geoip: Einsatz um seine im Netz stehende Raspi vor unberechtigten Zugriffen zu schützen ?

  • Ok, weiter runter als 3.5 möchte ich nicht gehen. Hier sind die Änderungen, mit 3.5 sollte es jetzt bei dir gehen ;)


    f-Strings sind einfach super und das letzte Feature brauche ich für die neuere Version des NamedTuples mit type annotations (als Klasse). Wie gesagt, 3.6.4 ist bei mir die Standard-Python-Version.


    So, dann nochmal viel Erfolg :cool:

  • Mach doch einen branch für die Python Grufties auf :lol:


    Als Vorausetzung steht da 3.5+ ;)


    Anyhow ... So habe ich mich mal mit virtualenv beschäftigen müssen. Nettes Feature.

    "Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds, 28.9.2003


    Hast Du die Woche schon Deine Raspberry gesichert =O Bei mir tut das raspiBackup automatisch ;)

  • :thumbup:Jetzt läuft es. Danke. Ich musste allerdings noch zwei Zeilen bei mir ändern in log_reader.py bevor die Logdaten eingelesen wurden:

    Jetzt muss ich nur noch den regex zusammenbauen. Der passt bei mir irgendwie nicht :no_sad: Ich muss mich ja beeilen denn

    Quote

    "__deprecation_message__": "This API endpoint is deprecated and will stop working on July 1st, 2018. For more information please visit: https://github.com/apilayer/freegeoip#readme",


    PS: Interessant was sich so alles bei Python 3 getan hat. Wie gesagt ist mein Stand noch 2.7. Die Type Annotations gefallen mir besonders.

    "Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds, 28.9.2003


    Hast Du die Woche schon Deine Raspberry gesichert =O Bei mir tut das raspiBackup automatisch ;)

  • ... oder sind Euch die Tuerruettler egal?


    Genau das. Ich sehe das so: wenn ein Einbrecher in einer Nachbarschaft an 50 Türen rüttelt, wird er vielleicht die eine finden, die offen ist. Darauf hoffen die bösen Buben auch bei dieser Vorgehensweise. Wenn du einen Profieinbrecher hast, wird dieser aber in so gut wie alle der 50 Türen kommen.


    Ich bin immer noch der Meinung, dass eine solide Härtung mit den von dir beschriebenen Mitteln der richtige Weg ist. Das einzige Mal dass ich erlebte dass ein Grundrauschen einen Rechner komprimitiert hat war ein human error in dem ein Telnet-Port an einem Enterprise-Switch per default geöffnet war und mit den hersteller-üblichen Standard-Login-Daten binnen 5 Minuten (!) übernommen wurde.


    Die größere Gefahr geht IMO von Cross-Site-Scripting, SQL-Injections (bedingt veralteter Software) oder Schweinereien mit XML aus. Ich habe auch schon Open Source Virtualisierungslösungen wie bspw. Proxmox erlebt welches die SSH-Konfig eigenständig manipuliert und Root-Login erlaubt. Übel.


    Zum Absichern meiner Server nutze ich ebenfalls Fail2Ban, eine DMZ, keine Passwort-Logins sondern nur SSH-Key-Authentifizierung mit Hardware-Token und einen statischen Netzbereich (besitze ein kleines /29 IPv4-Netz) welcher Zugriff auf die Server hat. Der rest wird als bogus behandelt.


    Ich bin übrigens kein Verfechter von Ändern von Standard-Ports und erlaube auch Root-Login. Das ersetzt keine vernünftige Absicherung eines von Außen erreichbaren Rechners.

    “Don’t comment bad code - rewrite it.”

  • Sodele ... ich habe jetzt auch meine GEOIP Daten drin :)


    Musste noch den regex an das /var/log/syslog Format anpassen und dementsprechend gibt es noch kleine Änderungen im Python Code dazu.


    Linus Herzlichen Dank fuer Deinen Code :thumbup:Ich kann meine Änderungen gerne in einen branch stecken und Dir einen PR stellen wenn Du willst.



    Der dicke schwarze Punkt in der Mitte der USA ist derjenige der mehrere tage bei mir anklopfte. Da ich dann ihn irgendwann ganz aussperrte fehlen natuerlich Logs die den Punkt noch wesentlich schwaerzer gemacht haetten.

    "Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds, 28.9.2003


    Hast Du die Woche schon Deine Raspberry gesichert =O Bei mir tut das raspiBackup automatisch ;)

  • Der dicke schwarze Punkt in der Mitte der USA ist derjenige der mehrere tage bei mir anklopfte. Da ich dann ihn irgendwann ganz aussperrte fehlen natuerlich Logs die den Punkt noch wesentlich schwaerzer gemacht haetten.


    Was sagt denn ein whois auf die IP? Wenn er dir länger auf die Nerven geht, kannst du gerne auch mal dem verantwortlichen Netzbetreiber kontaktieren.

    “Don’t comment bad code - rewrite it.”

  • Wenn er dir länger auf die Nerven geht, kannst du gerne auch mal dem verantwortlichen Netzbetreiber kontaktieren.

    Hatte ich auch schon in Erwägung gezogen. Aber er hat nach ca 3 Tagen aufgehört.


    Linus Ein API wird es weiterhin kostenlos geben. Nur muss man sich einmal registrieren und das andere API benutzen.

    sls XSS ist boese und da muss man sich auf die Qualitaet der Server-SW verlassen.

    "Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds, 28.9.2003


    Hast Du die Woche schon Deine Raspberry gesichert =O Bei mir tut das raspiBackup automatisch ;)

  • Funktioniert perfekt. Mir war nur erst der Change von regex_ request nach request_regex entgangen und deshalb kam bei mir auch erst keine IP aus dem Scanner :-/ Dadurch dass Du nun die DefaultConfig mergest mit dem UserConfig tritt auch kein Runtimefehler auf weil der regex nicht fehlt. Nur wird eben dann der falsche benutzt.


    Da kann man sicherlich noch Plausibilitaetstests einbauen :shy:. Aber das kann zu einer nahezu unendlichen Geschichte werden wenn man ein kleines Programm was man fuer sich selbst geschrieben hat foolproof fuer andere Benutzer machen will. Frag nicht was es fuer ein Aufwand war das fuer raspiBackup halbwegs hinzubekommen <X

    "Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds, 28.9.2003


    Hast Du die Woche schon Deine Raspberry gesichert =O Bei mir tut das raspiBackup automatisch ;)

  • OT: Du tippst auf einer englischen Tastatur?!

    Du nicht? Mit einer deutschen Tastatur wirst Du ja beim Proggen jeck mit dem ALTGR Geraffel :mad_GREEN:. Ist vielleicht in Python nicht ganz so schlimm weil es da keine geschweiften Klammern fuer die Bloecke gibt. Aber selbst da sind die eckigen Klammern nur per ALTGR zu erreichen. Tilde und Klammeraffe ebenso.

    "Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds, 28.9.2003


    Hast Du die Woche schon Deine Raspberry gesichert =O Bei mir tut das raspiBackup automatisch ;)

  • Na hör mal, JS und C# machen ebenfalls einen großen Anteil aus, ud das bedeutet: {} :lol:

    Eine Woche müsste ich mal auf einer englischen Tastatur tippen, weil nichts anderes da war. Ansonsten bin ich an das deutsche Tastaturlayout gewöhnt (und kann auch die Sonderzeichen relativ schnell und blind tippen), und für die Umstellung bräuchte ich natürlich eine Weile. Ist aber bestimmt keine schlechte Idee...

  • Stimmt. Sowohl JS als auch C# sind nicht auf meinem Radar :shy:


    Fuer die Umstellung braucht man ein wenig - aber es lohnt sich. Mehrere andere Zeichen brauchen dann auch kein zusaetzlichen Shift da die drei Umlauttasten frei sind.

    "Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds, 28.9.2003


    Hast Du die Woche schon Deine Raspberry gesichert =O Bei mir tut das raspiBackup automatisch ;)

  • Immer wieder sah ich im Log Zugriffsversuche aus CN, SU, US, SG, IN, ... - ca 1-2 pro Tag - obwohl mein Server nur ganz bestimmten Personen bekannt ist. Klar, da scannt jemand IP Ranges nach offenen Ports und findet dann auch meinem offenen SeafilePort.....Aber ich finde es trotzdem sinnvoll geoip zu aktivieren und damit die Tuerruetteler auszusperren.

    Empfindet Ihr aehnlich und schuetzt Ihr Eure im Netz stehende Raspis aehnlich oder sind Euch die Tuerruettler egal?


    Ich verstehe zu wenig von der Materie.

    Ich dachte immer hinterm DSL Router sind meine Geräte relativ sicher.

    Seit dem ich den DSL Router wechseln musste von Fritzbox 3270 auf 7580 überrascht mich mein winXP PC öfter morgens eingeschaltet WoL vermute ich.


    Keine Ahnung was da los ist, ich glaube ich muss erst mal ein Programm installieren wann der WoL bekommt und dann irgendwie rausbekommen warum.

    Hat jemand eine Idee?

    lasst die PIs & ESPs am Leben !
    Energiesparen:
    Das Gehirn kann in Standby gehen. Abschalten spart aber noch mehr Energie, was immer mehr nutzen. Dieter Nuhr
    (ich kann leider nicht schneller fahren, vor mir fährt ein GTi)

  • Ich dachte immer hinterm DSL Router sind meine Geräte relativ sicher.

    Seit dem ich den DSL Router wechseln musste von Fritzbox 3270 auf 7580 überrascht mich mein winXP PC öfter morgens eingeschaltet WoL vermute ich.


    Keine Ahnung was da los ist, ich glaube ich muss erst mal ein Programm installieren wann der WoL bekommt und dann irgendwie rausbekommen warum.

    Hat jemand eine Idee?


    Deine Geräte `hinter` der Fritzbox sind so sicher, wie AVM meint seine Blackbox für Enduser konfigurieren zu müssen. Jeder der erstmals ein Gateway so konfiguriert, dass er es nach extern absichern muss bekommt zu spüren, was das heimische Netz so alles von außen bombadiert. Ich kenne mich mit Windows nicht aus, aber soweit ich weiß ist der Support für XP eingestellt? Dein Router kann noch so sicher sein, wenn ein Client nach außen hin ein Scheunentor öffnet.


    Dass Geräte ein WoL-Device "wecken" kann viele Ursachen haben (z.B. Pakete die verunglückt an deinem WoL-Endpoint terminieren).

    “Don’t comment bad code - rewrite it.”

  • aber soweit ich weiß ist der Support für XP eingestellt?

    und? mich stört das nicht zumal dieser "support" wie schon bei win98se nur einen Zweck hatte, es unbedienbar zu machen, mit jedem "update" wurde es ein Stück lahmer bis man wechseln musste. Verbesserungen habe ich nie gesehen.


    Dein Router kann noch so sicher sein, wenn ein Client nach außen hin ein Scheunentor öffnet.

    nun ja, es ist genauso konfiguriert wie mit der alten FB nur da trat das nicht auf.

    Ich habe alle Hostnamen geändert, alle Passwörter.

    Nur noch nicht alle Ports, ansonsten verstehe ich dein Posting nicht wirklich, ja es sind Geräte nach aussen offen, das war der Sinn das ich von aussen zugreifen kann.

    lasst die PIs & ESPs am Leben !
    Energiesparen:
    Das Gehirn kann in Standby gehen. Abschalten spart aber noch mehr Energie, was immer mehr nutzen. Dieter Nuhr
    (ich kann leider nicht schneller fahren, vor mir fährt ein GTi)