FHEM-Hacker mit fail2ban blocken

[Wernieman]

Was hast Du denn als "anderen Webserver"?

[LR66]

Tja - ein ziemliches Special: Barracudadrive hieß es früher, heute Fuguhub bzw. Makoserver - ist klein schlank, einfache Administration, CMS, Webdav und dynamische Lua-Script-Seiten/Web-Apps, Banning eingebaut ...  uvm - und lief auch früher schon flott & locker flockig auf RPi1...
So einfach wie er funktioniert ist aber auch best. Funktion nicht vollkommen: er kann auch reverseProxy, aber fängt dabei FHEM-interne JSON-Eventmeldung ab und bringt da Fehler...
 

[Wernieman]

d.h. als Proxy nicht zu gebrauchen .. und Du wirst deshalb bestimmt Deine Projekte nicht nach nginx portieren ...

[LR66]

Jepp... den will ich lieber für all das was er mit sein paar bin's, einer table, cache und zip's kann, behalten.  Wordpress,Jomla o.ä. - für mich oversized und je größer = unüberschaubarer = angreifbarer ...
Eigentlich könnte man im Makoserver/Fuguhub direkt eine FHEM-Oberfläche proggen (Https, Websockets, AJAX, Lua-/Java-/C-Script/JSON/Threats... alles über API möglich)  ...
aber so ein Prog-Künstler bin ich dann doch nicht 

[LR66]

... aber zurück zum Thema, falls das mit nginx nimmer wird:
Regex ist (weder bei fail2ban noch bei fhem) so mein Ding: könnte man in fail2ban nicht über eine überschaubare Regex auf alle "FHEMWEB SSL/HTTPS error:" filtern und die IP aus "(peer: xxx)" zum bannen  rausziehen?

[Wernieman]

Jep .. siehe Doku zu fail2ban.

Sorry, aber das zu entwickeln/proggen hat für mich persönlich keinen Sinn ...

[frank]

auf alle "FHEMWEB SSL/HTTPS error:" filtern und die IP aus "(peer: xxx)" zum bannen  rausziehen?

dann pass mal auf, dass du dich nicht selber aussperrst. 

[Tom111]

Leider funktioniert das ganze mit stretch und fail2ban Version 0.10.3 nicht mehr. 

Kann das mal einer wieder in Ordnung bringen!? 

[Wernieman]

Ohne weitere info als "Funktioniert nicht mehr" ... nein

[Tom111]

Hatte etwas vergessen, läuft wieder! 

[Tom111]

nach einem update upgrade blockt fail2ban keine IP-Adressen mehr!
Habe sicherheitshalber mal ein altes Image genommen, wo noch alles funktioniert hat.
Nach einem update/upgrade des Raspberry Pi läuft wohl alles wie gehabt, nur nicht fail2ban! 

[CoolTux]

Danke für die Info. Gut zu wissen.


Grüße

[Tom111]

Fehler gefunden!
Es war doch das FHEM-Update dass das verbockt hat!
Und zwar heißt es in der FHEM Logdatei nicht mehr "Login denied by allowed_WEB for ..."
sondern jetzt "Login denied for user ..."

Diese Änderung muss in:

Code: [Auswählen]

/etc/fail2ban/filter.d/fhem.confangepasst werden!

Der neue Filter sollte dann so aussehen:

Code: [Auswählen]

# Fail2ban filter for fhem
[INCLUDES]
before = common.conf
[Definition]
failregex = ^(.*?)Login denied (.*?)_<HOST>_
ignoreregex =
Man, was habe ich gesucht und kein Hinweis darauf dass sich die LOG in dieser Hinsicht geändert hat.
Schande über den der das geändert hat! 

[CBSnake]

Hi,

und ich hab mich heute gewundert warum Fhem nicht mehr dicht macht wenn ich mich beim Passwort vertippe 

[Frank_Huber]

Ich meine in einer Ankündigung / Diskussion davon gelesen zu haben. Ging um Änderungen wie allowed arbeitet.

Gesendet von meinem Doogee S60 mit Tapatalk