Dies ist eine alte Version des Dokuments!
Abwehr von Brute Force Attacken
Da der IdP weltweit erreichbar ist, ist es einem Angreifer prinzipiell möglich Usernamen/Passwörter beliebig lange durchzuprobieren.
Solche Angriffe können z.B. mithilfe des Tools 'fail2ban' abgewehrt werden.
Config Shibboleth IdPv3
Dazu muss das IdP-Logformat etwas angepasst werden. Siehe dazu die IdP-Konfigurationsanleitung in diesem Wiki!
Config fail2ban
- /etc/fail2ban/filter.d/idp.conf
[Definition] failregex = IP\:<HOST> .* Login by .* failed IP\:<HOST> .* No password available ignoreregex =
- /etc/fail2ban/jail.local
[idp] enabled = true port = http,https filter = idp logpath = /opt/shibboleth-idp/logs/idp-process.log maxretry = 5