Ungültige Anmeldeversuche für Fail2ban und Upstream-Server-Aktion protokollieren

jieiku · 1. Dezember 2020 um 15:33

Ich hatte gehofft, dass Discourse fehlgeschlagene Anmeldeversuche in eine Datei protokollieren kann, auch wenn dies eine Konfiguration erfordert. Dann könnte ich eine benutzerdefinierte Filter- und Jail-Konfiguration für Discourse erstellen.

Ich verwende einen zentralen Fail2Ban-Server. Die Funktionsweise ist folgende: Alle meine Container, Docker-Images und VMs haben eine benutzerdefinierte Sperraktion.

In Fail2Ban legen Sie in Ihrem Jail die auszuführende Aktion fest, zum Beispiel:
action = iptables-allports

Anschließend müssen Sie nur noch diese Aktion bearbeiten:
sudo nano /etc/fail2ban/action.d/iptables-allports.conf

actionban = <iptables> -I f2b-<name> 1 -s <ip> -j <blocktype>
      curl -s "https://fail2ban.IhreDomain.com:35553/fail2ban.php?token=D2f3Ydy45f6y5FRTfyeFrtYErt&action=add&source=TEST_HOST&reason=TEST_FILTER&ip=111.222.333.444"

Mit dieser Einrichtung wird ein Angreifer zwar lokal im Container/Docker/VM von Fail2Ban gesperrt, aber diese Information wird auch an Ihren zentralen Fail2Ban-Server weitergeleitet. Der zentrale Server kann zudem alle gesammelten IP-Adressen als eine banlist im Textformat bereitstellen, beispielsweise unter: https://fail2ban.IhreDomain.com/banned.txt

Anschließend können Ihre pfSense-Firewall diese Sperrliste abonnieren, und Sie können die Liste sogar mit anderen pfSense-Routern teilen. Auf diese Weise werden Angreifer, die versuchen, sich in eine Anwendung einzuklinken, automatisch für alle Dienste gesperrt. Diese Lösung funktioniert bei mir seit Jahren hervorragend.

Alles, was ich benötige, um dies für Discourse umzusetzen, ist, dass Discourse bei einem fehlgeschlagenen Anmeldeversuch einen Eintrag in eine Protokolldatei schreibt

diakopter · 28. Juli 2021 um 01:11

Hast du herausgefunden, wie man das hookt oder loggt?

Danke

cron · 30. August 2021 um 23:44

Bump. Das scheint eine sehr gute Idee zu sein!

Wohin speichert und zeigt Discourse Logs an?

Die NGINX-Logs
Gelegentlich können die NGINX-Logs zusätzliche Hinweise enthalten. Sie befinden sich unter:

cd /var/discourse
./launcher enter app
cd /var/log/nginx
Dort finden Sie die Dateien access.log und error.log sowie eine Reihe rotierter, komprimierter Dateien. Der Befehl less access.log.2.gz dekomprimiert und zeigt das Logfile automatisch für Sie an.

Dieses Verzeichnis ist auch auf dem Host unter /var/discourse/shared/standalone/log/var-log/nginx verfügbar.

Leider protokollieren die Dateien nginx error.log und access.log keine fehlgeschlagenen Anmeldeversuche.

Hat jemand einen anderen Vorschlag?

Vielen Dank.

diakopter · 31. August 2021 um 03:48

Stimme zu. Es wäre großartig, eine automatische exponentielle Backoff-Funktion wie bei fail2ban zu integrieren.

diakopter · 20. Dezember 2021 um 04:51

neugierig - Wird diese Funktionsanfrage bereits verfolgt oder geplant? Es wäre ein gutes Sicherheitsmerkmal.

Protokollieren (oder Hook für) fehlgeschlagene Anmeldeversuche nach IP-Adresse

Danke!

Falco · 20. Dezember 2021 um 13:50

Die nginx access.log-Datei sollte Zeilen mit 403-Antworten für die Login-Route enthalten, die Sie dafür benötigen. Haben Sie die Protokolle überprüft?

diakopter · 20. Dezember 2021 um 16:25

Ahhh, danke! Ich frage mich, wie ich von außerhalb des Docker-Images/Containers darauf zugreifen kann.

jieiku · 20. Dezember 2021 um 16:38

Hallo @Falco, danke für die Antwort. Ich habe gerade die Protokolle überprüft. Ein Versuch mit korrektem Passwort und ein Versuch mit falschem Passwort sehen für mich gleich aus (200er Antwort):

(Ich habe die IP-Adresse und die Domain bereinigt, der Rest ist unverändert)

schlechtes Passwort:

[20/Dez/2021:08:07:31 -0800] "community.example.com" 10.111.222.33 "GET /session/csrf HTTP/1.1" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:95.0) Gecko/20100101 Firefox/95.0" "session/csrf" 200 1185 "https://community.example.com/" 0.016 0.017 "-"
[20/Dez/2021:08:07:32 -0800] "community.example.com" 10.111.222.33 "POST /session HTTP/1.1" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:95.0) Gecko/20100101 Firefox/95.0" "session/create" 200 1111 "https://community.example.com/" 0.552 0.550 "-"

gutes Passwort:

[20/Dez/2021:08:24:50 -0800] "community.example.com" 10.111.222.33 "GET /session/csrf HTTP/1.1" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:95.0) Gecko/20100101 Firefox/95.0" "session/csrf" 200 1185 "https://community.example.com/" 0.020 0.020 "-"
[20/Dez/2021:08:24:51 -0800] "community.example.com" 10.111.222.33 "POST /session HTTP/1.1" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:95.0) Gecko/20100101 Firefox/95.0" "session/create" 200 2251 "https://community.example.com/" 1.216 1.216 "-"

Da beide eine 200er-Antwort zurückgeben, können Sie dies nicht für fail2ban verwenden. Sie würden alle Benutzer mit gutem oder schlechtem Passwort sperren.

Falco · 20. Dezember 2021 um 16:58

Twitter verwendet 400 für falsches Passwort, aber Facebook, LinkedIn, Google und Amazon geben 200 zurück. Meiner Meinung nach klingt 200 falsch, aber es scheint die „normale“ Sache zu sein?

Vielleicht können Sie mit einem Plugin beginnen, das sich in diese Methode hier einklinkt

github.com/discourse/discourse

app/controllers/session_controller.rb

b6c3e9aa0


      
          
            if ScreenedIpAddress.block_admin_login?(user, request.remote_ip)
              admin_not_allowed_from_ip_address(user)
            end
          end
          
          def login_not_approved_for?(user)
            SiteSetting.must_approve_users? && !user.approved? && !user.admin?
          end
          
          def invalid_credentials
            render json: { error: I18n.t("login.incorrect_username_email_or_password") }
          end
          
          def login_not_approved
            { error: I18n.t("login.not_approved") }
          end
          
          def not_activated(user)
            session[ACTIVATE_USER_KEY] = user.id
            render json: {

Und das tut, was Sie brauchen?

jieiku · 20. Dezember 2021 um 17:09

Großartig, danke für die Antwort! Sobald ich etwas Zeit habe, werde ich versuchen, ein Plugin zu erstellen, um diese Informationen zu generieren! (Ich brauche nur die IP-Adresse, die in eine Datei protokolliert wird, wenn jemand versucht, sich mit einem falschen Passwort anzumelden, z. B. ungültiger Anmeldeversuch von IP 10.111.222.33)

diakopter · 20. Dezember 2021 um 22:54

Danke! Ich hoffe, ich kann dieses Plugin verwenden. Lassen Sie mich wissen, ob Sie es verfügbar machen können.

Danran · 24. Februar 2023 um 03:07

Konnten Sie das jemals zum Laufen bringen? Ich bin sehr daran interessiert, fail2ban auch mit meiner Discourse-Instanz zu verwenden.

Jagster · 24. Februar 2023 um 06:54

Ich schreibe über die Rollen von selbstgemachten Webmastern und reinen Endbenutzern, aber…

Ungültige Anmeldungen sind per Definition ein Fehler 200. Sicher, es kann und sollte ein interner Fehler einer App sein und irgendwann etwas anderes generieren, wie z. B. Fehler 403 plus etwas anderes, wie das Senden eines Wiederherstellungslinks, aber das sollte oder kann nicht sofort passieren.

Fail2ban ist ein schönes Werkzeug, aber wirklich überbewertet. Vergessen wir Docker, weil es alles schwieriger macht, aber allein die Tatsache, dass es die iptables eines VPS umgehen kann, ist für mich wirklich verwirrend. Aber Bots neigen dazu, die IP nach jedem dritten Versuch zu ändern, und das macht Fail2ban bei reinen Brute-Force-Angriffen über die Anmeldung ziemlich zahnlos.

Script-Kiddies sind natürlich eine andere Geschichte. Sie kopieren und fügen alles ein, was sie finden, drehen es und spielen nicht mit IPs herum. Dann kann Fail2ban sie stoppen, auch wenn sie selten etwas Schaden anrichten können, aber die Last erhöhen. Das eigentliche Problem ist die Menge an Script-Kiddies, wenn es eine sofortige Flut gibt.

Aber solange ein VPS eine solche Situation bewältigen kann, spielt es keine Rolle. Jetzt ist 2023 und meistens klopfen diese Arschlöcher an alte Schwachstellen von WordPress auf Discourse-Seiten

Aber wir sollten eine Logik haben, um ständige Anmeldungen zu stoppen, auch wenn es keine alltägliche Bedrohung ist, denke ich.

Thema		Antworten	Aufrufe
Discourse authentication log Support	1	465	30. November 2020
Fail2ban or frivilous login blockers for discourse docker instance? Self-hosting	1	424	2. März 2023
How to block an IP range? "Screened IPs" not being blocked Support	22	379	5. Dezember 2025
Problem Responding a Topic Support	2	352	9. März 2024
Adding a central authentication log to Discourse Feature	0	348	10. Mai 2024

Ungültige Anmeldeversuche für Fail2ban und Upstream-Server-Aktion protokollieren

Verwandte Themen