Test

-user- · 19 Dezember 2019, 10:51:40

edit...

yersinia · 19 Dezember 2019, 11:18:41

FHEM-Hacker mit fail2ban blocken?

yersinia · 19 Dezember 2019, 11:24:22

Mit welchem Fehler wird der Start abgebrochen?
Welches OS ist auf deinem pi?

EDIT: Ahnung ist relativ

Hast du mal ab diesem Post angefangen zu lesen? Möglicherweise ist das analog zu deinem Problem...

yersinia · 19 Dezember 2019, 11:31:22

Gut, ist nicht gestartet. Versuche den Service mal manuell zustarten - der fehler für den exit-code wäre interessant, und dies müsste der service ausspucken.

Btw, ich nutze kein fail2ban, mein pi ist von außen nicht zu erreichen.

EDIT: schau mal: fail2ban Troubleshooting, insb ab:

Zitat[Q] Fail2Ban will not start and is giving me the following error message "Job for fail2ban.service failed. See 'systemctl status fail2ban.service' and 'journalctl -xn' for details." but checking those does not help me trace where my error is.

Also: logs auswerten....

swhome · 19 Dezember 2019, 13:20:13

Ich hab einen Apache mit letsencrypt SSL Zertifikat davor, das scheint den Scriptern zu mühsam zu sein. Alles ruhig.

willib · 19 Dezember 2019, 13:38:44

Mal ne blöde Frage:
Diese Probleme haben nur Leute die einen oder mehrere Ports nach draußen geöffnet haben, oder?

CoolTux · 19 Dezember 2019, 13:48:12

Zitat von: willib am 19 Dezember 2019, 13:38:44
Mal ne blöde Frage:
Diese Probleme haben nur Leute die einen oder mehrere Ports nach draußen geöffnet haben, oder?

ja

Wernieman · 19 Dezember 2019, 15:24:53

Da der "Angreifer" aber 3 (oder Mehr) versuche hat und FHEM nicht auf Sicherheit aufgebaut ist, würde ich fhem nicht nach draußen offen lassen. Eventuell gibt es eine Möglichkeit am Passwort vorbei Befehle abzusetzen?

Wenn wirklich nötig, mal einige Stichworte:
- VPN
- Proxy (apache, nginx o.Ä.) mit deren Authentifizierung
- SSH-proxy

claudio-fhem · 19 Dezember 2019, 16:40:21

Einen openVPN Tunnel zu buddeln ist wirklich keine Kunst. Ein Raspi hat nur wenig Widerstandskraft gegen Angriffe von aussen. Ich würde das Risiko nicht eingehen...

Patrik.S · 20 Dezember 2019, 14:43:47

Zitat von: swhome am 19 Dezember 2019, 13:20:13
Ich hab einen Apache mit letsencrypt SSL Zertifikat davor, das scheint den Scriptern zu mühsam zu sein. Alles ruhig.

Ich muss dich leider korrigieren, denn ein SSL Zertifikat schützt in keinster Weise vor einem Angriff.
Damit wird die Kommunikation einfach nur verschlüsselt und kann verhindern das du in einem öffentlichen WLAN deine Daten ungeschützt versendest.
Der Angreifer hat bei vernünftigen SSL Zertifikaten dann sogar den Vorteil, das er deinen Hostnamen kennt und dich somit dauerhaft wiederfindet, siehe myfritz.net Adressen.

Anders würde es aussehen, wenn dein Server ein Client Zertifikat verlangen würde, dann wäre ein SSL Zertifikat ein weiterer zusätzlicher Schutz.

FHEM ist definitiv nicht auf Sicherheit gebaut und sollte nur per VPN oder Reverse-Proxy mit Authentifizierung nach außen offen sein und mind. mit einem SSL Zertifikat und einem zusätzlichen Client Zertifikat als 2. Faktor neben dem Username/Passwort

JensS · 20 Dezember 2019, 16:40:02

Die fail2ban-Anleitung ist als eine einfache Maßnahme gedacht - und funktioniert einfach. Auch im lokalen Netzwerk.
Natürlich wird ein offener Port immer angegriffen. Das ist ein Hase-und-Igel-Spiel und betrifft aber nicht nur FHEM, sondern alle Dienste - auch Apache bzw. diverse VPN-Services.
Daher sehe ich es als wichtigste Maßname an, das Linux-System und FHEM immer aktuell zu halten.
Dann ist ein Raspi genau so sicher, wie ein normaler Server - halt nur langsamer.

Gruß Jens

p.s. Ich nutze zusätzlich einen Reverse-Proxy mit Letsencrypt und SSL. Nachteil - longpoll funktioniert nicht richtig.

CoolTux · 20 Dezember 2019, 17:15:06

Zitat von: JensS am 20 Dezember 2019, 16:40:02

p.s. Auch ich nutze einen Reverse-Proxy mit Letsencrypt und SSL. Nachteil - longpoll funktioniert nicht richtig.

Ich nutze HAProxy und hier geht longpoll super. Soll aber wohl Probleme mit Apple Browser geben.

amenomade · 20 Dezember 2019, 17:24:23

Zitat von: CoolTux am 20 Dezember 2019, 17:15:06
Ich nutze HAProxy und hier geht longpoll super. Soll aber wohl Probleme mit Apple Browser geben.

Na gut... Apple mit opensource und freie Software... so ein Art Oxymoron, oder?

swhome · 24 Dezember 2019, 09:31:38

Zitat von: Patrik.S am 20 Dezember 2019, 14:43:47
Ich muss dich leider korrigieren, denn ein SSL Zertifikat schützt in keinster Weise vor einem Angriff. [...]
Anders würde es aussehen, wenn dein Server ein Client Zertifikat verlangen würde, dann wäre ein SSL Zertifikat ein weiterer zusätzlicher Schutz.

Patrik, Du hast natürlich völlig Recht. Ich vergass zu erwähnen dass ich den Apache auch noch mit einem forms-based Login konfiguriert habe und nicht den FHEM eigenen Passwortschutz nutze. Client-Zertifikat und Passwort wäre aber natürlich die feinste Lösung. Frohe Weihnachten!

Peteruser · 25 Dezember 2019, 13:34:49

Hallo,
eine IP zu Blocken kostet dem Angreifer einen Klick, dann geht es mit einer anderen IP froh weiter.
Erreichbar sollte das Ding nur über einen VPN-Tunnel sein, das ist heute das Mittel der Wahl und einfach einzurichten.

Ich frage mal von der anderen Seite, warum ist da was offen?
Zum Fernsteuern und Abfragen ist Telegram ein guter und einfacher Freund.

Grüße Peter