: 5
Post: #33
RE: PMA besser absichern
Stimmt die Ports müssen auch noch gesetzt werden ...
oder ein zweiter Eintrag pma2 für https ...

Hier auf der virtuellen Maschine, blockt überhauot nix ... auch nicht ssh, die log Einträge sind aber vorhanden.

Rene Wrote:
fulltilt Wrote:Die fail2ban logs sind bei mir vorhanden:
Code:
2008-02-10 14:26:56,803 fail2ban.actions: WARNING [pma] Ban 192.168.0.5
2008-02-10 14:27:03,993 fail2ban.actions: WARNING [pma] 192.168.0.5 already banned


so habe die selbe meldung produziert und zwar wie folgt:
in der jail.conf habe ich den port https festgelegt.
so gebe ich da das passwort 3 mal falsch ein, bin ich gesperrt, jedoch nur auf dem port!
öffne ich die seite über den port 80 geht es noch, gebe ich da dreimal das passwort falsch ein, kommt die meldung im log das der user schon gebanned ist.
also muss man noch eine regel erstellen für den port 80. dann geht es.

ich weiß ja nicht über welche ports du gehst...
fulltilt, trifft es denn bei dir zu?
02-11-2008 12:31 AM
Find all posts by this user
Rene Offline
Member
*
Beta Team

Posts: 342
Joined: Sep 2007
Reputation: 4
Post: #34
RE: PMA besser absichern
welche ip hat denn der server, auch eine private?
02-11-2008 01:03 AM
Find all posts by this user
fulltilt Offline
Member
***

Posts: 1,225
Joined: Apr 2007
Reputation: 5
Post: #35
RE: PMA besser absichern
yes - private ip

Klappt auf einem anderen System jetzt ...
Bin mir aber noch am überlegen, ob es nicht doch sicherer ist von auth cookie auf http auth umzustellen ...
Hatte das vorher in vhcs auf auth http - ist das mit der neuen Konfiguration machbar?
(This post was last modified: 02-11-2008 01:09 AM by fulltilt.)
02-11-2008 01:08 AM
Find all posts by this user
joximu Offline
helper
*****
Moderators

Posts: 7,024
Joined: Jan 2007
Reputation: 92
Post: #36
RE: PMA besser absichern
Hm den 302 greppen... mag sein, dass dies bei falschem einloggen passiert, da bei pma alle Anfragen übr die index.php läuft, hab ich das dumpfe Gefühl, dass man da ggf. auch mal unschuldig gesperrt werden könnte:
302 ist ja kein Fehler, nur, dass die Seite eine andere URL hat, aber der £Browser sich das nicht merken soll...
http://www.w3.org/Protocols/rfc2616/rfc2...#sec10.3.3

naja, vielleicht sind meine Bedenken auch unbegründet...

Umstellen auf http auth sollte gehen, nur wird es dann auch nicht mehr direkt aus ispcp heraus aufrufbar sein (mit Anmeldedaten) - ohne es gleich in die URL zu hausen....

/J

Edit: sorry, sollte heissen, ohne gleich die Anmeldedaten in die URL zu hauen...
(This post was last modified: 02-11-2008 02:54 AM by joximu.)
02-11-2008 01:55 AM
Visit this user's website Find all posts by this user
fulltilt Offline
Member
***

Posts: 1,225
Joined: Apr 2007
Reputation: 5
Post: #37
RE: PMA besser absichern
Ist soweit eine schöne Sache mit fail2ban und kann man sicherlich noch für andere Seiten so einsetzen, allerdings meiner Meinung nicht zuverlässig genug um das hier richtig abzusichern.
Ich denke hier auch eher an auth http in pma.
Das der direkte Aufruf von PMA aus der GUI dann nicht mehr klappt, sollte man dann lieber in Kauf nehmen.


joximu Wrote:Hm den 302 greppen... mag sein, dass dies bei falschem einloggen passiert, da bei pma alle Anfragen übr die index.php läuft, hab ich das dumpfe Gefühl, dass man da ggf. auch mal unschuldig gesperrt werden könnte:
302 ist ja kein Fehler, nur, dass die Seite eine andere URL hat, aber der £Browser sich das nicht merken soll...
http://www.w3.org/Protocols/rfc2616/rfc2...#sec10.3.3

naja, vielleicht sind meine Bedenken auch unbegründet...

Umstellen auf http auth sollte gehen, nur wird es dann auch nicht mehr direkt aus ispcp heraus aufrufbar sein (mit Anmeldedaten) - ohne es gleich in die URL zu hausen....

/J
02-11-2008 02:06 AM
Find all posts by this user
fulltilt Offline
Member
***

Posts: 1,225
Joined: Apr 2007
Reputation: 5
Post: #38
RE: PMA besser absichern
joximu Wrote:Umstellen auf http auth sollte gehen, nur wird es dann auch nicht mehr direkt aus ispcp heraus aufrufbar sein (mit Anmeldedaten) - ohne es gleich in die URL zu hausen....

Fehlt da noch etwas?
So klappts mit dem Login nicht:
Code:
/* Server 1 (session) [1] */
$i++;

/* Authentication type */
$cfg['Servers'][$i]['auth_type']        = 'http';

und:

/* Server 2 (cookie) [2] */
$i++;

/* Authentication type */
$cfg['Servers'][$i]['auth_type']         = 'config';
(This post was last modified: 02-11-2008 02:45 AM by fulltilt.)
02-11-2008 02:45 AM
Find all posts by this user
fulltilt Offline
Member
***

Posts: 1,225
Joined: Apr 2007
Reputation: 5
Post: #39
RE: PMA besser absichern
Nun so richtig komme ich mit dem absichern von PMA nicht weiter ...

Einfache aber auch effektive Lösung um von aussen PMA für nicht Kunden unzugänglich zu machen:

Den PMA Alias ändern in z.B.
/pma3564tfganzlangerblahblahgeheimundsoweiter
Code:
Dazu habe ich geändert in:
/etc/ispcp/ispcp.conf
PMA_PATH = ../pma3564tfganzlangerblahblahgeheimundsoweiter

dann ändern in:
/etc/ispcp/apache/00_master.conf
Alias /pma3564tfganzlangerblahblahgeheimundsoweiter      {ROOT_DIR}/gui/tools/pma/

dann in:
/etc/apache2/sites-available/00_master.conf
Alias /pma3564tfganzlangerblahblahgeheimundsoweiter      /var/www/ispcp/gui/tools/pma/

Allerdings ist dann immer noch IPadresse/tools/pma möglich.
Kann man das irgendwie verhindern?
02-12-2008 12:12 AM
Find all posts by this user
joximu Offline
helper
*****
Moderators

Posts: 7,024
Joined: Jan 2007
Reputation: 92
Post: #40
RE: [ERLEDIGT] PMA besser absichern
Umbenennen des Verzeichnisses /var/www/ispcp/gui/tools/pma

oder ggf. mit einem anderen Alias in der Apache überschreiben
/tools/pma -> irgendwohin...

/J
02-12-2008 12:21 AM
Visit this user's website Find all posts by this user
Thread Closed 


Forum Jump:


User(s) browsing this thread: 3 Guest(s)