Name: Tremplin Numérique
Price range: $$$

Je me rends compte seulement aujourd’hui que Owncloud ne prévient pas des attaques de brute-force de façon native. Il semble cependant que les développeurs en soit conscient et proposeront un système de captcha à la prochaine release. En attendant je vous propose de mettre en place un patch maison pour faire fonctionner notre instance Owncloud avec Fail2Ban.

Création d’un fichier de log spécifique

<br />
touch /var/log/owncloud-fail.log<br />
 chown www-data:www-data /var/log/owncloud-fail.log

1 2	touch /var/log/owncloud–fail.log chown www–data:www–data /var/log/owncloud–fail.log

Modification du code source pour qu’il log les erreurs de connexion. On édite /owncloud/lib/user/database.php.
En ligne 202, dans la fonction checkPassword, juste avant le “return false” on ajoute le code suivant

<br />
$today = new DateTime();<br />
date_timezone_set($today, timezone_open(‘Europe/Paris’));<br />
$IPClient= $_SERVER[‘REMOTE_ADDR’];<br />
$logAuth = fopen(‘/var/log/owncloud-fail.log’, ‘a+’);<br />
fputs($logAuth, date_format($today, ‘Y/m/d H:i:s’) .  » Password check failed for: t » . $IPClient . « n »);<br />
fclose($logAuth);

$today = new DateTime();

date_timezone_set($today, timezone_open(‘Europe/Paris’));

$IPClient= $_SERVER[‘REMOTE_ADDR’];

$logAuth = fopen(‘/var/log/owncloud-fail.log’, ‘a+’);

fputs($logAuth, date_format($today, ‘Y/m/d H:i:s’) . » Password check failed for: t » . $IPClient . « n »);

fclose($logAuth);

Cette modification concerne les erreurs de mot de passe pour les logins existant en base. Si l’on souhaite également loguer les erreurs pour tous les logins il faut ajouter le même code avant le dernier “return false” dans la partie “else” de la fonction. On modifie juste le commentaire.

<br />
$today = new DateTime();<br />
date_timezone_set($today, timezone_open(‘Europe/Paris’));<br />
$IPClient= $_SERVER[‘REMOTE_ADDR’];<br />
$logAuth = fopen(‘/var/log/owncloud-fail.log’, ‘a+’);<br />
fputs($logAuth, date_format($today, ‘Y/m/d H:i:s’) .  » Invalid username: t » . $IPClient . « n »);<br />
fclose($logAuth);

$today = new DateTime();

date_timezone_set($today, timezone_open(‘Europe/Paris’));

$IPClient= $_SERVER[‘REMOTE_ADDR’];

$logAuth = fopen(‘/var/log/owncloud-fail.log’, ‘a+’);

fputs($logAuth, date_format($today, ‘Y/m/d H:i:s’) . » Invalid username: t » . $IPClient . « n »);

fclose($logAuth);

Edit: Depuis la version 6 de Owncloud le fichier se trouve dans /var/www/owncloud/lib/private/user/database.php. Dans le if($row) se trouve 2 return false au lieu de un. Remplir les deux de la même façon.

On passe à présent à la création de la prison Fail2ban dans /etc/fail2ban/filter.d/owncloud.conf

<br />
# Owncloud jail<br />
[Definition]<br />
failregex = <HOST>$

# Owncloud jail

[Definition]

failregex = <HOST>$

On test que la regex match bien. (Effectuez une erreur de login sur l’interface avant)

<br />
fail2ban-regex /var/log/owncloud-fail.log /etc/fail2ban/filter.d/owncloud.conf

1	fail2ban–regex /var/log/owncloud–fail.log /etc/fail2ban/filter.d/owncloud.conf

On ajoute cette prison à la conf dans /etc/fail2ban/jail.conf

<br />
 [owncloud]<br />
 enabled = true<br />
 port = http,https<br />
 filter = owncloud<br />
 logpath = /var/log/owncloud-fail.log<br />
 maxretry = 3