FHEM-Hacker mit fail2ban blocken

Wernieman · 01 Februar 2020, 16:16:34

Die Fragen sind:
- in welchem Zeitraum kommen die Denys
- welchen Suchzeitraum in Fail2Ban hast Du eingestellt

mach doch mal auf der Kommandooberfläche:

Code Auswählen

fail2ban-client status

Mitch · 09 März 2020, 19:16:47

Kurze Frage dazu:

ich will das für meinen ReverseProxy aufsetzten.
Habe alles so weit eingerichtet, komme aber jetzt mit der RegEx nicht weiter

wir zwei stehen auf Kriegsfuß

So sieht eine Logzeile aus:

Code Auswählen

[Sat Feb 08 08:54:08.984255 2020] [auth_basic:error] [pid 5090] [client 92.246.76.202:59053] AH01618: user admin not found: /fhem, referer: https://87.147.196.221/

Jetzt muss ich da ja die IP rausziehen (sollte die hinter Client sein) und am besten auf AH01618 oder [auth_basic:error] "filtern".

Leider bekomme ich es ums verrecken nicht hin...bin zu blöd...

Wernieman · 09 März 2020, 20:49:55

Ungetestet:

Code Auswählen

^.*auth_basic:error.*client <HOST>] AH01618: user admin not found.*$

Mir sieht das Logfileformat am Anfang, also der Zeitstempel, komisch aus. Was ist es denn für ein Logfile??

Mitch · 09 März 2020, 20:56:03

Apache2, der error log

Wernieman · 09 März 2020, 21:33:31

Gucke Dir doch mal die fertigen Filter für apache2 an:
/etc/fail2ban/filter.d/apache-auth.conf

Allerdings würde ich vorschlagen, dafür einen neuen Thread zu eröffnen .... geht jetzt doch an der Ursprünglichen Fragestellung vorbei ...

Mitch · 09 März 2020, 21:48:13

Ne, hilft leider nicht.

Hab es jetzt aber hinbekommen: ^.*(client )<HOST>.*(AH01618)

Vielen Dank!

Mitch · 09 März 2020, 22:44:23

Wollte nochmal melden, geht jetzt perfekt inkl. Pushover Benachrichtigung.

pillepalle12 · 23 Januar 2022, 14:51:18

Hallo Zusammen,
ich musste mein FHEM komplett neu aufsetzen, da mein Jesse zu alt wurde und keine Updates mehr bekommen hat.
Nun wollte ich auch fail2ban wieder installieren, hat vom Install auch alles geklappt, es wird aber nicht geblockt, ich kann 30 mal das falsche PW versuchen und werde nicht gebannt...

Ist fail2ban noch aktuell und sollte funktionieren oder wurde es abgeschafft? nutzt es noch jemand?

Danke Euch

Wernieman · 23 Januar 2022, 17:43:06

Meine persönliche Meinung?

Am besten FHEM nicht erreichbar machen (bzw., nur mit VPN). Und wenn doch nötig,(wie bei mir) einem passwortgeschützten Reserve-Proxy ... und den mit fail2ban absichern ....

balli1187 · 23 Januar 2022, 17:48:05

Zitat von: Wernieman am 23 Januar 2022, 17:43:06
Meine persönliche Meinung?

Am besten FHEM nicht erreichbar machen (bzw., nur mit VPN). Und wenn doch nötig,(wie bei mir) einem passwortgeschützten Reserve-Proxy ... und den mit fail2ban absichern ....

Ergänzung:
Ich habe es genau so und zusätzlich das Modul für Google Authenticator.
Kommandos werden mit einem OTP ergänzt, welches erst geprüft wird und wenn gültig, wird der mitgeschickte Befehl ausgeführt.

Tom111 · 23 Januar 2022, 17:50:04

Zitat von: pillepalle12 am 23 Januar 2022, 14:51:18

Ist fail2ban noch aktuell und sollte funktionieren oder wurde es abgeschafft? nutzt es noch jemand?

Danke Euch

Ja, ich nutze es noch und es funktioniert einwandfrei!

Zitat von: Wernieman am 23 Januar 2022, 17:43:06
Meine persönliche Meinung?

Am besten FHEM nicht erreichbar machen (bzw., nur mit VPN). Und wenn doch nötig,(wie bei mir) einem passwortgeschützten Reserve-Proxy ... und den mit fail2ban absichern ....

Die Antwort geht komplett an die Frage vorbei und hilft ihm keineswegs!

JensS · 23 Januar 2022, 18:45:05

Das FHEM-Jail dient zur Absicherung in der letzten Instanz. Wenn ein User noch keinen passwortgesicherten Reverse_Proxy oder VPN hat, bringt es einen gewissen Grundschutz. Im Übrigen sollte Fail2Ban ebenfalls zwingend für den Reverse_Proxy und das VPN eingerichtet sein.

@pillepalle12
Fail2Ban blockt in der Standardkonfiguration keine lokalen Netzwerkadressen. Hast du es intern oder extern getestet?
Die Informationen für Fail2Ban kommen aus dem FHEM-Log. Ist der Pfad richtig eingetragen?
Der erfolglose Loginversuch wird auch nur dann ins Log geschrieben, wenn im Device "global" das Attribut "verbose" mit 3 oder höher eingetragen ist.

Gruß Jens

pillepalle12 · 23 Januar 2022, 18:58:31

Danke Tom111 und Jens,

ich hab es extra extern übers Handy mit mobilen Daten getestet, auch der Pfad stimmt und global hat verbose 3... es ist mir ein Rätsel.

Werde jetzt nochmal fail2ban löschen und die Installation wiederholen, mal sehen ob ich es hin bekomme.
Danke Euch

MadMax-FHEM · 23 Januar 2022, 19:50:16

Zitat von: pillepalle12 am 23 Januar 2022, 18:58:31
Danke Tom111 und Jens,

ich hab es extra extern übers Handy mit mobilen Daten getestet, auch der Pfad stimmt und global hat verbose 3... es ist mir ein Rätsel.

Werde jetzt nochmal fail2ban löschen und die Installation wiederholen, mal sehen ob ich es hin bekomme.
Danke Euch

Du hast aber schon die für fhem notwendigen Filter-Einstellungen eingegeben!?

Weil nur fail2ban installieren reicht ja nicht.

Gruß, Joachim

Wernieman · 23 Januar 2022, 20:04:14

Und auch geprüft, ob die Loginversuche wirklich im FHEM-Logfile auftauchen?

Hinweis: Wir sind nicht unter WIndows, wo deinstallieren/installieren häufig Hilft.

@Tom111

ZitatDie Antwort geht komplett an die Frage vorbei und hilft ihm keineswegs!

... aber dieser Satz hilft ihm total ...