[Gelöst] Raspberry PI Login

tfriedrich85 · 05 Februar 2020, 19:35:25

Hallo zusammen,

ich verwende bereits seit 2 Jahren Fhem auf einem Raspberry PI und arbeite über SSH am System.
Seit ungefähr 8 Wochen besteht das Problem, dass ich nach ein paar Tagen ohne Änderungen am System beim Loginversuch über SSH ein Login denied bekomme und ich deshalb nicht mehr am PI anmelden kann. Um einen Eingabefehler zu umgehen haben ich beim letzten Reset auf ein sehr einfaches Passwort geachtet. Einen Eingabefehler schließe ich deshalb aus.
Hat jemand schonmal ein ähnliches Verhalten beobachtet?
Fhem läuft weiterhin ohne Probleme auf dem System.....

Danke euch.

Gisbert · 05 Februar 2020, 20:50:28

Hallo tfriedrich85,

ich hab so was noch nie beobachtet.
Bist du dir sicher, dass du keine Heinzelmännchen in deinem Netzwerk hast? Wie kommst du auf den Server, wenn du keinen Zugriff mehr hast?
Ich bin kein Linux-Fachmann, aber warum gibt es ein Passwort, falls irgendwer (?) es einfach zurücksetzen könnte?
In der Hoffnung, dass dir jemand mit Kenntnis helfen kann.
Viele Grüße Gisbert

Wernieman · 05 Februar 2020, 20:53:11

ist der Pi bei Problemen grundsätzlich zu erreichen (ping, html)?
Ist er Extern erreichbar (Sicherheitsfrage)?

Was steht in den Logfiles?

amenomade · 05 Februar 2020, 20:53:56

Was sagt

Code Auswählen

sudo journalctl -u ssh?

Otto123 · 05 Februar 2020, 20:56:09

Hi,

oder was sagt

Code Auswählen

{qx(df -h)}

Oder SD Card kaputt?

Gruß Otto

MadMax-FHEM · 05 Februar 2020, 21:04:49

Zitat von: Otto123 am 05 Februar 2020, 20:56:09
Hi,

oder was sagt
Code Auswählen Erweitern
{qx(df -h)}

Oder SD Card kaputt?

Gruß Otto

An das hab ich auch schon gedacht...

Hatte ähnliches (weiß nicht mehr, ob auch denied) da war die Karte voll...
Irgendwas hat angefangen wie bekloppt zu loggen...

Musste die SD rausnehmen und Logs löschen...
...dann ging's wieder...

Und nat. das abstellen was so geloggt hat...

Gruß, Joachim

tfriedrich85 · 06 Februar 2020, 08:56:17

Hallo Otto,

Zitat von: Otto123 am 05 Februar 2020, 20:56:09
Hi,

oder was sagt
Code Auswählen Erweitern
{qx(df -h)}

Oder SD Card kaputt?

Gruß Otto

hier die Antowrt:

Filesystem Size Used Avail Use% Mounted on
/dev/root 29G 2.1G 26G 8% /
devtmpfs 459M 0 459M 0% /dev
tmpfs 464M 0 464M 0% /dev/shm
tmpfs 464M 13M 451M 3% /run
tmpfs 5.0M 4.0K 5.0M 1% /run/lock
tmpfs 464M 0 464M 0% /sys/fs/cgroup
/dev/mmcblk0p1 253M 53M 200M 21% /boot
/dev/sda1 7.5G 559M 7.0G 8% /media/usbdisk
tmpfs 93M 0 93M 0% /run/user/1000

Das sieht doch gut aus...

tfriedrich85 · 06 Februar 2020, 09:05:10

Zitat von: Wernieman am 05 Februar 2020, 20:53:11
ist der Pi bei Problemen grundsätzlich zu erreichen (ping, html)?
Ist er Extern erreichbar (Sicherheitsfrage)?

Was steht in den Logfiles?

Hallo,
ich habe mittels folgender Anleitung das Passwort zurückgesetzt: https://howtoraspberrypi.com/recover-password-raspberry-pi/
und habe jetzt wieder SSH Zugriff!

@Otto: sudo journalctl -u ssh
zeigt mir nur meine verweigerten Zugriffe von gestern und heute. Wie komme ich den in der History weiter zurück?

Mit dem Befehl bekomme ich jede Menge verweigerte Zugriffe:
grep 'sshd.*Invalid' /var/log/auth.log

Code Auswählen


...
...
...

Feb  5 14:57:00 raspberrypi sshd[23027]: Invalid user check from 50.206.25.110 port 60926
Feb  5 15:12:05 raspberrypi sshd[23479]: Invalid user rist from 50.206.25.110 port 37226
Feb  5 15:27:03 raspberrypi sshd[23938]: Invalid user guest from 50.206.25.110 port 41652
Feb  5 15:36:51 raspberrypi sshd[24248]: Invalid user ubnt from 36.85.206.121 port 59659
Feb  5 15:42:04 raspberrypi sshd[24404]: Invalid user jariko from 50.206.25.110 port 46144
Feb  5 15:46:52 raspberrypi sshd[24550]: Invalid user oracle from 51.38.130.198 port 38024
Feb  5 15:47:03 raspberrypi sshd[24558]: Invalid user mysql from 51.38.130.198 port 41666
Feb  5 15:57:06 raspberrypi sshd[24859]: Invalid user hplip from 50.206.25.110 port 50764
Feb  5 16:12:06 raspberrypi sshd[25299]: Invalid user lyashok from 50.206.25.110 port 55452
Feb  5 16:27:13 raspberrypi sshd[25773]: Invalid user dragonfly from 50.206.25.110 port 60340
Feb  5 16:42:23 raspberrypi sshd[26211]: Invalid user web from 50.206.25.110 port 36964
Feb  5 16:56:21 raspberrypi sshd[26618]: Invalid user admin from 197.51.79.75 port 59596
Feb  5 17:12:16 raspberrypi sshd[27098]: Invalid user george from 50.206.25.110 port 46462
Feb  5 17:27:21 raspberrypi sshd[27564]: Invalid user daichuqu from 50.206.25.110 port 51654
Feb  5 17:57:10 raspberrypi sshd[28444]: Invalid user aki123 from 50.206.25.110 port 33016
Feb  5 19:48:20 raspberrypi sshd[32420]: Invalid user tech from 2.90.208.118 port 60979
Feb  5 20:01:57 raspberrypi sshd[423]: Invalid user 666666 from 27.6.192.197 port 51250
Feb  5 20:07:46 raspberrypi sshd[594]: Invalid user user from 91.127.242.106 port 52511
Feb  5 22:38:07 raspberrypi sshd[5269]: Invalid user admin from 45.148.10.93 port 58308
Feb  5 22:38:54 raspberrypi sshd[5301]: Invalid user admin from 45.148.10.93 port 44998
Feb  5 22:39:41 raspberrypi sshd[5313]: Invalid user ubuntu from 45.148.10.93 port 59958
Feb  5 22:41:14 raspberrypi sshd[5381]: Invalid user user from 45.148.10.93 port 33514
Feb  5 22:41:56 raspberrypi sshd[5421]: Invalid user ubnt from 45.148.10.93 port 48656
Feb  5 22:42:42 raspberrypi sshd[5433]: Invalid user support from 45.148.10.93 port 35232
Feb  6 02:39:40 raspberrypi sshd[13150]: Invalid user admin from 92.63.194.104 port 36691
Feb  6 02:52:56 raspberrypi sshd[13557]: Invalid user admin2 from 14.166.145.54 port 51080
Feb  6 03:56:50 raspberrypi sshd[15464]: Invalid user admin from 92.63.194.26 port 51698
Feb  6 04:29:02 raspberrypi sshd[16592]: Invalid user dircreate from 45.113.77.106 port 52360
Feb  6 04:52:40 raspberrypi sshd[17513]: Invalid user admin from 123.21.249.33 port 37914
Feb  6 04:52:50 raspberrypi sshd[17527]: Invalid user admin from 123.21.249.33 port 37931
Feb  6 05:03:55 raspberrypi sshd[17940]: Invalid user admin from 36.71.234.107 port 38250
Feb  6 06:33:14 raspberrypi sshd[21539]: Invalid user ubnt from 190.106.255.79 port 54760

Gibts dafür eine Erklärung?

Icinger · 06 Februar 2020, 09:14:50

ZitatGibts dafür eine Erklärung?

Dein Pi ist aus dem Netz erreichbar und irgendjemand versucht, einzubrechen.....

CoolTux · 06 Februar 2020, 09:23:56

NEIN! Ich lasse mich jetzt darüber aus was ich davon halte den SSH Zugriff über das Internet erreichbar zu machen.
Auf alle Fälle solltest sofort und ohne Verzögerung diese Einstellung in Deiner Routerbox entfernen.

Wernieman · 06 Februar 2020, 09:53:01

Kann meinen Vorrednern nur Zustimmen mit der Ergänzung:
Installiere den PI neu!!

Da dürfte jemand "drauf" gewesen sein. Bestimmt ein 0815 Passwort?

Wobei per se jetzt ssh ins Netz öffnen nicht unsicher ist. ABER .. man sollte gewisse Sicherheitsfaktoren einbauen .. was scheinbar nicht passiert ist ...

Stichwörter:
- ssh härten
- fail2ban
- .....

tfriedrich85 · 06 Februar 2020, 10:27:24

Hallo zusammen,

ich habe vor kurzem Geofancy als Anwesenheitskontrolle eingerichtet und deshalb dem PI einige Ports nach draußen freigegeben.

https://wiki.fhem.de/wiki/GEOFANCY

Ich habs jetzt erstmal deaktiviert (Im Router die Portfreigaben entfernt) und werde das jetzt entsprechend schützen!

Danke für die Hinweise

Wernieman · 06 Februar 2020, 11:30:44

Code Auswählen

einige Ports nach draußen freigegeben.
Nur steht in der "Anleitung" nichts vom ssh-port .... wie hast Du den PI freigegeben?

Nur wie schon gesagt: gehe davon aus, das jemand fremdes auf dem PI war, bzw. ist ...

HeikoGr · 06 Februar 2020, 11:31:52

was man, je nach router, auch machen kann:

vpn zum router aufbauen
ssh dann über VPN machen

Wernieman · 06 Februar 2020, 11:34:00

Naja .. VPN ist nicht sicherer als ssh, wenn man "richtige" Passwörter / Keys verwendet .... beides sollte/muß man gegen Passwort-Ausprobieren härten ...