debianforum.de

die deutschsprachige Supportwebseite rund um das Debian-Projekt
https://debianforum.de/forum/

mod_evasive Zeitbann

https://debianforum.de/forum/viewtopic.php?t=155111

Seite 1 von 1

mod_evasive Zeitbann

Verfasst: 27.04.2015 11:00:03
von xcheta
Hi leute,

Ich hab mir gerade eben auf meinen Apache2 mod_evasive installiert. Es funktioniert auch wunderbar. Gibt es aber eine Möglichkeit einen "Zeitbann" zu realisieren?

Also das ein Benutzer 5 Min gebannt ist. Ich habe mal geschaut ob es da was für IPtables gibt aber ich bin nicht wirklich fündig geworden.

Gruß

Xcheta

Re: mod_evasive Zeitbann

Verfasst: 27.04.2015 14:08:45
von Dimejo
Das dürfte sich am einfachsten mit Debianfail2ban realisieren lassen.

Re: mod_evasive Zeitbann

Verfasst: 27.04.2015 14:42:31
von xcheta
jap das stimmt werde ich nun auch tun. Ich habe allerdings noch eine frage. Irgendwie will evasive nicht richtig funktionieren. Egal wie hoch ich die Zeit drehe die eine IP gesperrt werden soll bleibt die Bann zeit gleich. Nach zuviel aufrufen werde ich gesperrt und in der /var/log/mod_evasive ist auch die Adresse gebannt. Nur kann ich trotzdem nach 5 Sekunden wieder auf die Seite drauf. Das test Skript das von den Entwicklern bereitgestellt wurde gibt auch aus das es gehen würde also

HTTP/1.1 403 Forbidden

Re: mod_evasive Zeitbann

Verfasst: 27.04.2015 16:13:24
von Dimejo
xcheta hat geschrieben:jap das stimmt werde ich nun auch tun. Ich habe allerdings noch eine frage. Irgendwie will evasive nicht richtig funktionieren. Egal wie hoch ich die Zeit drehe die eine IP gesperrt werden soll bleibt die Bann zeit gleich. Nach zuviel aufrufen werde ich gesperrt und in der /var/log/mod_evasive ist auch die Adresse gebannt. Nur kann ich trotzdem nach 5 Sekunden wieder auf die Seite drauf. Das test Skript das von den Entwicklern bereitgestellt wurde gibt auch aus das es gehen würde also

HTTP/1.1 403 Forbidden
Ich habe mod_evasive selbst nie eingesetzt, aber laut dem Wiki von ubuntuusers.de ist der Parameter DOSBlockingPeriod für die Dauer der Blockade zuständig:

Code: Alles auswählen

<ifmodule mod_evasive20.c>
   DOSHashTableSize 3097
   DOSPageCount 2
   DOSSiteCount 50
   DOSPageInterval 1
   DOSSiteInterval 1
   DOSBlockingPeriod 10             ## Dauer der Blockade der einzelnen IP-Addresse in Sekunden
   DOSSystemCommand "echo +%s > /proc/net/xt_recent/badguys" oder "su root -c '/sbin/iptables -A INPUT -s %s -j DROP'"   ## Befehl an das System -> %s ist die SourceIP des Angreifers
   DOSLogDir "/var/log/mod_evasive"   ## Log-Verzeichnis
   DOSEmailNotify root@localhost    ## E-Mail-Adresse für Benachrichtigungen
   DOSWhitelist 127.0.0.1           ## Lokale Anfragen zulassen. Hier kann man auch einzelne IP-Adressen ausschließen.
</ifmodule>
Wenn Du fail2ban einsetzen solltest spielt das aber nicht wirklich eine Rolle. Du benötigst von mod_evasive nur den Logeintrag. Die Dauer der Sperre stellst Du dann in fail2ban ein.
Alle Zeiten sind UTC+01:00
Seite 1 von 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/