Genug Sicherheit kann es für das eigene CMS kaum geben. Typo3 kann mit fail2ban geben Brute-Force Attacken geschützt werden. So funktionierts:

Als root / Administrator auf dem Server fail2ban installieren.

Zur jail.conf folgende Zeilen hinzugefügen

[apache-typo3]
enabled = true
port	= http,https
filter	= apache-typo3
logpath = /var/log/apache*/*access.log
maxretry = 7
findtime = 3600
bantime  = 7200

Den Filter apache-typo3 erstellen

(das ist die Datei apache-typo3.conf im Ordner filter.d)
Die Datei muss mindestens folgenden Inhalt haben:

[Definition]
failregex = ^<HOST> -.*GET.*/login-alert-error\.gif
            ^<HOST> -.*POST.*/typo3/index\.php
ignoreregex = 

Ladet Euch die fertige Datei der Einfachheit halber hier runter.

Warum und wie funktioniert das ?

Fail2ban prüft die angegebene Protokolldatei (hier apaches access.log) in kurzen Zeitabständen nach Veränderungen. Wenn eine Anmeldung stattfindet, dann wird immer kurzfristig die Seite /typo3/index.php aufgerufen und von dort aus die Login-Parameter gepostet. Wenn die Anmeldung fehlschlägt, wird erstens das Bild login-alert-error.gif angezeigt und 2tens erneut versucht die Parameter zu posten.

In der Konfiguration habe ich festgelegt, dass 7 mal innerhalb einer Stunde (3600sec) diese Ereignisse auftreten dürfen. Danach wird die entsprechende IP-Adresse für 2 Stunden (7200sec) verbannt.

Die Parameter maxretry, findtime, bantime sollte jeder nach Lust und Laune einstellen, allerdings:
Werte von maxretry < 4 werden Ärger machen, denn da beim ersten Fehlversuch sowohl das Bild als auch das Script geladen werden, sind die ersten 2 Ereignisse von fail2ban schon mit einem Fehlversuch aufgebraucht !
Den dritten braucht man zu 2 ten Anmeldung.
Daher mein Tip: maxretry >= 5 einstellen !

Hinweise für Mehrbenutzer

Auch für die erfolgreiche Anmeldung wird 1 Versuch "verbraucht". Wenn also mehrere Benutzer gleichzeitig das Typo3 nutzen, sollte die Anzahl maxretry so hoch gesetzt werden, dass sich jeder mindestens 1 mal anmelden kann + ein paar Fehlversuche.

Meine Einträge zu diesem Artikel

• Typo3 Backend Login absichern
• Typo3 Security Checklist

und beim xtc-modified ?

Brute Force Risiken lauern leider auch beim xtc-modified. Meine Vorschläge gegen Angriffe könnt Ihr hier lesen

• Admin Bereich schützen

Typo3 Brute-Force
Typo3 Security fail2ban

xtc-modified brute force

xt-commerce security