Der Login Failure Daemon (LFD) ist Teil der Anwendung ConfigServer Security &Firewall (CSF), die für Linux-Server verfügbar ist. Es ist die Firewall, die auf jedem Managed KnownHost-Server vorinstalliert ist, und es ist ein Produkt, mit dem wir sehr vertraut sind. Dieser spezielle Teil der Anwendung kümmert sich um die Verfolgung und Protokollierung dessen, was auf dem Server vor sich geht und worüber CSF informiert werden muss, falls Maßnahmen erforderlich sind.
Tracking-Informationen wie:
- Prozesse laufen länger als X Sekunden
- Prozesse verwenden zu viel Arbeitsspeicher
- Prozesse von bestimmten Benutzern höher als X erlaubt
- Ungültige Anmeldeversuche bei SSH, FTP, IMAP, SMTP und mehr
- Verschiedene andere Blockierungskonfigurationen von Integrationen wie mod_security
In diesem Artikel führen wir Sie durch die verschiedenen LFD-Einstellungen in WHM.
Auf das LFD-Plugin zugreifen
Als Erstes sollten Sie sich mit Ihrem zugehörigen Root-Benutzernamen und Passwort bei Ihrer WHM-Oberfläche anmelden. Zweitens finden Sie den hervorgehobenen Abschnitt „Plugins“.
Im Abschnitt „Plugins“ sehen Sie dann „ConfigServer Security &Firewall“
Innerhalb dieses Abschnitts können Sie oben auf die Registerkarte „lfd“ klicken, die Ihnen nur Optionen und Konfigurationen im Zusammenhang mit dem Anmeldefehler-Daemon anzeigt.
- lfd-Status
- lfd-Neustart
- lfd Datei ignorieren
- Überwachung von lfd-Verzeichnisdateien
- lfd Dynamisches DNS
- lfd Alert-Vorlagen
- lfd Log Scanner-Dateien
- lfd-Sperrlisten
- lfd Syslog-Benutzer
lfd-Status
Der „lfd-Status“ enthält die systemd-Details des „lfd.service“, der auf Ihrem Server ausgeführt wird. Sie sehen, ob es aktiv läuft oder nicht, aktuelle Protokolleinträge dazu und ob der Dienst Probleme hat oder nicht. d.h. startet nicht
lfd-Neustart
Der „lfd Restart“ veranlasst einen Neustart des „lfd.service“, der auf Ihrem Server läuft. Dies wird nach jeder Anpassung der lfd-Konfiguration empfohlen, um sicherzustellen, dass der Dienst mit den neuen Konfigurationsparametern aktualisiert wurde.
lfd Datei ignorieren
Der Abschnitt „Ignorieren“ des Daemons für Anmeldefehler ermöglicht es Ihnen, Dinge wie IP-Adressen, Prozesse, Verzeichnisse, Skripte und mehr auf die Whitelist zu setzen. Es ermöglicht eine detaillierte Kontrolle darüber, was nicht von Bedeutung sein sollte.
- csf.ignore — Ermöglicht das Ignorieren von IP-Adressen, bei denen Vorfälle wie Passwortfehler auftreten.
- csf.pignore — Ermöglicht das Ignorieren von Prozessen, die nicht nachverfolgt werden sollten (z. B. lang andauernde Prozesse, z. B. Mongod)
- Beispielpfad wie „exe:/usr/local/bin/mongod“
- Beispielbenutzer wie „user:nobody ‘, was dann alle Prozesse des Benutzers none ignorieren würde.
- csf.fignore — Ermöglicht das Ignorieren von Verzeichnissen, wenn die Verzeichnisüberwachung für einen bestimmten Dateipfad
- konfiguriert ist
- Erfordert den vollständigen Pfad oder den Musterabgleich mit regulären Ausdrücken in Perl.
- csf.signore — Ermöglicht das Ignorieren bestimmter Skripte, die wissentlich ausgeführt werden (z. B. SMTP-Mail-Skripte)
- csf.rignore — Ermöglicht das Ignorieren von Reverse-DNS-Lookups, wenn CSF Crawler (wie Googlebot, Bing usw.) blockiert
- csf.suignore — Erlaubt das Ignorieren von Superusers gegen die LF_EXPLOIT SUPERUSER Prüfung.
- csf.migore — Ermöglicht das Ignorieren von Benutzerlisten und lokalen IPs durch die RT_LOCALRELAY_ALERT-Prüfung.
- csf.logignore — Ermöglicht die Verwendung von Regex zum Abgleichen von Protokollen, die von LOGSCANNER ignoriert werden sollen
- csf.uidigignore — Ermöglicht das Ignorieren der Liste der Benutzer-IDs (UID) durch die Benutzerverfolgungsfunktion.
Überwachung von lfd-Verzeichnisdateien
Durch Ändern dieser Datei (csf.dirwatch) können Sie eine Liste von Dateien und/oder Verzeichnissen erstellen, die Sie auf Änderungen überwachen möchten. Alle Änderungen, die an den aufgelisteten Dateien vorgenommen werden, senden eine Warnung an den Benachrichtigungskontakt auf dem Server (normalerweise Root-Kontakt).
dynamisches lfd-DNS
Alle aufgelisteten Domänen in dieser Datei (csf.dyndns) werden aufgelöst und durch die Firewall zugelassen. Dies ist in Situationen nützlich, in denen Sie einen Dyndns-Dienst wie no-ip.com verwenden und Ihre IP-Adresse nicht ständig auf die Whitelist setzen möchten.
LFD-Benachrichtigungsvorlagen
Der Anmeldefehler-Daemon stellt Vorlagen für alle Warnungen und Verfolgungsbenachrichtigungen bereit, die er in Bezug auf Anmeldeversuche und -fehler sendet. Sie können diese Vorlagen bearbeiten, um Informationen zu entfernen oder einzufügen, die Sie möglicherweise für erforderlich halten oder nicht. Wenn Sie auf das Dropdown-Menü klicken, wird eine Liste der Vorlagendateien angezeigt.
lfd Log Scanner-Dateien
Diese Datei (csf.logfiles) listet die Protokolldateien auf, die Sie von LOGSCANNER scannen lassen möchten. Wenn aktiviert, sendet der lfd-Dienst dann einen regelmäßigen Bericht basierend auf dem, was gescannt wurde.
lfd-Sperrlisten
Diese Datei (csf.blocklists) ermöglicht das Modifizieren bestimmter Blocklisten innerhalb von lfd/csf. Ermöglicht das automatische Blockieren von IPs innerhalb dieser Sperrlisten. d.h. Spamhaus, Tor-Clients, Maxmind usw.
lfd Syslog-Benutzer
Diese Datei (csf.syslogusers) ermöglicht die Änderung, welche Benutzer sich bei syslog/rsyslog anmelden dürfen. Hier hinzugefügte Benutzer werden der Systemgruppe hinzugefügt. Diese Datei muss im Allgemeinen nicht berührt werden.
Schlussfolgerung
Die Verwaltung des Login Failure Daemon-Abschnitts innerhalb von WHM ist dank der vom Plugin-Entwickler bereitgestellten Benutzeroberfläche nicht so schwierig. Angesichts dessen, was wir besprochen haben, sollten Sie eine allgemeine Vorstellung davon haben, was alles ist und was jede Funktion tut. Wir hoffen, dass dies hilfreich war