FHEM-Hacker mit fail2ban blocken

Begonnen von JensS, 18 Februar 2018, 14:41:05

Vorheriges Thema - Nächstes Thema

Maui

2x ja
Hab auch schon nach Steuerzeichen gesucht, die beim Kopieren mitgekommen sind.  :(

Tom111

irgendwie scheint mir das eine alte Version von "fail2ban" zu sein, in der neuesten Version wird "enabled  = true" für
die einzelnen jails in der Datei "jail.d/defaults-debian.conf" gesetzt.  ???
bei mir gibt es in der "jail.local" kein "enabled  = true" mehr!
FHEM 5.9 auf Raspberry Pi - 3B+ - Stretch-5.10.88+ | CUL868 CC1101 - USB - Lite module - V3 FW 1.67
Fritz!Box 7490 OS 07.29 / Fritz!Dect200 / Fritz!Powerline 546E
FS20ST-4/ FS20 DI-5/ FS20LS/ FS20 PIRI-2-KU/ FS20 TFK/ FS20S4A/FS20 SU-3/FS20 S20-3
HMS100TF/FHT80TF-2/ASH2200/S300TH/MiLight-Bridge V

Wernieman

@Tom
Beide Wege sind Möglich, keine Aufregung!

Nur .. müste es nicht eigentlich jail.conf und nicht jail.local lauten??

Mir ist nur für die Fehlersuche die Config zu unübersichtlich.

Kannst Du bitte mal alle Jails, welche nicht enabled sind, aus der Config rauswerfen (vorher copy machen)?

P.S: Bitte auch mal die fail2ban.conf und die defaults-debian.conf
- Bitte um Input für Output
- When there is a Shell, there is a Way
- Wann war Dein letztes Backup?

Wie man Fragen stellt: https://tty1.net/smart-questions_de.html

Tom111

Zitat von: Wernieman am 09 Januar 2019, 15:31:59
@Tom
Beide Wege sind Möglich, keine Aufregung!
ja sicher sind auch beide Wege möglich, nur frage ich mich wenn Maui fail2ban erst letztens installiert hat wieso das dann noch vorkommt!?
seit Februar 2018 gibt es bereits die ausgekoppelte Version von fail2ban!

Zitat von: Wernieman am 09 Januar 2019, 15:31:59
Nur .. müste es nicht eigentlich jail.conf und nicht jail.local lauten??
Da die jail.conf nach jedem Update erneuert wird wäre es unsinnig dort das jail von fhem reizupacken, deshalb sollte man ein jail.local anlegen!
FHEM 5.9 auf Raspberry Pi - 3B+ - Stretch-5.10.88+ | CUL868 CC1101 - USB - Lite module - V3 FW 1.67
Fritz!Box 7490 OS 07.29 / Fritz!Dect200 / Fritz!Powerline 546E
FS20ST-4/ FS20 DI-5/ FS20LS/ FS20 PIRI-2-KU/ FS20 TFK/ FS20S4A/FS20 SU-3/FS20 S20-3
HMS100TF/FHT80TF-2/ASH2200/S300TH/MiLight-Bridge V

Maui

Danke euch beiden für eure Hilfe. Hab zu Hause mal die jail.local gelöscht und nur den Fhem jail in die neue jail.local geschrieben. Zusätzlich hab ich per iPhone (statt windoof Rechner) kopiert. Jetzt geht es. Denke eher es lag an Teil 2 also verrückten Steuerzeichen vorher.
Zu Teil 1. es reicht wohl das Delta zur jail.conf in die jail.local zu schreiben. Fühlt sich auch richtiger an.

Wernieman

@Tom:
Die jail.conf wird NICHT ungefragt überschrieben bei einem update!

Wie ich schrieb: Keine Aufregung ...

@Maui
Ich denke, es lag am Windows-Editor.

Mal auf die schnelle:
https://www.qfs.de/qf-test-handbuch/lc/manual-de-tech_linebreaks.html
- Bitte um Input für Output
- When there is a Shell, there is a Way
- Wann war Dein letztes Backup?

Wie man Fragen stellt: https://tty1.net/smart-questions_de.html

Maui

#81
Jetzt wo es geht, hab ich mich mal dran gemacht, die "olle" Mail Action gegen eine telegram Nachricht zu tauschen.
Falls es jmd interessiert, hier mal grob die nötigen Schritte.

Neue Action anlegen:
sudo nano /etc/fail2ban/action.d/fhem_ac.conf

# Fail2Ban configuration file
#
# Author: Cyril Jaquier
#
#

[Definition]

# Option:  actionstart
# Notes.:  command executed once at the start of Fail2Ban.
# Values:  CMD
#
#actionstart = touch /var/run/fail2ban/fail2ban.dummy
#              printf %%b "<init>\n" >> /var/run/fail2ban/fail2ban.dummy

# Option:  actionstop
# Notes.:  command executed once at the end of Fail2Ban
# Values:  CMD
#
#actionstop = rm -f /var/run/fail2ban/fail2ban.dummy

# Option:  actioncheck
# Notes.:  command executed once before each actionban command
# Values:  CMD
#
#actioncheck =

# Option:  actionban
# Notes.:  command executed when banning an IP. Take care that the
#          command is executed with Fail2Ban user rights.
# Tags:    See jail.conf(5) man page
# Values:  CMD
#
#actionban = printf %%b "+<ip>\n" >> /var/run/fail2ban/fail2ban.dummy
#actionban = /home/pi/fhem_tele.sh <ip>
actionban = echo "set telebot message IP geblockt: <ip>" |  /bin/nc -w5 127.0.0.1 7072

# Option:  actionunban
# Notes.:  command executed when unbanning an IP. Take care that the
#          command is executed with Fail2Ban user rights.
# Tags:    See jail.conf(5) man page
# Values:  CMD
#
#actionunban = printf %%b "-<ip>\n" >> /var/run/fail2ban/fail2ban.dummy

[Init]

# init = 123


Die Action muss unter actionban dann natürlich noch auf die eigenen Zwecke angepasst werden.

In der jail.local reicht es dann die Mail-Zeile gegen fhem_ac zu tauschen.
Meine vollständige Datei dazu auch noch mal.
[fhem]
enabled  = true
port     = 8083
action   = %(banaction)s[name=%(__name__)s-tcp, port="%(port)s", protocol="tcp", chain="%(chain)s", actname=%(banaction)s-tcp]
           fhem_ac
filter   = fhem
logpath  = /opt/fhem/log/fhem-20*
maxretry = 3
bantime = 86400


Nun muss nur noch fail2ban neu gestartet werden.
sudo /etc/init.d/fail2ban restart

Wernieman

Geht so allerdings nur, wenn:
1. Telnet-Zugang in FHEM eingrichtet
2. Kein Passwort
3. Kein SSL-Aktiv
4. FHEM auf dem gleichen Rechner


Wobei alles 4 auch "behoben" werden kann ;o)
- Bitte um Input für Output
- When there is a Shell, there is a Way
- Wann war Dein letztes Backup?

Wie man Fragen stellt: https://tty1.net/smart-questions_de.html

Maui

Wird aber alles 4 bei einem OOTB fhem so sein.
Warum denn bitte SSL? SSL over Telnet?

Wernieman

Siehe Doku: http://www.fhem.de/commandref.html#telnet
also eher telnet over ssl ;o)

Telnet ist mittlerweile Standardmäßig nicht mehr offen (Irgendwann Mitte 2018?)

Warum telnet und nicht ssh (o.Ä.) kann ich Dir nicht beantworten .....
- Bitte um Input für Output
- When there is a Shell, there is a Way
- Wann war Dein letztes Backup?

Wie man Fragen stellt: https://tty1.net/smart-questions_de.html

Maui

Ich weiß ja was du sagen willst. Stimmt davon hab ich auch schonmal gelesen.
Ich wollte ja auch nur einen gangbaren lokalen Weg aufzeigen.
Dass der übers Internet völlig ungeeignet ist weiß ich.
Es soll ja auch nur ein Schnipsel und ein Ansatz sein. Wenn einer dann lieber ssh präferiert oder per curl, nur zu  :P

Wernieman

Hey, ich gehe diesen Weg doch auch (nicht bei telegam, aber so Ähnlich), Also Intern gar nicht mal sooo schlecht und in Verglichen mit anderen Hausautomatisationssystemen auch nicht unsicherer (wenn man sich einige Gedanken macht)
- Bitte um Input für Output
- When there is a Shell, there is a Way
- Wann war Dein letztes Backup?

Wie man Fragen stellt: https://tty1.net/smart-questions_de.html

Tom111

Zitat von: Tom111 am 01 Januar 2019, 13:24:14
1 0 1 1-12 *
scheint richtig zu sein! :)

So, habs eingetragen, muss jetzt nur bis Februar warten. :)
Falls es jemanden interessiert,... es klappt!  :)
FHEM 5.9 auf Raspberry Pi - 3B+ - Stretch-5.10.88+ | CUL868 CC1101 - USB - Lite module - V3 FW 1.67
Fritz!Box 7490 OS 07.29 / Fritz!Dect200 / Fritz!Powerline 546E
FS20ST-4/ FS20 DI-5/ FS20LS/ FS20 PIRI-2-KU/ FS20 TFK/ FS20S4A/FS20 SU-3/FS20 S20-3
HMS100TF/FHT80TF-2/ASH2200/S300TH/MiLight-Bridge V

pillepalle12

Gab es wieder eine Änderung durch ein FHEM Update?

Inzwischen tauchen bei mir wieder vermehrt die Logon denied Einträge im LOG auf. Diese werden aber offensichtlich nicht beim 3. Mal gebant...

Danke für die Hilfe.

Tom111

Zitat von: pillepalle12 am 17 Januar 2020, 06:33:05
Gab es wieder eine Änderung durch ein FHEM Update?

Inzwischen tauchen bei mir wieder vermehrt die Logon denied Einträge im LOG auf. Diese werden aber offensichtlich nicht beim 3. Mal gebant...

Danke für die Hilfe.

Also bei mir funktioniert noch alles!
FHEM 5.9 auf Raspberry Pi - 3B+ - Stretch-5.10.88+ | CUL868 CC1101 - USB - Lite module - V3 FW 1.67
Fritz!Box 7490 OS 07.29 / Fritz!Dect200 / Fritz!Powerline 546E
FS20ST-4/ FS20 DI-5/ FS20LS/ FS20 PIRI-2-KU/ FS20 TFK/ FS20S4A/FS20 SU-3/FS20 S20-3
HMS100TF/FHT80TF-2/ASH2200/S300TH/MiLight-Bridge V