Oosterhout, 19 november 2020.

Security van Odoo omgevingen

Veel van onze klanten gebruiken Odoo, een Open Source ERP pakket met zeer uitgebreide functionaliteit  en met wereldwijd miljoenen gebruikers. Glasswall is al acht jaar gespecialiseerd in Odoo security.

Wij krijgen regelmatig de vraag om de security van hosted Odoo omgevingen te analyseren en advies te geven over mogelijke verbeteringen.

Een goede manier om Odoo omgevingen die aan het internet hangen te beveiligen, is het inzetten van Fail2Ban. Wij hebben een specifieke Fail2Ban policy voor Odoo omgevingen ontworpen die we aan de Odoo community ter beschikking hebben gesteld.

Wat is Fail2Ban?

Fail2ban is Open Source Intrusion Detection and Prevention software. Het werkt doordat het logs monitort op gedragingen die kunnen duiden op kwade bedoelingen. Als er mogelijk misbruik wordt geconstateerd regelt Fail2Ban dat er automatisch firewallregels tegen de kwaadwillende bezoekers van uw website worden ingezet.

Hoe kan Fail2Ban uw Odoo beschermen?

Fail2Ban kan helpen om Odoo te beschermen door te controleren op aantal foutieve logins, probeert iemand te vaak in te loggen dan wordt deze gebruiker tijdelijk geblokkeerd. Hiermee bescherm je de Odoo installatie tegen bruteforce aanvallen door hackers.

Ook ongewenst browsegedrag kan worden gesignaleerd en aangepakt. Hackers gebruiken vaak geautomatiseerde scansoftware om te analyseren of uw website vatbaar is voor exploitatie van kwetsbaarheden. Die hacking software test een hele reeks met url’s en de hackers gaan vervolgens aan de slag met de resultaten die door uw server worden teruggezonden.

Fail2Ban kan vroegtijdig dit soort scans ontdekken en daar slim op reageren, de aanvaller wordt dan voor een bepaalde tijd helemaal geweerd van uw server waardoor hun scans geen relevante informatie aan de aanvaller geven.

Hoe installeer ik Fail2Ban met de Odoo filters op mijn server?

Allereerst installeer je Fail2Ban met:

sudo apt-get update

sudo apt-get upgrade

sudo apt-get install fail2ban

Let op! Het is wenselijk om Odoo te laten loggen naar syslog omdat syslog de huidige systeemtijd gebruikt en Odoo default met de UTC standaard logt. 

In de /etc/odoo-server.conf zet je dan “syslog = true”

Odoo opnieuw starten om deze setting effectief te maken.

Je kunt Fail2Ban policies voor Odoo downloaden door onderstaande uit te voeren in je home directory:
git clone https://github.com/www-glasswall-nl/odoo-fail2ban.git

Plaats de filter bestanden op de juiste locatie door:
sudo cp ./odoo-fail2ban/o*.conf /etc/fail2ban/filter.d

Controleer in het bestand ~/odoo-fail2ban/add_to_jail.local of alle settings naar wens zijn ingesteld.

Let op! Om te voorkomen dat je jezelf per ongeluk buitensluit plaats je in de regel “ignoreip” de IP adressen die juist niet buitengesloten mogen worden.

Kijk in de /etc/fail2ban/ directory of het bestand jail.local aanwezig is, als dit het geval is voer dan het volgende commando uit:
sudo cat ~/odoo-fail2ban/add_to_jail.local >> /etc/fail2ban/jail.local

Bestaat het bestand niet dan voer je dit commando uit :
sudo cat ~/odoo-fail2ban/add_to_jail.local >> /etc/fail2ban/jail.conf

Na een tweede herstart zijn de security policies voor Odoo meteen werkzaam in Fail2Ban en is je Odoo installatie weer een stuk veiliger.

Meer achtergrondinformatie:

Glasswall heeft de Fail2Ban policies op github staan op deze locatie:
https://github.com/www-glasswall-nl/odoo-fail2ban

Hulp nodig?

Heb je vragen over de security van je Odoo omgeving, neem dan contact op met onze specialisten via 088 – 627 01 00.