Nextcloud gegen Brute-Force-Angriffe absichern

Owncloud und der Fork Nextcloud lassen sich von Haus aus nicht gegen Brute-Force-Angriffe auf den Login-Screen absichern. Mit dem Tool fail2ban lässt sich dies – Root-Server vorausgesetzt – für Owncloud und andere Webapplikationen nachholen.

Zuerst muss das Loggen von Anmeldefehlern in der Nextcloud aktiviert werden, dazu folgende Zeilen 4 und 5 in der config.php ergänzen:

<?php
$CONFIG = array (
...
  'logfile' => '/var/log/nextcloud.log',
  'loglevel' => 2,
...
);

Achtung: die Datei /var/log/nextcloud.log muss manuell erstellt werden und muss mit den Rechten des Webservers schreibbar sein.

Dann muss fail2ban lernen, wie ein Anmeldefehler im Nextcloud-Log aufgebaut ist und an welcher Stelle die IP-Adresse des Nutzers steht:

[Definition]
failregex = ^.*\"remoteAddr\":\"<HOST>\".*Login failed:.*$

Zuletzt muss für den soeben definierten Filter ein konkrete Sperrkonfiguration (ein Jail) erstellt werden, bei dem das zu beobachtende Logfile spezifiziert werden muss. Die Aktion action_mwl bedeutet, dass fail2ban den Nutzer per iptables Firewallregel sperrt und den Admin per Email über die Sperrung informiert. Soll nur die Sperrung per Firewall erfolgen, kann die Zeile action = ... entfallen.

[nextcloud]
enabled  = true
logpath  = /var/log/nextcloud*.log
port     = http,https
action   = %(action_mwl)s

In der Standardkonfiguration wird jetzt eine Sperregel für jeden Nutzer (IP-Adresse) erstellt, der innerhalb von 10 Minuten 5 fehlerhafte Anmeldeversuche durchgeführt hat. Diese wird nach 10 Minuten wieder entfernt.

Der aktuelle Status lässt sich jederzeit mit dem Befehl fail2ban-client status nextcloud prüfen. Dieser listet die aktuell erkannten Fehlversuche und Sperrungen auf:

Status for the jail: nextcloud
|- Filter
|  |- Currently failed:	0
|  |- Total failed:	0
|  `- File list:	/var/log/nextcloud.log
`- Actions
   |- Currently banned:	0
   |- Total banned:	0
   `- Banned IP list: