[Gelöst] Raspberry PI Login

Begonnen von tfriedrich85, 05 Februar 2020, 19:35:25

Vorheriges Thema - Nächstes Thema

tfriedrich85

Hallo zusammen,

ich verwende bereits seit 2 Jahren Fhem auf einem Raspberry PI und arbeite über SSH am System.
Seit ungefähr 8 Wochen besteht das Problem, dass ich nach ein paar Tagen ohne Änderungen am System beim Loginversuch über SSH ein Login denied bekomme und ich deshalb nicht mehr am PI anmelden kann. Um einen Eingabefehler zu umgehen haben ich beim letzten Reset auf ein sehr einfaches Passwort geachtet. Einen Eingabefehler schließe ich deshalb aus.
Hat jemand schonmal ein ähnliches Verhalten beobachtet?
Fhem läuft weiterhin ohne Probleme auf dem System.....

Danke euch.

Gisbert

Hallo tfriedrich85,

ich hab so was noch nie beobachtet.
Bist du dir sicher, dass du keine Heinzelmännchen in deinem Netzwerk hast? Wie kommst du auf den Server, wenn du keinen Zugriff mehr hast?
Ich bin kein Linux-Fachmann, aber warum gibt es ein Passwort, falls irgendwer (?) es einfach zurücksetzen könnte?
In der Hoffnung, dass dir jemand mit Kenntnis helfen kann.
Viele​ Grüße​ Gisbert​
Aktuelles FHEM | PROXMOX | Fujitsu Futro S740 | Debian 12 | UniFi | Homematic, VCCU, HMUART | ESP8266 | ATtiny85 | Wasser-, Stromzähler | Wlan-Kamera | SIGNALduino, Flamingo Rauchmelder FA21/22RF | RHASSPY

Wernieman

ist der Pi bei Problemen grundsätzlich zu erreichen (ping, html)?
Ist er Extern erreichbar (Sicherheitsfrage)?

Was steht in den Logfiles?
- Bitte um Input für Output
- When there is a Shell, there is a Way
- Wann war Dein letztes Backup?

Wie man Fragen stellt: https://tty1.net/smart-questions_de.html

amenomade

Was sagt sudo journalctl -u ssh?
Pi 3B, Alexa, CUL868+Selbstbau 1/2λ-Dipol-Antenne, USB Optolink / Vitotronic, Debmatic und HM / HmIP Komponenten, Rademacher Duofern Jalousien, Fritz!Dect Thermostaten, Proteus

Otto123

Hi,

oder was sagt  {qx(df -h)}

Oder SD Card kaputt?

Gruß Otto
Viele Grüße aus Leipzig  ⇉  nächster Stammtisch an der Lindennaundorfer Mühle
RaspberryPi B B+ B2 B3 B3+ ZeroW,HMLAN,HMUART,Homematic,Fritz!Box 7590,WRT3200ACS-OpenWrt,Sonos,VU+,Arduino nano,ESP8266,MQTT,Zigbee,deconz

MadMax-FHEM

Zitat von: Otto123 am 05 Februar 2020, 20:56:09
Hi,

oder was sagt  {qx(df -h)}

Oder SD Card kaputt?

Gruß Otto

An das hab ich auch schon gedacht...

Hatte ähnliches (weiß nicht mehr, ob auch denied) da war die Karte voll...
Irgendwas hat angefangen wie bekloppt zu loggen...

Musste die SD rausnehmen und Logs löschen...
...dann ging's wieder...

Und nat. das abstellen was so geloggt hat... ;)

Gruß, Joachim
FHEM PI3B+ Bullseye: HM-CFG-USB, 40x HM, ZWave-USB, 13x ZWave, EnOcean-PI, 15x EnOcean, HUE/deCONZ, CO2, ESP-Multisensor, Shelly, alexa-fhem, ...
FHEM PI2 Buster: HM-CFG-USB, 25x HM, ZWave-USB, 4x ZWave, EnOcean-PI, 3x EnOcean, Shelly, ha-bridge, ...
FHEM PI3 Buster (Test)

tfriedrich85

Hallo Otto,

Zitat von: Otto123 am 05 Februar 2020, 20:56:09
Hi,

oder was sagt  {qx(df -h)}

Oder SD Card kaputt?

Gruß Otto

hier die Antowrt:

Filesystem      Size  Used Avail Use% Mounted on
/dev/root        29G  2.1G   26G   8% /
devtmpfs        459M     0  459M   0% /dev
tmpfs           464M     0  464M   0% /dev/shm
tmpfs           464M   13M  451M   3% /run
tmpfs           5.0M  4.0K  5.0M   1% /run/lock
tmpfs           464M     0  464M   0% /sys/fs/cgroup
/dev/mmcblk0p1  253M   53M  200M  21% /boot
/dev/sda1       7.5G  559M  7.0G   8% /media/usbdisk
tmpfs            93M     0   93M   0% /run/user/1000

Das sieht doch gut aus...

tfriedrich85

Zitat von: Wernieman am 05 Februar 2020, 20:53:11
ist der Pi bei Problemen grundsätzlich zu erreichen (ping, html)?
Ist er Extern erreichbar (Sicherheitsfrage)?

Was steht in den Logfiles?

Hallo,
ich habe mittels folgender Anleitung das Passwort zurückgesetzt: https://howtoraspberrypi.com/recover-password-raspberry-pi/
und habe jetzt wieder SSH Zugriff!

@Otto: sudo journalctl -u ssh
zeigt mir nur meine verweigerten Zugriffe von gestern und heute. Wie komme ich den in der History weiter zurück?

Mit dem Befehl bekomme ich jede Menge verweigerte Zugriffe:
grep 'sshd.*Invalid' /var/log/auth.log


...
...
...

Feb  5 14:57:00 raspberrypi sshd[23027]: Invalid user check from 50.206.25.110 port 60926
Feb  5 15:12:05 raspberrypi sshd[23479]: Invalid user rist from 50.206.25.110 port 37226
Feb  5 15:27:03 raspberrypi sshd[23938]: Invalid user guest from 50.206.25.110 port 41652
Feb  5 15:36:51 raspberrypi sshd[24248]: Invalid user ubnt from 36.85.206.121 port 59659
Feb  5 15:42:04 raspberrypi sshd[24404]: Invalid user jariko from 50.206.25.110 port 46144
Feb  5 15:46:52 raspberrypi sshd[24550]: Invalid user oracle from 51.38.130.198 port 38024
Feb  5 15:47:03 raspberrypi sshd[24558]: Invalid user mysql from 51.38.130.198 port 41666
Feb  5 15:57:06 raspberrypi sshd[24859]: Invalid user hplip from 50.206.25.110 port 50764
Feb  5 16:12:06 raspberrypi sshd[25299]: Invalid user lyashok from 50.206.25.110 port 55452
Feb  5 16:27:13 raspberrypi sshd[25773]: Invalid user dragonfly from 50.206.25.110 port 60340
Feb  5 16:42:23 raspberrypi sshd[26211]: Invalid user web from 50.206.25.110 port 36964
Feb  5 16:56:21 raspberrypi sshd[26618]: Invalid user admin from 197.51.79.75 port 59596
Feb  5 17:12:16 raspberrypi sshd[27098]: Invalid user george from 50.206.25.110 port 46462
Feb  5 17:27:21 raspberrypi sshd[27564]: Invalid user daichuqu from 50.206.25.110 port 51654
Feb  5 17:57:10 raspberrypi sshd[28444]: Invalid user aki123 from 50.206.25.110 port 33016
Feb  5 19:48:20 raspberrypi sshd[32420]: Invalid user tech from 2.90.208.118 port 60979
Feb  5 20:01:57 raspberrypi sshd[423]: Invalid user 666666 from 27.6.192.197 port 51250
Feb  5 20:07:46 raspberrypi sshd[594]: Invalid user user from 91.127.242.106 port 52511
Feb  5 22:38:07 raspberrypi sshd[5269]: Invalid user admin from 45.148.10.93 port 58308
Feb  5 22:38:54 raspberrypi sshd[5301]: Invalid user admin from 45.148.10.93 port 44998
Feb  5 22:39:41 raspberrypi sshd[5313]: Invalid user ubuntu from 45.148.10.93 port 59958
Feb  5 22:41:14 raspberrypi sshd[5381]: Invalid user user from 45.148.10.93 port 33514
Feb  5 22:41:56 raspberrypi sshd[5421]: Invalid user ubnt from 45.148.10.93 port 48656
Feb  5 22:42:42 raspberrypi sshd[5433]: Invalid user support from 45.148.10.93 port 35232
Feb  6 02:39:40 raspberrypi sshd[13150]: Invalid user admin from 92.63.194.104 port 36691
Feb  6 02:52:56 raspberrypi sshd[13557]: Invalid user admin2 from 14.166.145.54 port 51080
Feb  6 03:56:50 raspberrypi sshd[15464]: Invalid user admin from 92.63.194.26 port 51698
Feb  6 04:29:02 raspberrypi sshd[16592]: Invalid user dircreate from 45.113.77.106 port 52360
Feb  6 04:52:40 raspberrypi sshd[17513]: Invalid user admin from 123.21.249.33 port 37914
Feb  6 04:52:50 raspberrypi sshd[17527]: Invalid user admin from 123.21.249.33 port 37931
Feb  6 05:03:55 raspberrypi sshd[17940]: Invalid user admin from 36.71.234.107 port 38250
Feb  6 06:33:14 raspberrypi sshd[21539]: Invalid user ubnt from 190.106.255.79 port 54760


Gibts dafür eine Erklärung?

Icinger

ZitatGibts dafür eine Erklärung?

Dein Pi ist aus dem Netz erreichbar und irgendjemand versucht, einzubrechen.....
Verwende deine Zeit nicht mit Erklärungen. Die Menschen hören (lesen) nur, was sie hören (lesen) wollen. (c) Paulo Coelho

CoolTux

NEIN! Ich lasse mich jetzt darüber aus was ich davon halte den SSH Zugriff über das Internet erreichbar zu machen.
Auf alle Fälle solltest sofort und ohne Verzögerung diese Einstellung in Deiner Routerbox entfernen.
Du musst nicht wissen wie es geht! Du musst nur wissen wo es steht, wie es geht.
Support me to buy new test hardware for development: https://www.paypal.com/paypalme/MOldenburg
My FHEM Git: https://git.cooltux.net/FHEM/
Das TuxNet Wiki:
https://www.cooltux.net

Wernieman

Kann meinen Vorrednern nur Zustimmen mit der Ergänzung:
Installiere den PI neu!!

Da dürfte jemand "drauf" gewesen sein. Bestimmt ein 0815 Passwort?

Wobei per se jetzt ssh ins Netz öffnen nicht unsicher ist. ABER .. man sollte gewisse Sicherheitsfaktoren einbauen .. was scheinbar nicht passiert ist ...

Stichwörter:
- ssh härten
- fail2ban
- .....
- Bitte um Input für Output
- When there is a Shell, there is a Way
- Wann war Dein letztes Backup?

Wie man Fragen stellt: https://tty1.net/smart-questions_de.html

tfriedrich85

Hallo zusammen,

ich habe vor kurzem Geofancy als Anwesenheitskontrolle eingerichtet und deshalb dem PI einige Ports nach draußen freigegeben.

https://wiki.fhem.de/wiki/GEOFANCY

Ich habs jetzt erstmal deaktiviert (Im Router die Portfreigaben entfernt) und werde das jetzt entsprechend schützen!

Danke für die Hinweise

Wernieman

einige Ports nach draußen freigegeben.
Nur steht in der "Anleitung" nichts vom ssh-port .... wie hast Du den PI freigegeben?

Nur wie schon gesagt: gehe davon aus, das jemand fremdes auf dem PI war, bzw. ist ...
- Bitte um Input für Output
- When there is a Shell, there is a Way
- Wann war Dein letztes Backup?

Wie man Fragen stellt: https://tty1.net/smart-questions_de.html

HeikoGr

was man, je nach router, auch machen kann:

vpn zum router aufbauen
ssh dann über VPN machen

Wernieman

Naja .. VPN ist nicht sicherer als ssh, wenn man "richtige" Passwörter / Keys verwendet .... beides sollte/muß man gegen Passwort-Ausprobieren härten ...
- Bitte um Input für Output
- When there is a Shell, there is a Way
- Wann war Dein letztes Backup?

Wie man Fragen stellt: https://tty1.net/smart-questions_de.html

HeikoGr

ich halte es als Gesamtsystem schon für deutlich sicherer:

- Es sind 2 unabhängige Logins zu überwinden
- Der Angreifer weiß nicht ob es sich lohnt, er sieht "nur" den VPN Endpunkt (bei ssh erwartet er eine Shell)

härten sollte/kann man natürlich trotzdem immernoch.

Die meisten Router ja eh nicht um ein Netzwerk richtig abzuschotten. Spätestens wenn IPv6 großflächig eingesetzt wird sollten sich auch Betreiber von kleinen, lokalen Netztwerken mit einer ordentlichen Abschottung des Netzes beschäftigen. Dann reicht es nicht, den einen Dienst ordentlich zu härten.

Aber ich schweife ab :-D

tfriedrich85

Ich hab das System neu aufgestzt und ein Fhem Restroe gemacht.
Das Grund-Setup läuft also wieder.
Die SSH Zugänge habe ich damit abgesichert:
https://developer-blog.net/raspberry-pi-ssh-zugriff-einschraenken-teil-2/

Mein Fehler in Bezug auf GeoFancy war, das in der Fritzbox die IP des Raspberrys (auf dem Fhem läuft) als Exposed Host gesetzt war. Damit kamm ich zwar von außen leicht an Geofancy aber jeder andere auch von außen dran.

Um aber mit der Geofancy App auf einen Port zugreifen zu können, brauche ich jetzt zuminstens einen offenen Port den 8088 aber wenn ich nur diesen in der Fritzbox freigebe, komme ich von außen noch nicht drauf. Woran liegt das (siehe bild)?


CoolTux

Exposed Host

Ist das schlimmste was man machen kann ohne eine vernünftige Firewall und DMZ. Da gibt man alle Ports an den Host weiter. Das ist das selbe wie wenn der Host selbst direkt im Internet steht.
Bitte gebe immer nur einen Port an einen Host weiter. Und überlege ob Du das wirklich brauchst.
Du musst nicht wissen wie es geht! Du musst nur wissen wo es steht, wie es geht.
Support me to buy new test hardware for development: https://www.paypal.com/paypalme/MOldenburg
My FHEM Git: https://git.cooltux.net/FHEM/
Das TuxNet Wiki:
https://www.cooltux.net

Otto123

#18
Warum von 80 bis 88 wenn Du genau 8088 willst?
Also von 8088 bis 8088
Von 8088 auf 8088

:o

Ich würde das nicht machen  ::)
Viele Grüße aus Leipzig  ⇉  nächster Stammtisch an der Lindennaundorfer Mühle
RaspberryPi B B+ B2 B3 B3+ ZeroW,HMLAN,HMUART,Homematic,Fritz!Box 7590,WRT3200ACS-OpenWrt,Sonos,VU+,Arduino nano,ESP8266,MQTT,Zigbee,deconz

Wernieman

anstatt denyhost würde ich fail2ban nehmen (blockt gleich auf IP-Ebene), aber das sind "nur" Kleinigkeiten.

Otto hat alles wichtige gesagt ;o)
- Bitte um Input für Output
- When there is a Shell, there is a Way
- Wann war Dein letztes Backup?

Wie man Fragen stellt: https://tty1.net/smart-questions_de.html

MadMax-FHEM

#20
Zitat von: Otto123 am 06 Februar 2020, 15:39:31
Warum von 80 bis 88 wenn Du genau 8088 willst?
Also von 8088 bis 8088
Von 8088 auf 8088

:o

Ich würde das nicht machen  ::)

Schon gar noch viel weniger, wenn ich schon bei solchen Einstellungen Schwierigkeiten hätte... ;)
(wer weiß was da noch alles nicht optimal [=unsicher] konfiguriert/eingestellt wird/wurde / siehe exposed Host)

EDIT: selbst wenn dann jetzt der Port richtig eingestellt wurde -> allowed Device nicht vergessen (sofern es sich um Zugriff auf fhem handelt), sonst kommst du auch immer noch nicht drauf... (oder hätte ich das jetzt aus "Sicherheitsgründen" nicht erwähnen sollen ;)  )...

Gruß, Joachim
FHEM PI3B+ Bullseye: HM-CFG-USB, 40x HM, ZWave-USB, 13x ZWave, EnOcean-PI, 15x EnOcean, HUE/deCONZ, CO2, ESP-Multisensor, Shelly, alexa-fhem, ...
FHEM PI2 Buster: HM-CFG-USB, 25x HM, ZWave-USB, 4x ZWave, EnOcean-PI, 3x EnOcean, Shelly, ha-bridge, ...
FHEM PI3 Buster (Test)

Wernieman

Und Passwort setzen .... wobei die direkte Erreichbarkeit von FHEM aus dem Netz wurde schon seeeeehr häufig diskutiert ...
- Bitte um Input für Output
- When there is a Shell, there is a Way
- Wann war Dein letztes Backup?

Wie man Fragen stellt: https://tty1.net/smart-questions_de.html

tfriedrich85

Zitat von: Otto123 am 06 Februar 2020, 15:39:31
Warum von 80 bis 88 wenn Du genau 8088 willst?
Also von 8088 bis 8088
Von 8088 auf 8088

:o

Ich würde das nicht machen  ::)

Hallo Otto, da hab ich mich von der Fritzbox in die Irre führen lassen, ich dachte Ports sind 2 Stellig und 8088 bedeutet von 80 -88. Mein Fehler. Hab ich korrigiert und nun läuft es auch. Danke

@Wernieman: Ich habe ein Basicauth auf den Webhook gesetzt, wenn du das meinst?

Otto123

Ganz Ehrlich: Bitte: ohne jeden Plan mach keinerlei Freigaben ins Internet. Das ist grob fahrlässig!
Viele Grüße aus Leipzig  ⇉  nächster Stammtisch an der Lindennaundorfer Mühle
RaspberryPi B B+ B2 B3 B3+ ZeroW,HMLAN,HMUART,Homematic,Fritz!Box 7590,WRT3200ACS-OpenWrt,Sonos,VU+,Arduino nano,ESP8266,MQTT,Zigbee,deconz

tfriedrich85

@Otto
Ja, hab ich gelernt und deswegen auch den Raspi platt gemacht....

Btw: Hast du gute Erfahrungen mit einem Nano mit Ethernehr Shield und Firmata? - Hab ich deinem Footer gelsen...

Otto123

Nö, habe weder ethernet Shield noch firmata. Hab mal vor einiger Zeit etwas mit Arduino gespielt und den mit Arducounter und als "Ferrarisscheibenleser"  im Einsatz.
Viele Grüße aus Leipzig  ⇉  nächster Stammtisch an der Lindennaundorfer Mühle
RaspberryPi B B+ B2 B3 B3+ ZeroW,HMLAN,HMUART,Homematic,Fritz!Box 7590,WRT3200ACS-OpenWrt,Sonos,VU+,Arduino nano,ESP8266,MQTT,Zigbee,deconz

tfriedrich85

Ich glaube jetzt sind alle Unklarheiten beseitigt.