Logdatei von fehlerhaften Logins erstellen - Anfängerfrage

Debian macht sich hervorragend als Web- und Mailserver. Schau auch in den " Tipps und Tricks"-Bereich.
Antworten
doktorknow
Beiträge: 17
Registriert: 20.03.2017 21:24:27

Logdatei von fehlerhaften Logins erstellen - Anfängerfrage

Beitrag von doktorknow » 25.09.2017 13:14:08

Liebe Forenmitglieder,

ich habe eine kleine Webseite auf einem Apache2 Server aufgebaut, die eine php-Passwortabfrage beinhaltet.
Nun würde ich gerne eine fail2ban Konfiguation erstellen, um Bruteforce-Attacken zu unterbinden.

Wie kann ich überhaupt eine Logdatei erstellen (lassen), in der die Loginversuche (und damit auch die fehlerhaften Logins) festegehalten werden?

Vielen Dank im Voraus!
doktorknow

uname
Beiträge: 12045
Registriert: 03.06.2008 09:33:02

Re: Logdatei von fehlerhaften Logins erstellen - Anfängerfrage

Beitrag von uname » 25.09.2017 13:24:00

Du solltest nach Möglichkeit die Webseite besser mit Htaccess absichern. Wenn es wirklich PHP sein muss kannst du doch einfach in dem PHP-Script das Passwort in eine Logdatei schreiben. Immer interessant was so Leute alles an Passwörtern verwenden.

doktorknow
Beiträge: 17
Registriert: 20.03.2017 21:24:27

Re: Logdatei von fehlerhaften Logins erstellen - Anfängerfrage

Beitrag von doktorknow » 26.09.2017 18:13:35

Ich weiß nicht, ob htaccess das bieten kann, was ich benötige:
Von der Hauptseite der Website kann man auf eine Loginseite wechseln, bei der man ohne Benutzernamen, sondern nur mit Passwort entweder mit:
Passwort 1 auf Ebene 1 wechselt oder mit
Passwort 2 auf Ebene 2 wechselt.

Von beiden Ebenen kann man auf die Hauptseite zurück und die Ebene 2 Personen (die auch das Passwort 1 kennen) sollen anschließend/oder vorher auch auf Ebene 1 gehen können.
Von daher läuft das bei mir im Moment als php-Session. Die Session wird auf der Hauptseite immer gestoppt, sodass man sich auf der Loginseite immer mit einem Passwort anmelden muss.

Geht so etwas auch mit htaccess?

Einfacher ist es wahrscheinlich mit einem Log und Fail2ban, oder?

Ich hatte nur erwartet, dass in der error.log von apache2 meine falschen / fehlerhaften Loginversuche aufgelistet werden. Dort steht davon aber nicht. Von daher weiß ich im Moment nicht, wie ich Fail2ban einstellen könnte...

Gruß
doktorknow

uname
Beiträge: 12045
Registriert: 03.06.2008 09:33:02

Re: Logdatei von fehlerhaften Logins erstellen - Anfängerfrage

Beitrag von uname » 27.09.2017 08:31:07

Htaccess nutzt Verzeichnisse:

/: Erlaubnis für alle
/ebene1: Erlaubnis für Benutzer 1
/ebene2: Erlaubnis für Benutzer 1 und Benutzer 2

Meldet man sich beim Zugriff auf /ebene1 als Benutzer 1 an muss man sich für /ebene2 nicht neu anmelden.
Meldet man sich beim Zugriff auf /ebene2 als Benutzer 1 an muss man sich für /ebene1 nicht neu anmelden.
Auf /ebene1 kann man sich als Benutzer 2 nicht anmelden
Meldet man sich beim Zugriff auf/ebene2 als Benutzer 2 an muss man sich für /ebene1 neu anmelden (natürlich als Benutzer 1)

Aber natürlich kann man auch PHP verwenden. Vorteil von Htaccess ist jedoch, dass Fehlprogrammierungen in PHP ausgeschlossen sind.

Antworten