Hallo,
ich habe cockpit installiert:
https://cockpit-project.org/
Ich würde gerne den Login mit fail2ban "absichern".
Im Netz finde ich dazu nichts.
Grundsätzlich ist mir fail2ban nicht fremd, den ssh-Zugang und Nextcloud kann ich damit schützen.
Wahrscheinlich muss man für cockpit (ähnlich wie für nextcloud) einen Filter formulieren, dazu bin ich nicht in der Lage ...
Hat jemand einen Tipp?
Gruß
cockpit (project) fail2ban
-
novalix
- Beiträge: 1909
- Registriert: 05.10.2005 12:32:57
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: elberfeld
Re: cockpit (project) fail2ban
Hi,
dass es für Nextcloud eine eigene Filterregel gibt, liegt an der Verbreitung der Software und damit einhergehenden Vorhandensein spezieller Angriffsversuche.
Es ist eher unwahrscheinlich, dass im Netz gezielte Angriffscodes für Deine Verwaltungssoftware in nennenswerter Menge flottieren.
Das heißt selbstverständlich nicht, dass die Software nicht eventuell auch generisch angegriffen werden kann.
Grundlage für Filterregeln sind aber nun mal Logeinträge, die einen absichtlich unsachgemäßen Gebrauch offenbaren.
So lange Du solche Einträge nicht eindeutig identifizieren kannst, wäre das Erstellen einer Filterregel hoch spekulativ bis vollkommen unsinnig.
Ich kenne die Software nicht. Falls es sich dabei um eine "klassische" Webanwendung handelt, gäbe es natürlich die Möglichkeit via
modsecurity-crs abzusichern.
Das ist aber auch nicht ganz trivial. Vor allen Dingen die Regeln für false positives müssen selbst geschrieben und überprüft werden. Das setzt eine vernünftige Einarbeitung in die Abläufe und die entsprechende Syntax voraus.
Die Logeinträge von modsecurity können dann wieder Grundlage für Fail2ban-Filter sein.
dass es für Nextcloud eine eigene Filterregel gibt, liegt an der Verbreitung der Software und damit einhergehenden Vorhandensein spezieller Angriffsversuche.
Es ist eher unwahrscheinlich, dass im Netz gezielte Angriffscodes für Deine Verwaltungssoftware in nennenswerter Menge flottieren.
Das heißt selbstverständlich nicht, dass die Software nicht eventuell auch generisch angegriffen werden kann.
Grundlage für Filterregeln sind aber nun mal Logeinträge, die einen absichtlich unsachgemäßen Gebrauch offenbaren.
So lange Du solche Einträge nicht eindeutig identifizieren kannst, wäre das Erstellen einer Filterregel hoch spekulativ bis vollkommen unsinnig.
Ich kenne die Software nicht. Falls es sich dabei um eine "klassische" Webanwendung handelt, gäbe es natürlich die Möglichkeit via
modsecurity-crs abzusichern.Das ist aber auch nicht ganz trivial. Vor allen Dingen die Regeln für false positives müssen selbst geschrieben und überprüft werden. Das setzt eine vernünftige Einarbeitung in die Abläufe und die entsprechende Syntax voraus.
Die Logeinträge von modsecurity können dann wieder Grundlage für Fail2ban-Filter sein.
Das Wem, Wieviel, Wann, Wozu und Wie zu bestimmen ist aber nicht jedermannns Sache und ist nicht leicht.
Darum ist das Richtige selten, lobenswert und schön.
Darum ist das Richtige selten, lobenswert und schön.
-
scriptorius
- Beiträge: 180
- Registriert: 20.02.2004 18:52:14
Re: cockpit (project) fail2ban
Hi,
vielen Dank für Deine Antwort.
Damit wäre ich überfordert bzw. müsste zu viel Einarbeitungszeit investieren.
Stutzig machen mich nur folgende Aussagen von Michael Kofler:
"Etwas konsterniert war ich, als ich bemerkt habe, dass Port 9090 nicht durch eine Firewall blockiert wird und nach außen hin zugänglich ist. Zudem fehlt Cockpit jeder Schutz gegen automatisierte Passwort-Cracker. [...] Wenn Cockpit vorinstalliert ist [bei RH Enterprise], hätte man eigentlich fail2ban samt Cockpit-Regeln auch vorinstallieren können [...] Außerdem scheint es in fail2ban aktuell keine fertigen Regeln für Cockpit zu geben [...] Ich will den Teufel jetzt nicht an die Wand malen, aber ich kann mir wirklich nicht vorstellen, dass ein gedankenloses Aktivieren von Cockpit sicherheitstechnisch empfehlenswert ist."
siehe: https://kofler.info/red-hat-enterprise-linux-8/
Somit frage ich mich, ob es sinnvoll ist diese Anwendung über das Web zugänglich zu machen ...
vielen Dank für Deine Antwort.
Damit wäre ich überfordert bzw. müsste zu viel Einarbeitungszeit investieren.
Stutzig machen mich nur folgende Aussagen von Michael Kofler:
"Etwas konsterniert war ich, als ich bemerkt habe, dass Port 9090 nicht durch eine Firewall blockiert wird und nach außen hin zugänglich ist. Zudem fehlt Cockpit jeder Schutz gegen automatisierte Passwort-Cracker. [...] Wenn Cockpit vorinstalliert ist [bei RH Enterprise], hätte man eigentlich fail2ban samt Cockpit-Regeln auch vorinstallieren können [...] Außerdem scheint es in fail2ban aktuell keine fertigen Regeln für Cockpit zu geben [...] Ich will den Teufel jetzt nicht an die Wand malen, aber ich kann mir wirklich nicht vorstellen, dass ein gedankenloses Aktivieren von Cockpit sicherheitstechnisch empfehlenswert ist."
siehe: https://kofler.info/red-hat-enterprise-linux-8/
Somit frage ich mich, ob es sinnvoll ist diese Anwendung über das Web zugänglich zu machen ...
-
Lord_Carlos
- Beiträge: 5578
- Registriert: 30.04.2006 17:58:52
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Dänemark
Re: cockpit (project) fail2ban
Ich habe es installiert, aber nur intern offen.scriptorius hat geschrieben:21.10.2019 19:47:44
Somit frage ich mich, ob es sinnvoll ist diese Anwendung über das Web zugänglich zu machen ...
Wenn da jemand drauf Zugriff hat, hat er direkte kontrolle uber user shell, docker container, VMs etc.
Wenn du von der Ferne drauf zu greifen willst, dann vielleicht via VPN oder SSH tunnel.
Code: Alles auswählen
╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!-
scriptorius
- Beiträge: 180
- Registriert: 20.02.2004 18:52:14
Re: cockpit (project) fail2ban
Hi,
ja, das ist schon praktisch und macht Laune.
Da ich mit einem ds-lite Abschluss "gesegnet" bin, ist das mit VPN usw. nicht so einfach (für mich).
ja, das ist schon praktisch und macht Laune.
Da ich mit einem ds-lite Abschluss "gesegnet" bin, ist das mit VPN usw. nicht so einfach (für mich).