Authentifizierung - Max. Anmeldeversuche

G

gene6ftpuser1

Gast
Hallo an alle da draußen ;)

Ich habe eine Frage zu meinem FTP-Server "Gene 6".

In den Domain-Einstellungen befindet sich ja der Bereich "Authentifizierung". Die Umleitung bei falschem Login funktioniert, ebenso die Verzögerung bei fehlerhaftem Login. Nun kommen wir zu dem Problem: Der Reiter "Max. Anmeldeversuche" hat bei mir offensichtlich keine Auswirkung.

Ich habe "max. Anmeldeversuche" auf 3 eingestellt. Zum Test melde ich mich 3 mal falsch an (gebe falsches Passwort ein). Um sicherzugehen melde ich mich ein viertes mal falsch an. Beim 5ten mal gebe ich nun mein richtiges Passwort an - und kann mich verbinden. Das dürfte laut meiner Einstellung aber gar nicht gehen, da ich mich ja schon zu oft falsch angemeldet habe. Warum wird mein Account also nicht deaktiviert?

Ich benutze die Standard-Authentifizierung und keine alternative Authentifizierungsmethode.

Vielen Dank im Vorraus für viele hilfreiche Antworten, euer gene6ftpuser1 ;)
 
Danke für die schnelle Antwort ;)

Die Möglichkeit gibt es natürlich. Aber für mich wäre es interessant, ob dieses Problem bei mehreren Leuten auftritt. Ist mein Server defekt? Was schafft Abhilfe? Die neueste Version ist bereits installiert ... ;)

mfg gene6ftpuser1
 
Wenn ich mit meiner Vermutung richtig liege ist das kein Server Problem. ;)

Du bist beim eintippern der Daten zu langsam - deshalb die Timeout erhöhung. :D
 
Ich habe soeben den Tip mit der längeren Antwortzeit bei falschem Login probiert - leider keine Lösung. Auch wenn ich mich 4mal falsch anmelde und auf die Antwort 120 Sekunden lang warte, werde ich nicht gesperrt.

Anti Hammering ist deaktiviert, aber das ist ja was anderes, oder? Anti-Hammering schützt ja vor Attacken (z.B. Bruteforce) und dass das falsche Eingeben eines Passworts einen Account sperrt ist ja was anderes, oder?

mfg gene6ftpuser1
 
Jetzt hab ich auch kapiert was du willst.

Nein, es gibt keine Möglichkeit der Automatischen und dauerhaften Deaktivierung von Benutzerkonten.

Wäre diese Funktion Vorhanden, könnte ein Böser Junge den ganzen Server Killen.

Was du stattdessen nutzen solltest ist Anti-Hammer und nach IP Sperren.
 
Stimmt, daran habe ich jetzt gar nicht gedacht. Da könnte ja dann jeder meine Accounts sperren. Danke für die Antwort :)

Bleibt die Frage, zu was diese Einstellung denn nun gut ist. Mich würde das aus reiner Neugier interessieren, denn je besser man seine Software kennt, desto besser kennt man auch Sicherheitsrisiken.

In der Hilfe steht zu "Max. Anmeldeversuche": Wenn ein Benutzer in der selben Sitzung zu oft versucht sich Anzumelden, wird er gesperrt.

Meine Frage: Wie kann man sich mehrmals in einer Sitzung anmelden? Ich kann mich ohne Probleme mit meinem Benutzer "test" gleichzeitig mit dem selben Benutzernamen mehrmals anmelden, also bedeutet die oben genannte Einstellung doch noch was anderes :)

mfg gene6ftpuser1
 
Okay. Danke für die Links ;)

Wie aber kann ein Benutzer sich in der selben Sitzung mehrmals anmelden? Wie sieht dieses Szenario aus?

mfg gene6ftpuser1
 
Ich verweise nochmals auf das Handbuch.

Beim lesen wird man nicht automatisch zum Gene6 Experten, sieht aber was der Server kann und weiß wo man reinschaun muss um das Szenario nachzuvollziehen. ;)

Wie aber kann ein Benutzer sich in der selben Sitzung mehrmals anmelden?

Das naheliegendste wäre im entsprechenden Benutzerkonto unter maximale Verbindungen zu schauen.

+ Übergeordnete Einstellungen pro Domain

Sorry wenn das jetzt etwas Unfreundlich rüberkommt, aber wir haben uns damals nicht 3 Wochen lang hingesetzt um für uns ein Nachschlagewerk zu haben. Auch nicht um den Inhalt den Leuten wiederholt vorzukauen.

Und Brummelchen hat vom Handbuch ein PDF als Gute Nacht Lektüre gebaut. :)
 
Hey ;)

Na klar habe ich das Handbuch gelesen. Anhand von dem habe ich ja schließlich den Server eingerichtet (ein paar Posts weiter oben zitiere ich ja schließlich auch daraus). Ich finde aber, es ist legitim, wenn man trotz Lesen der entsprechenden Stellen im Handbuch eine Frage stellen kann, wenn es noch Fragen gibt. Das ist dann nicht Vorkauen des Inhalts, sondern besprechen einer Lösung auf eine Frage, die trotz Lesen des Handbuchs noch im Raum steht :)

Ich versuche nochmals, den Sachverhalt so gut wie möglich zu erklären:

Im Benutzerkonto stehen im Bezug zur Anmeldung die Standardeinstellungen (max. Anzahl Clients/max. Verbind. je IP steht auf Unendlich). So weit so gut. Diese Einstellung verstehe ich. Ich kann mich parallel auf dieses Konto in jeder Form mehrfach anmelden - so das Handbuch). Das waren die relevanten Einstellungen im Benutzerkonto :)

Domain-Einstellungen: max. Anzahl Clients: Begrenzung der gleichzeitigen Verbindungen für diese Domain.
max. Verbindungen pro IP: Begrenzung der maximalen Anzahl gleichzeitiger Verbindungen von einer IP-Adresse.
Beides steht hier auf unbegrenzt. Hat ja auch mit einem speziellen Benutzerkonto wenig zu tun, es geht ja allgemein um die Domain.

Zum Schluß noch die wichtigste Einstellung: Authentifizierung/max. Anmeldeversuche. Hier habe ich 3 eingetragen. In jedem Fall müsste die Domaineinstellung die Benutzerkonteneinstellung überschreiben.Es heißt: "Wenn ein Benutzer in der selben Sitzung zu oft versucht sich Anzumelden, wird er gesperrt.". Für mich heißt das übersetzt, wenn ein Benutzer sich mit dem gleichen Account mehrmals anmeldet, obwohl er schon angemeldet ist (= In der gleichen Sitzung), wird eine weitere Anmeldung nicht möglich gemacht. Das funktioniert aber nicht: Ich kann mich parallel mit dem gleichen Benutzer mehrmals anmelden. In den Konteneinstellungen will ich es so. Aber in den Domaineinstellungen verbiete ich es. Es geschieht aber trotzdem. Und das ist die Frage: Warum. Wo ist mein Denkfehler?

mfg gene6ftpuser1
 
Ich geb einfach mal den relevanten teil meiner Konfig.

Domain -> Properties -> Options

Max Clients: 10
max connections per IP: 5
(erlaube maximal x Verbindungen pro IP (weniger als 2 ist nicht gut))

Domain -> Properties ->Authentication

max Login secuences: 3
delay: 3 sec.
Redirect: Anonymous
(Mit diesen Einstellungen wird JEDER fehlerhafte Login zu einem Erfolgreichen - aber als Benutzer Anonymous)

Domain -> Properties -> misc

Anti Hammering: Enable
Reset on Login: Enable
Ban IP: 10 : 10 : 30
(Sperre die Client IP für 10 Minuten bei 10 Anmeldeversuchen innehalb von 30 Sec. )

Domain -> Users -> <Username> -> Misc

Idletimeout: 2 Min
Sessiontimeout: disabled
Max Clients: unlimited / Bypass: disabled
Max Connects per IP: 2 / Bypass: disabled
(erlaube diesem Benutzer maximal x Verbindungen pro IP (weniger als 2 ist nicht gut))
 
Hey :)

Danke für die Antworten. Dass die Benutzereinstellungen die Domaineinstellungen aushebeln stellt jetzt einen neuen Sachverhalt dar. Natürlich kann ich so nie ein Szenario erstellen, bei dem eine Anmeldung bei 3 Clients auf dem gleichen Benutzer gesperrt wird, wenn die Benutzereinstellung sagt: "unbegrenzt".

Danke für eure Hilfe ... und weiter so :)

--- closed ---
 
Oben