In diesem Tutorial können wir verschiedene Methoden zur Deaktivierung des LFD-Alarms bei übermäßiger Ressourcennutzung prüfen.
Bitte unterstützt meine Arbeit
Login Failure Daemon (LFD) ist ein Daemon-Prozess, der auf VPS- oder Dedicated-Servern läuft, die Config Server Firewall (CSF) für die Serversicherheit verwenden. LFD scannt die Serverprotokolle und sendet jedes Mal eine Benachrichtigung, wenn der Prozess mehr Speicher verbraucht oder mehr Zeit in Anspruch nimmt als der in Ihrer CSF-Konfigurationsdatei zugewiesene Wert. LFD betrachtet kürzlich fehlgeschlagene Anmeldeversuche als “Brute-Force-Angriffe” und blockiert diese IPs mit CSF. CSF ist ein Firewall-Konfigurationsskript, das häufig in cPanel verwendet wird. Es wird verwendet, um eine bessere Sicherheit und Pflege für Ihren Server zu gewährleisten. Seine fortschrittliche und leicht zu bedienende Oberfläche ermöglicht eine einfache Verwaltung der Server-Firewall. Sie können die Firewall Ihres Servers so konfigurieren, dass der öffentliche Zugang zu den Diensten blockiert und nur bestimmte Verbindungen zugelassen werden.
Eine Brute-Force-Attacke ist eine Methode, um an Informationen wie ein Benutzerkennwort oder eine persönliche Identifikationsnummer (PIN) zu gelangen. Brute Force Attack ist eine gängige Methode, die von Hackern verwendet wird, um die verschlüsselten Daten zu knacken. Die vom Hacker verwendete Software generiert aufeinanderfolgende Vermutungen über die gewünschten Daten. CSF ist in der Lage, diese Art von Hacking-Versuchen mit Hilfe von LFD zu erkennen und sperrt die IPs vorübergehend für den Zugriff auf den Server. Wenn die temporär gesperrten IPs für schuldig befunden werden, dann können Sie sie mit CSF dauerhaft sperren. Alle diese Aktionen werden in der CSF-Konfiguration verwaltet. Sie können auf die CSF-Konfiguration in CWP zugreifen, indem Sie die folgenden Schritte ausführen.
1) Melden Sie sich in Ihrem CWP an
2) Gehen Sie auf Security >> wählen Sie CSF Firewall
3) Wählen Sie Firewall-Configuration
LFD-Warnung bei übermäßiger Ressourcennutzung
Der LFD-Dienst sendet Warnungen bei übermäßiger Ressourcennutzung an die ihm zugewiesene E-Mail-Adresse, normalerweise an das root-Benutzerkonto. Diese Benachrichtigung weist auf einen bestimmten Prozess oder Dienst hin, der übermäßig viele Serverressourcen verbraucht. Dies hilft bei der Identifizierung des ressourcenfressenden Prozesses/Dienstes. Wir können den Prozess/Dienst entweder beenden/anhalten, um die Ressourcen freizugeben, oder ihm mehr Ressourcen zuweisen, falls erforderlich.
Beispiel für eine E-Mail-Benachrichtigung von LFD, wenn der Speicher überschritten wird:
—Time: So Feb 28 11:25:10 2021
—Account: xxxxxx
—Resource: Virtual Memory Size
—Exceeded: 205 > 200 (MB)
—Executable: /usr/bin/php
—Command Line: /usr/bin/php /home/xxxxxx/public_html/index.php
—PID: 26953 (Parent PID:24974)
—Killed: NoDiese Warnung wird von LFD gesendet, wenn ein Prozess mehr Speicherressourcen verwendet als in der CSF-Konfigurationsdatei definiert.
Beispiel für eine E-Mail-Benachrichtigung von LFD, wenn die Zeit überschritten wird:
—Time: So Feb 28 11:25:10 2021
—Account: xxxxxx
—Resource: Virtual Memory Size
—Exceeded: 125389 > 1800 (seconds)
—Executable: /usr/bin/php
—Command Line: /usr/bin/php /home/xxxxxx/public_html/index.php
—PID: 28429 (Parent PID:26561)
—Killed: NoDiese Warnung wird von LFD gesendet, wenn ein Prozess mehr Zeit für die Ausführung benötigt als in der CSF-Konfigurationsdatei definiert.
Das Deaktivieren dieser Alarme ist keine gute Methode. Diese E-Mail-Benachrichtigungen sind sehr nützlich bei der Überwachung der Nutzung von Serverressourcen durch die Benutzerkonten. Wenn Sie feststellen, dass dieser bestimmte Prozess/Dienst notwendig ist, können Sie ihn für die weitere Nutzung der Serverressourcen aktivieren und die LFD-Benachrichtigungen deaktivieren. Sie können die LFD-Benachrichtigungen über übermäßige Speichernutzung mit drei Methoden deaktivieren. Jede Methode wird im Folgenden erläutert. Sie können entweder über CWP oder Terminal auf die CSF-Konfiguration zugreifen.
Methode 1
Diese Methode deaktiviert solche Meldungen komplett, es ist keine zu empfehlende Methode da sie Sicherheitsrisiken mit sich bringt.
1) Melden Sie sich in Ihrem CWP an
2) Gehen Sie auf Security >> wählen Sie CSF Firewall
3) Wählen Sie Firewall-Configuration
4) Suchen Sie nach den unten stehenden Einstellungen und setzen Sie diese auf 0
PT_USERMEM = 0
PT_USERTIME = 0
5) Speichern Sie die Datei.
Methode 2
Bei dieser Methode werden wir die Werte für Speicher und Zeit erhöhen, um die LFD-Warnungen zu deaktivieren. Diese Methode ist eine temporäre Methode. Wenn ein Prozess/Dienst mehr Ressourcen als definiert verwendet, erhalten Sie weiterhin die LFD-Warnungen.
1) Melden Sie sich in Ihrem CWP an
2) Gehen Sie auf Security >> wählen Sie CSF Firewall
3) Wählen Sie Firewall-Configuration
4) Erhöhen Sie die Werte für PT_USERMEM und PT_USERTIME nach Ihren Wünschen.
PT_USERMEM = 500
PT_USERTIME = 150000
5) Speichern Sie die Datei
Methode 3
Diese Methode ist eine Standardtechnik, um die LFD-Alarme zu deaktivieren. Bei dieser Methode wird der bestimmte Prozess/Dienst in die Pignore des CSF aufgenommen. Die Pignore des CSF ignoriert den bestimmten Prozess/Dienst, der darin enthalten ist, und deaktiviert somit die LFD-Alerts.
1) Melden Sie sich als Root per SSH in Ihrem Server ein.
2) Mit einem beliebigen Editor die pignore von CSF öffnen. Diese liegt bei CWP hier /etc/csf/csf.pignore
3) Fügen sie den Command Line (CMD) Pfad welcher in der Alarm Mail enthalten ist in die pignore Datei von CSF ein.
BSP:
cmd:/usr/sbin/amavisd
4) Speichern Sie die Datei.
Wenn Sie die Durchführung dieser Methoden abgeschlossen haben, wird der LFD-Alarm für übermäßige Ressourcennutzung deaktiviert.