mod_evasive Zeitbann

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
xcheta
Beiträge: 14
Registriert: 15.03.2015 11:42:13

mod_evasive Zeitbann

Beitrag von xcheta » 27.04.2015 11:00:03

Hi leute,

Ich hab mir gerade eben auf meinen Apache2 mod_evasive installiert. Es funktioniert auch wunderbar. Gibt es aber eine Möglichkeit einen "Zeitbann" zu realisieren?

Also das ein Benutzer 5 Min gebannt ist. Ich habe mal geschaut ob es da was für IPtables gibt aber ich bin nicht wirklich fündig geworden.

Gruß

Xcheta
Nach oben
Dimejo
Beiträge: 503
Registriert: 21.07.2014 13:37:23

Re: mod_evasive Zeitbann

Beitrag von Dimejo » 27.04.2015 14:08:45

Das dürfte sich am einfachsten mit Debianfail2ban realisieren lassen.
Nach oben
xcheta
Beiträge: 14
Registriert: 15.03.2015 11:42:13

Re: mod_evasive Zeitbann

Beitrag von xcheta » 27.04.2015 14:42:31

jap das stimmt werde ich nun auch tun. Ich habe allerdings noch eine frage. Irgendwie will evasive nicht richtig funktionieren. Egal wie hoch ich die Zeit drehe die eine IP gesperrt werden soll bleibt die Bann zeit gleich. Nach zuviel aufrufen werde ich gesperrt und in der /var/log/mod_evasive ist auch die Adresse gebannt. Nur kann ich trotzdem nach 5 Sekunden wieder auf die Seite drauf. Das test Skript das von den Entwicklern bereitgestellt wurde gibt auch aus das es gehen würde also

HTTP/1.1 403 Forbidden
Nach oben
Dimejo
Beiträge: 503
Registriert: 21.07.2014 13:37:23

Re: mod_evasive Zeitbann

Beitrag von Dimejo » 27.04.2015 16:13:24

xcheta hat geschrieben:jap das stimmt werde ich nun auch tun. Ich habe allerdings noch eine frage. Irgendwie will evasive nicht richtig funktionieren. Egal wie hoch ich die Zeit drehe die eine IP gesperrt werden soll bleibt die Bann zeit gleich. Nach zuviel aufrufen werde ich gesperrt und in der /var/log/mod_evasive ist auch die Adresse gebannt. Nur kann ich trotzdem nach 5 Sekunden wieder auf die Seite drauf. Das test Skript das von den Entwicklern bereitgestellt wurde gibt auch aus das es gehen würde also

HTTP/1.1 403 Forbidden
Ich habe mod_evasive selbst nie eingesetzt, aber laut dem Wiki von ubuntuusers.de ist der Parameter DOSBlockingPeriod für die Dauer der Blockade zuständig:

Code: Alles auswählen

<ifmodule mod_evasive20.c>
   DOSHashTableSize 3097
   DOSPageCount 2
   DOSSiteCount 50
   DOSPageInterval 1
   DOSSiteInterval 1
   DOSBlockingPeriod 10             ## Dauer der Blockade der einzelnen IP-Addresse in Sekunden
   DOSSystemCommand "echo +%s > /proc/net/xt_recent/badguys" oder "su root -c '/sbin/iptables -A INPUT -s %s -j DROP'"   ## Befehl an das System -> %s ist die SourceIP des Angreifers
   DOSLogDir "/var/log/mod_evasive"   ## Log-Verzeichnis
   DOSEmailNotify root@localhost    ## E-Mail-Adresse für Benachrichtigungen
   DOSWhitelist 127.0.0.1           ## Lokale Anfragen zulassen. Hier kann man auch einzelne IP-Adressen ausschließen.
</ifmodule>
Wenn Du fail2ban einsetzen solltest spielt das aber nicht wirklich eine Rolle. Du benötigst von mod_evasive nur den Logeintrag. Die Dauer der Sperre stellst Du dann in fail2ban ein.
Nach oben
Antworten

Zurück zu „Sicherheit“