Fail2Ban integration

  • Affected Version
    WoltLab Suite 3.0

    Hallo zusammen,


    gibt es einen Weg fail2ban zu nutzen bzw. das Forum dort mit einem Jail zu integrieren?


    für Wordpress gibt es das ja aber leider nicht für das Board hat einer Tipps oder gar eine Möglichkeit, bzw. das schon selbst umgesetzt? Danke :)

    • Official Post

    Eine derartige Funktion ist standardmäßig bereits integriert, du findest die Einstellungsmöglichkeiten unter Konfiguration > Sicherheit im Abschnitt Benutzer-Authentifikation.

  • Hallo Alexander,


    Danke für den Hinweis, die Funktion ist mir bereits bekannt mit fail2ban kann ich hier aber den Zugriff im Gänze Sperren sollten die Anmeldeversuche überhand nehmen und es sich z.B. um eine DDOS Angriff handeln, würde in der Integrierten Version die Anfrage Trotzdem noch beantwortet wenn auch mit dem Captcha, in der Fail2Ban Variante je nach Einstellung keine Antwort mehr vom Server erhalten da die Anfragen dann ignoriert werden.


    :)

    • Official Post

    und es sich z.B. um eine DDOS Angriff handeln, würde in der Integrierten Version die Anfrage Trotzdem noch beantwortet

    Bei einem DDoS-Angriff ist jede Aktion die auf PHP-Ebene erfolgt bereits fatal. Aus eigener Erfahrung kann ich sagen, dass die bereits standardmäßig getroffenen Vorkehrungen ihren Zweck erfüllen. Bei größeren Angriffen helfen nur Mechanismen die bereits auf niedrigerer Ebene ansetzen, etwa beim Webserver oder idealerweise direkt via iptables auf Basis von Mustern.

  • Bei größeren Angriffen helfen nur Mechanismen die bereits auf niedrigerer Ebene ansetzen, etwa beim Webserver oder idealerweise direkt via iptables auf Basis von Mustern.

    Eben darum ja die Frage nach der Integrationsmöglichkeit in Fail2Ban das ja auf iptables aufsetzt ;)

  • fail2ban kann ich wirklich nicht empfehlen. Wenn du eine Ddos Attacke bereits auf Webserver Ebene hast und fail2ban dann fleißig arbeitet, verbraucht nur fail2ban 100% CPU Auslastung und dann ist dein Rootserver eh überlastet. Ich hatte vor einigen Jahren fail2ban eingesetzt und einen Angriff gehabt. Es haben rund 6000 IP Adressen wechselnd angegriffen, der Log war schnell mehrere GB groß und dadurch, dass fail2ban sekündlich den Log neu öffnet, muss die Datei ständig neu in den RAM geladen werden. Das Bannen der IP Adressen hat 0 geholfen, weil ständig neue IP Adressen angegriffen haben.

  • Hi Atrox,


    das es CPU braucht, ja das stimmt, das es RAM braucht auch, aber bei meinem Test den ich habe laufen lassen habe ich den Server mit einem Class B Netz nicht klein bekommen. Da war fail2ban immer schneller.


    Aber sicher liegt es auch an der verwendeten Hardware.

  • Hey,


    du setzt Apache ein ?


    Schau dir die Module mod_qos und mod_evasive an, damit kannst du bei bei "kleinen" Angriffen z.b. gegen Slowloris usw. schon viel erreichen.