Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Nächste Überarbeitung		 Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
de:shibidp3fail2ban [2016/08/25 11:00] – angelegt Raoul Gunnar Boreniusde:shibidp3fail2ban [2016/08/25 11:14] – [Config Shibboleth IdPv3] Raoul Gunnar Borenius
Zeile 4: Zeile 4:
  
 Solche Angriffe können z.B. mithilfe des Tools 'fail2ban' abgewehrt werden. Solche Angriffe können z.B. mithilfe des Tools 'fail2ban' abgewehrt werden.
 +
 +==== Config Shibboleth IdPv3 ====
  
 Dazu muss das IdP-Logformat etwas angepasst werden: Dazu muss das IdP-Logformat etwas angepasst werden:
Zeile 9: Zeile 11:
 <file xml ./conf/logback.xml> <file xml ./conf/logback.xml>
 <appender name="IDP_PROCESS" class="ch.qos.logback.core.rolling.RollingFileAppender"> <appender name="IDP_PROCESS" class="ch.qos.logback.core.rolling.RollingFileAppender">
-        <File>${idp.logfiles}/idp-process.log</File>+ <File>${idp.logfiles}/idp-process.log</File>
  
-        <rollingPolicy class="ch.qos.logback.core.rolling.TimeBasedRollingPolicy"> + <rollingPolicy class="ch.qos.logback.core.rolling.TimeBasedRollingPolicy"> 
-            <fileNamePattern>${idp.logfiles}/idp-process-%d{yyyy-MM-dd}.log.gz</fileNamePattern> +  <fileNamePattern>${idp.logfiles}/idp-process-%d{yyyy-MM-dd}.log.gz</fileNamePattern> 
-            <maxHistory>${idp.loghistory:-180}</maxHistory> +  <maxHistory>${idp.loghistory:-180}</maxHistory> 
-        </rollingPolicy>+ </rollingPolicy>
  
-        <encoder class="ch.qos.logback.classic.encoder.PatternLayoutEncoder"> + <encoder class="ch.qos.logback.classic.encoder.PatternLayoutEncoder"> 
-            <charset>UTF-8</charset> +  <charset>UTF-8</charset> 
-            <Pattern>%date{ISO8601} - %level [%logger:%line] - IP:%mdc{idp.remote_addr:-n/a} | %msg%n%ex{short}</Pattern> +  <Pattern>%date{ISO8601} - %level [%logger:%line] - IP:%mdc{idp.remote_addr:-n/a} | %msg%n%ex{short}</Pattern> 
-        </encoder> + </encoder> 
-    </appender>+</appender>
 </file> </file>
  
-Entscheidend dabei ist die Angabe +Entscheidend dabei ist die Angabe "IP:%mdc{idp.remote_addr:-n/a}" damit die Client-IP mitgelogged wird. 
 + 
 +==== Config fail2ban ==== 
 <file ini /etc/fail2ban/filter.d/idp.conf> <file ini /etc/fail2ban/filter.d/idp.conf>
 [Definition] [Definition]
Zeile 32: Zeile 37:
 </file> </file>
  
 +<file ini /etc/fail2ban/jail.local>
 +[idp]
  
 +enabled  = true
 +port     = http,https
 +filter   = idp
 +logpath  = /opt/shibboleth-idp/logs/idp-process.log
 +maxretry = 5
 +</file>