[[Server-Sicherheit]]
Sie befinden sich hier: start » Übersicht » Installation auf einem Webserver » Server-Sicherheit
 
Zuletzt angesehen:

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
de:server:security [15.09.2019 11:58] adminde:server:security [03.06.2021 12:18] – verschoben nach security:fail2ban admin
Zeile 1: Zeile 1:
-====== Server-Sicherheit ====== 
  
-Dieses Kapitel erklärt einige für die Sicherheit des Servers empfehlenswerte Konfigurations-Einstellungen. 
- 
- 
-===== fail2ban ===== 
- 
-Für den Zugriff auf laufende Interviews wird jedem Interview ein "Token" zugeteilt, eine 12-stellige alphanumerische Zeichenfolge. Wer das Interview-Token kennt, kann das Interview fortführen und ggf. mit dem Zurück-Knopf auch eingegebene Daten einsehen. 
- 
-Damit man gültige Tokens nicht einfach durch Ausprobieren (brute force) ermitteln kann, sollte der Server IP-Adressen sperren, wenn diese ungültige Tokens verwenden. Dafür speichert SoSci Survey ungültige Eingaben in der Datei ''system/logfiles/token-fail.log''. Auch ungültige Seriennummern und Serienmail-Schlüssel werden in dieser Datei vermerkt. 
- 
-Auf Linux-Systemen kann man IP-Adressen, die in dieser Liste häufiger auftauchen, mittels [[https://www.fail2ban.org|fail2ban]] vorübergehend sperren. Auf Debian-basierten Systemen kann man fail2ban wie folgt installieren: 
- 
-    sudo apt-get install fail2ban 
- 
-Zunächst muss eine Datei ''/etc/fail2ban/filter.d/serial-fail.conf'' mit folgendem Inhalt angelegt werden. 
- 
-<file> 
-[Definition] 
-failregex = <HOST>\s+(invalid|serial|deliveryToken|session\.id) 
-ignoreregex = 
-</file> 
- 
-Anschließend muss die Datei ''/etc/fail2ban/jail.local'' angelegt oder (falls schon vorhanden) ein Abschnitt ''[serial-fail]'' einfügt werden, welcher auf die Logdatei mit den ungültigen Einträgen verweist: 
- 
-<file> 
-[DEFAULT] 
-ignoreip = 127.0.0.1/8 
-maxretry = 3 
-banaction = iptables-multiport 
- 
-[serial-fail] 
-enabled  = true  
-port     = http,https 
-filter   = serial-fail 
-action   = iptables-allports 
-           mail-whois[name=Serial Fail, dest=IHRE@E-MAIL-ADRESSE] 
-logpath  = /PFAD_ZU_SOSCI/system/logfiles/token-fail.log 
-maxretry = 50 
-bantime  = 7200 
-# SoSci Survey will lock IPs by itself, this is just the uppermost limit 
- 
-[sshd-ddos] 
-enabled = true 
- 
-[php-url-fopen] 
-enabled = true 
-</file> 
- 
-Dieser Eintrag sperrt eine IP-Adresse für 5 Minuten (`bantime`), wenn von dieser binnen 10 Minuten (Standardeinstellung für `findtime`) 10 fehlerhafte Eingaben (`maxretry`) gemacht wurden. 
- 
-Der Pfad ''/var/www/html/sosci/'' muss dabei an das Installationsverzeichnis von SoSci Survey angepasst werden. Laden Sie die Konfiguration und überprüfen Sie, ob alles funktioniert: 
- 
-    sudo fail2ban-client reload 
-    sudo fail2ban-client status 
- 
-Die Ausgabe sieht z.B. wie folgt aus: 
- 
-<code> 
-Status 
-|- Number of jail:      3 
-`- Jail list:   serial-fail, sshd, sshd-ddos 
-</code> 
de/server/security.txt · Zuletzt geändert: 09.07.2023 18:10 von admin
 
Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-Share Alike 4.0 International
Driven by DokuWiki