# Limitar el numero de intentos de login en lighttpd

## Arctic

Hola ,

Tengo un servidor dedicado con lighttpd , el acceso a todo el contenido web esta protegido como el modulo auth , de modo que piede usuario y contraseña .

El problema es que si le das a aceptar o los datos son erroneos te permite acceder indefinidamente y seguir intentandolo , lo cual me parece peligroso para un ataque de fuerza bruta con diccionario.Apache lo hace correctamente hay algun modo de hacerlo en lighttpd ????

Salu2

----------

## Stolz

Me suena haber visto que net-analyzer/fail2ban incluye reglas para lighttpd. fail2ban sirve para bloquear el acceso a nivel de red, mucho más eficiente.

----------

## Arctic

 *Stolz wrote:*   

> Me suena haber visto que net-analyzer/fail2ban incluye reglas para lighttpd. fail2ban sirve para bloquear el acceso a nivel de red, mucho más eficiente.

 

Si , ya esta resuelto, existe una opcion para lightttpd , pero al final he optado por usar apache ya que hay mas posibilidades en el jail.conf del fail2ban Hay que hacer una serie de modificaciones en el filter.d de apache y en el jail.conf para que detecte la autentificacion por digest y banee por iptables y no con tcp wrapper , por lo que he leido apache no puede usar el deny del tcwraper.

Los scripts para ssh tambien son muy interesantes para ataques de fuerza bruta.

Un saludo

----------

