[gelöst]FHEM mit fail2ban absichern

JensS · 13 Februar 2018, 22:36:24

Hi, um FHEM mit fail2ban anzusichern, brauche ich einen Logeintrag, welcher einen abgewiesenen Loginversuch dokumentiert. Leider weiß ich nicht, mit welchem Device und Attribut das zu bewerkstelligen ist. Bitte helft mir auf die Sprünge.

Gruß Jens

rudolfkoenig · 13 Februar 2018, 23:03:45

allowed, verbose 4

JensS · 14 Februar 2018, 11:05:22

Danke aber es funktioniert leider nicht.

Code Auswählen

attr allowed_WEB verbose 4ist gesetzt aber in der Datei fhem-2018-02.log tut sich nichts, wenn ich ein falsches Kennwort eingebe. Kann es sein, dass die Ausgabe in meine DbLog-Instanz geleitet wird?

Code Auswählen

defmod allowed_WEB allowed
attr allowed_WEB basicAuth xxxxxxxxxx
attr allowed_WEB validFor WEB
attr allowed_WEB verbose 4

setstate allowed_WEB validFor:WEB
setstate allowed_WEB 2018-02-14 10:40:03 state validFor:WEB

Gruß Jens

rudolfkoenig · 14 Februar 2018, 17:59:02

Sorry, habe nicht genau aufgepasst: allowed mit verbose 4 liefert bisher nur Meldungen, falls bestimmte Befehle untersagt sind. Abgewiesene Anmeldungen werden z.Zt. gar nicht protokolliert, ich habe das jetzt wenigstens fuer FHEMWEB/basicAuth geaendert. FHEM-update ab morgen.

CoolTux · 14 Februar 2018, 18:20:06

Ich finde verbose 4 unglücklich gewählt. So eine klare Aussage wie "hier würde versucht sich an zu melden" könnte meiner Meinung nach ruhig ab 3 eine Meldung generieren.

JensS · 14 Februar 2018, 18:22:35

Danke!

rudolfkoenig · 14 Februar 2018, 19:04:02

ZitatIch finde verbose 4 unglücklich gewählt. So eine klare Aussage wie "hier würde versucht sich an zu melden" könnte meiner Meinung nach ruhig ab 3 eine Meldung generieren.

Da hast du wohl recht, ich habe mich nur an die Meldungen bzgl. "Forbidden device/Forbidden command" angelehnt. Habe aber jetzt alle 3 auf verbose 4 geaendert.

Schlimbo · 14 Februar 2018, 19:42:47

Zitat von: rudolfkoenig am 14 Februar 2018, 19:04:02
Habe aber jetzt alle 3 auf verbose 4 geaendert.

Du meinst verbose 3, oder?

@dirigent:
Wärst du so nett, den Filter für fail2ban hier zu Verfügung zu stellen, wenn du das eingerichtet hast?

CoolTux · 14 Februar 2018, 19:46:53

Ja Rudi meint verbose 3. Ich habe ihn schon verstanden, aber um es für die anderen klar zu sagen. Es wurde von 4 auf 3 geändert.

Danke fürs mit aufpassen

JensS · 15 Februar 2018, 09:48:23

Jetzt kommt schon mal eine Ausgabe:

Code Auswählen

2018.02.15 09:42:30 3: Login denied for via WEB_192.168.xxx.xxx_63276
Jedoch wird auch bei erfolgreicher Anmeldung und bei jedem Aufruf der Seite denied geloggt. Wenn ich den Filter fertig habe, stelle ich ihn hier zur Verfügung. Eventuell schreibe ich das Ganze aber auch in Perl, um es in FHEM nutzen zu können. Ist ja nichts weiter, als iptables.

Gruß Jens

rudolfkoenig · 15 Februar 2018, 10:14:20

Hast du mehrere allowed Instanzen, die validFor WEB sind?

JensS · 15 Februar 2018, 10:29:51

Nein, nur generell nur eine allowed-Instanz und diese nur für WEB. Tablet und Phone ist lediglich lokal verfügbar.

rudolfkoenig · 15 Februar 2018, 16:35:27

Komisch. Die Zeile wird nur fuer !$pwok ausgegeben:

Code Auswählen

Log3 $me, 3, "Login denied for $user via $cl->{NAME}" if(!$pwok);

Hat noch jemand sonst dieses Problem?
Habe eine neue Variante eingecheckt, wo auch die allowed Instanz-Name ausgegeben wird.

CoolTux · 15 Februar 2018, 17:19:38

Zitat von: rudolfkoenig am 15 Februar 2018, 16:35:27
Komisch. Die Zeile wird nur fuer !$pwok ausgegeben:
Code Auswählen Erweitern
Log3 $me, 3, "Login denied for $user via $cl->{NAME}" if(!$pwok);
Hat noch jemand sonst dieses Problem?
Habe eine neue Variante eingecheckt, wo auch die allowed Instanz-Name ausgegeben wird.

Teste ich heute Abend auf meinem Testsystem

JensS · 15 Februar 2018, 19:27:11

Konnte es etwas einschränken. Beim IE und Firefox wird korrekt geloggt.
Beim Edge kommt bei jedem (auch autorisiertem) Aufruf eine denied-Meldung.