Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- de:shibidp3fail2ban [2016/08/25 11:00] – angelegt Raoul Gunnar Borenius
+++ de:shibidp3fail2ban [2017/03/24 11:40] – Raoul Gunnar Borenius
@@ Zeile 1: / Zeile 1: @@
-===== Abwehr von Brute Force Attacken =====
+====== Abwehr von Brute Force Attacken ======
 Da der IdP weltweit erreichbar ist, ist es einem Angreifer prinzipiell möglich Usernamen/Passwörter beliebig lange durchzuprobieren.
@@ Zeile 5: / Zeile 5: @@
 Solche Angriffe können z.B. mithilfe des Tools 'fail2ban' abgewehrt werden.
-Dazu muss das IdP-Logformat etwas angepasst werden:
+==== Config Shibboleth IdPv3 ====
-<file xml ./conf/logback.xml>
+Dazu muss das IdP-Logformat etwas angepasst werden. Siehe dazu die IdP-Konfigurationsanleitung in diesem
-<appender name="IDP_PROCESS" class="ch.qos.logback.core.rolling.RollingFileAppender">
+Wiki!
-        <File>${idp.logfiles}/idp-process.log</File>
-        <rollingPolicy class="ch.qos.logback.core.rolling.TimeBasedRollingPolicy">
+==== Config fail2ban ====
-            <fileNamePattern>${idp.logfiles}/idp-process-%d{yyyy-MM-dd}.log.gz</fileNamePattern>
-            <maxHistory>${idp.loghistory:-180}</maxHistory>
-        </rollingPolicy>
-        <encoder class="ch.qos.logback.classic.encoder.PatternLayoutEncoder">
-            <charset>UTF-8</charset>
-            <Pattern>%date{ISO8601} - %level [%logger:%line] - IP:%mdc{idp.remote_addr:-n/a} | %msg%n%ex{short}</Pattern>
-        </encoder>
-    </appender>
-</file>
-Entscheidend dabei ist die Angabe
 <file ini /etc/fail2ban/filter.d/idp.conf>
 [Definition]
@@ Zeile 32: / Zeile 20: @@
 </file>
+<file ini /etc/fail2ban/jail.local>
+[idp]
+enabled  = true
+port     = http,https
+filter   = idp
+logpath  = /opt/shibboleth-idp/logs/idp-process.log
+maxretry = 5
+</file>