geoip: Einsatz um seine im Netz stehende Raspi vor unberechtigten Zugriffen zu schützen ?

Quote from Der_Imperator

Geh ins Bios deines XP und schalte WoL ab.

ist keine Option

Quote from jar

ist keine Option

Dann lass einfach mal Wireshark mitlaufen wer das Magic Packet schickt ( ist ein UDP Paket was 16x die MAC Adresse enthält, an die Broadcast Adresse des LAN gesendet ). Da es ein Broadcast ist bekommt das jeder Rechner im LAN mit. Evtl. kannst du auch auf einem PI die Ausgabe von TCPDUMP greppen, dann werden die Logfiles kleiner, das habe ich nur noch nie gemacht, war nur eine Idee jetzt.

Irgendwer muss den Rechner ja starten.

Die FB kann so etwas auch, den Rechner einschalten wenn er benötigt wird. Wenn ich heute Abend zu Hause bin schau ich mal nach.

danke, das ist ein guter tipp

ähm, wie mache ich das und wo

auf dem normal abgeschalteten PC , auf den immer laufenden PI?

Ich muss noch mal sehen ob ich alle neuen FB Schalter richtig gesetzt habe

Computer bei jeder Ansprache wecken sollte AUS sein, nur den Compi wecken wenn ich in der FB gezielt aufwachen sage!

Quote from Der_Imperator

Da es ein Broadcast ist bekommt das jeder Rechner im LAN

also der immer laufende PI bekommt das mit? geil!

gibt es whiteshark für PI?

https://packages.debian.org/de/jessie/wireshark

Quote from Der_Imperator

Ausgabe von TCPDUMP greppen,

https://www.google.com/search?…8QuAEIJA&biw=1398&bih=888

da bräuchte ich echt Hilfe

Quote from jar

woher kommt nur dein tiefer Glaube das diese "Sicherheitsupdates" genau nur dieses tun?

Ganz einfach:

• Proprietäre Closed-Source OS (hauptsächlich MS Windows, Teile von Apple macOS):
  • Sicherheitslücke ist bekannt -> Update Patch einspielen -> Erfolg des Patches kann getestet werden

• Freie Open-Source OS (Die meisten Linux-Distis und andere):
  • Wie oben
  • Im Sourcecode nachschauen

Edit: die tatsächliche Lizenz ist ja egal, auf die Verfügbarkeit des Codes kommt es an.

Und ja, manche Patches kommen mit Einschränkungen. Dürften aber die wenigsten sein.

Quote from jar

Bei Atari TOS 1.0 kam das AUS bei genau 128 malloc Aufrufen, es gab die berühmten Bomben, mit TOS 1.4 wurde der Fehler "behoben" es waren dann 1024 malloc Aufrufe möglich und wieder mit Bomben danach. Ein saubermachendes free oder eine garbadge collection gab es nicht.

Das ist aber etwas länger her als gestern oder vorgestern... und auch länger als XP.

Quote from jar

Bei win98se war es ganz langsam erkennbar, mit jedem dieser "Sicherheitsupdates" wurde es ein Stück langsamer bis es nicht mehr arbeitstauglich war und man wechseln musste. Ich kann das beurteilen weil ich es vergleichen konnte von der Erstinstallation bis zuletzt.

Das Microsoft Interesse daran hat, dass du in regelmäßigen Abständen die neuste Version ihres OS erwirbst, ist bekannt? Da steckt halt der Wille Geld zu verdienen dahinter, sei es nun mit Lizenz-Verkäufen oder deinen Daten.

Und mit Verlaub, langsam wir es albern... Du hast ein XP-Kiste mit wohlmöglich 100ten Sicherheitslücken zu Hause stehen, diverse Meinungen dazu und was am besten zu tun ist hast du. Nun mach das draus, was du denkst.

Quote from jar

woher kommt nur dein tiefer Glaube das diese "Sicherheitsupdates" genau nur dieses tun?

... bla

Das habe ich nie behauptet.

EOD für mich.

Quote from Linus

Du hast ein XP-Kiste mit wohlmöglich 100ten Sicherheitslücken zu Hause stehen

stimmt

wenn ich wechseln würde dann zu win7 aber auch da läuft die Unterstützung bald aus, hilft also nicht viel

win8 & 10 will ich nicht, nun ja ich habe noch die Hoffnung das meine Kisten solange leben wie ich oder ich irgendwann keinen Compi mehr mag oder bedienen will.

Quote from Linus

Und mit Verlaub, langsam wir es albern...

sehe ich auch so:

Quote from Linus

Closed-Source OS (hauptsächlich MS Windows, Teile von Apple macOS):

Sicherheitslücke ist bekannt -> Update Patch einspielen -> Erfolg des Patches kann getestet werden

von wem und wird nur der Erfolg getestet und auch was sonst noch so reingepackt wird?

Über sogenannte Hintertürchen erfährt man doch selten oder zu spät oder nie.

Gerade weil:

Quote from Linus

Das Microsoft Interesse daran hat, dass du in regelmäßigen Abständen die neuste Version ihres OS erwirbst

traue ich denen keinen Meter weit, die wollen immer mein Bestes.

Hi jar: ich will das Ganze jetzt nicht aufwärmen, aber Deine Aussagen klingen sehr nach "Wasch mir den Pelz aber mach mich nicht nass" ...

Wenn Du wirklich so paranoid wärst, wie Du schreibst, dann hättest Du auf allen Rechnern nur Open Source Betriebssysteme und würdest Deine Patches selbst compilieren und einspielen.

Und ja ... es gibt solche Menschen. Und nein, die lassen auch ein "ich brauch aber ...." oder "ich will aber ..." nicht gelten und sind da absolut konsequent.

Dieses "ich hätte gern ...", "das mag ich nicht ...", "das will ich nicht ..." ... bringt gar nix und nervt. Ganz zu schweigen davon, dass z.B. dieser Thread mal wieder komplett entgleist ist.

Sei konsequent und steh' zu Deinen Entscheidungen, dann brauchst Du auch nicht dauernd so rumeiern ...

Nix für ungut,

-ds-

Quote from dreamshader

Sei konsequent und steh' zu Deinen Entscheidungen, dann brauchst Du auch nicht dauernd so rumeiern ...

bin ich normalerweise auch, nur ihr macht einen ja paranoid

ich glaube ich lese hier zuviel....

nur das mit dem Wechsel der Fritzbox nun mein XP öfter gestartet ist wundert mich halt.

Ich hänge mich mal an diesen Thread an. Ich habe mir fail2ban und geoip auf meinem Pi2 installiert. Beides läuft wie es soll, denke ich? Wäre top, wenn jemand, bei dem das alles schon läuft mal über meine fail2ban config schauen könnte. Speziell das senden einer Email wenn funktioniert nicht. Denn ich sollte ja auch bei jedem Neustart von fail2ban eine bekommen, was aber nicht passiert.

Hier meine jail.local (die jail.conf habe ich nicht angerührt):

[ssh]

enabled = true
port = 3591
filter = sshd
logpath = /var/log/auth.log
bantime = 3600
#banaction = iptables-allports
action_mwl = iptables[name=ssh, port="ssh", protocol=tcp]
        sendmail-buffered[name=SSH, dest="email@dest.com", sender=email@server.com, sendername="fail2ban"]
findtime = 900
maxretry = 3
logencoding = auto

Das habe ich mir mehr oder weniger so aus dem Netz zusammen gesucht. SSH ist wie man sieht nicht mehr der Standardport. Bei den Email-adressen sind natürlich die entsprechenden eingetragen. Mache ich nun ein

sudo service fail2ban restart

Sollte ich meines wissens eine Email erhalten, bekomme aber nichts. Muss ich noch extra etwas einstellen?

Und noch eine allgemeine Frage: Was gebe ich mit dem Parameter logpath an? Der log der von fail2ban untersucht wird, oder den logpath, wo failban selbst logged? Ich nahm bisher immer an das es ersteres ist.

Bei geoip möchte ich nur Verbindungen aus Deutschland zulassen und habe dementsprechend in uwf's before.rules folgende Zeile ans Ende hinzugefügt:

-A ufw-before-input -p tcp --dport 3591 -m geoip --src-cc DE -m conntrack --ctstate NEW -j ACCEPT

Sollte so passen, oder? Konnte es noch nicht testen.

Vielleicht kann mir hier ja jemand helfen.

BallerNacken

Quote from framp

5. Deine Rule sollte genau invers funktionieren:

Code

-A ufw-before-input -p tcp --dport 3591 -m geoip ! --src-cc DE -j DROP

Evtl. ist es hier besser, schon mit der raw table zu blocken. Dann wird weniger CPU verbraucht:

Quote

... so yes, you con filter packets in the raw table with the benefits of less CPU/memory consumption.

https://unix.stackexchange.com…sing-the-raw-table#244527

Danke für die Ratschläge. Wird morgen (nach dem Fussball) umgesetzt bzw. getestet.

Okay. Also Email versenden klappt bei mir leider nicht. Das liegt aber am versenden selbst, nicht an fail2ban. Ist mir aber erstmal halbwegs egal, da es auf jedenfall funktioniert.

Was genau tuen denn der failregex und der LOG --log-prefix "BLOCK_GEOIP: Command? Zumindest beim zweiten nehme ich mal an, das dieser abgewiesene Verbindungen von Geoip logt? Ich bin mir leider nicht 100%ig sicher wie ich die beiden Zeilen in die jail.conf bzw. jail.local eintrage? Finde die viefalt an Optionen bei fail2ban ziemlich verwirrend.

Quote from BallerNacken

Also Email versenden klappt bei mir leider nicht.

MTA installiert und eingerichtet?

MTA ist in diesem Fall sendmail. Ist auch alles soweit für meine Adresse eingestellt. Nur das Senden von Emails will nicht funktionieren. Ich bin bisher aber noch nicht genau dahinter gekommen, wo das Problem liegt. Führe ich z.B.

/usr/lib/sendmail -v -port 587 email@host.de

aus, erhalte ich zunächste eine Warnung und dann passiert ewig nichts. Es ist noch nie komplett durchgelaufen. Wenn es irgendwie geht, würde ich lieber sendEmail verwenden, denke aber nicht das dies für fail2ban möglich ist. Oder ich weiß zumindest nicht, wie dies gehen würde.

Quote from BallerNacken

Wenn es irgendwie geht, würde ich lieber sendEmail verwenden, denke aber nicht das dies für fail2ban möglich ist.

Eine halbe Sekunde suchen spuckt aus: http://blog.somsip.com/2011/12…ith-sendemail-python-mta/

Nicht getestet.

Quote from Linus

Eine halbe Sekunde suchen spuckt aus: http://blog.somsip.com/2011/12…ith-sendemail-python-mta/

Nicht getestet.

Okay, da war ich defintiv zu doof zu googlen. Ich habe nur jede Menge Ergebnisse zu sendmail bekommen. Mit sendEmail funktioniert es auf Anhieb. Vielen Dank!

Quote from framp

Bitte handelt das mail Problem in einem anderen Thread ab

Fail2ban benutzt regex um Hits in Logfiles zu erkennen. Ich habe das z.B. bei mir so gemacht dass iptables das log tag BLOCK_GEOIP ins Log schreibt und der regex von fail2ban sucht nach diesem Tag, extrahiert daraus die IP und blocked sie dann.

Ja, ich gebe Dir recht. Ist ja jetzt geklärt mit den Emails.
Gut, dann werde ich die regex für GeoIP mal einbauen.