Hi, um FHEM mit fail2ban anzusichern, brauche ich einen Logeintrag, welcher einen abgewiesenen Loginversuch dokumentiert. Leider weiß ich nicht, mit welchem Device und Attribut das zu bewerkstelligen ist. Bitte helft mir auf die Sprünge.
Gruß Jens
allowed, verbose 4
Danke aber es funktioniert leider nicht.
attr allowed_WEB verbose 4ist gesetzt aber in der Datei fhem-2018-02.log tut sich nichts, wenn ich ein falsches Kennwort eingebe. Kann es sein, dass die Ausgabe in meine DbLog-Instanz geleitet wird?
defmod allowed_WEB allowed
attr allowed_WEB basicAuth xxxxxxxxxx
attr allowed_WEB validFor WEB
attr allowed_WEB verbose 4
setstate allowed_WEB validFor:WEB
setstate allowed_WEB 2018-02-14 10:40:03 state validFor:WEB
Gruß Jens
Sorry, habe nicht genau aufgepasst: allowed mit verbose 4 liefert bisher nur Meldungen, falls bestimmte Befehle untersagt sind. Abgewiesene Anmeldungen werden z.Zt. gar nicht protokolliert, ich habe das jetzt wenigstens fuer FHEMWEB/basicAuth geaendert. FHEM-update ab morgen.
Ich finde verbose 4 unglücklich gewählt. So eine klare Aussage wie "hier würde versucht sich an zu melden" könnte meiner Meinung nach ruhig ab 3 eine Meldung generieren.
Danke! :)
ZitatIch finde verbose 4 unglücklich gewählt. So eine klare Aussage wie "hier würde versucht sich an zu melden" könnte meiner Meinung nach ruhig ab 3 eine Meldung generieren.
Da hast du wohl recht, ich habe mich nur an die Meldungen bzgl. "Forbidden device/Forbidden command" angelehnt. Habe aber jetzt alle 3 auf verbose 4 geaendert.
Zitat von: rudolfkoenig am 14 Februar 2018, 19:04:02
Habe aber jetzt alle 3 auf verbose 4 geaendert.
Du meinst verbose 3, oder?
@dirigent:
Wärst du so nett, den Filter für fail2ban hier zu Verfügung zu stellen, wenn du das eingerichtet hast?
Ja Rudi meint verbose 3. Ich habe ihn schon verstanden, aber um es für die anderen klar zu sagen. Es wurde von 4 auf 3 geändert.
Danke fürs mit aufpassen ;)
Jetzt kommt schon mal eine Ausgabe:2018.02.15 09:42:30 3: Login denied for via WEB_192.168.xxx.xxx_63276
Jedoch wird auch bei erfolgreicher Anmeldung und bei jedem Aufruf der Seite denied geloggt. Wenn ich den Filter fertig habe, stelle ich ihn hier zur Verfügung. Eventuell schreibe ich das Ganze aber auch in Perl, um es in FHEM nutzen zu können. Ist ja nichts weiter, als iptables.
Gruß Jens
Hast du mehrere allowed Instanzen, die validFor WEB sind?
Nein, nur generell nur eine allowed-Instanz und diese nur für WEB. Tablet und Phone ist lediglich lokal verfügbar.
Komisch. Die Zeile wird nur fuer !$pwok ausgegeben:
Log3 $me, 3, "Login denied for $user via $cl->{NAME}" if(!$pwok);
Hat noch jemand sonst dieses Problem?
Habe eine neue Variante eingecheckt, wo auch die allowed Instanz-Name ausgegeben wird.
Zitat von: rudolfkoenig am 15 Februar 2018, 16:35:27
Komisch. Die Zeile wird nur fuer !$pwok ausgegeben:
Log3 $me, 3, "Login denied for $user via $cl->{NAME}" if(!$pwok);
Hat noch jemand sonst dieses Problem?
Habe eine neue Variante eingecheckt, wo auch die allowed Instanz-Name ausgegeben wird.
Teste ich heute Abend auf meinem Testsystem
Konnte es etwas einschränken. Beim IE und Firefox wird korrekt geloggt.
Beim Edge kommt bei jedem (auch autorisiertem) Aufruf eine denied-Meldung.
Zitat von: dirigent am 15 Februar 2018, 19:27:11
Konnte es etwas einschränken. Beim IE und Firefox wird korrekt geloggt.
Beim Edge kommt bei jedem (auch autorisiertem) Aufruf eine denied-Meldung.
Wer oder was ist Edge?
@CoolTux: https://de.wikipedia.org/wiki/Microsoft_Edge
@dirigent: kannst du bitte in der neuen Zeile auch $password ausgeben, und schauen, was Edge im Problemfall sendet?
Zitat von: CoolTux am 15 Februar 2018, 19:34:12
Wer oder was ist Edge?
So ein möchtegern Browser von winzigweich.
Muss man aber ned kennen, taugt nix. [emoji23][emoji23][emoji23]
Mit dem Handy online, daher kurz gefasst...
Ah okay, danke. Also der Nachfolger vom IE, na ganz toll. Wieder einer der sich nicht an Standards hält.
Es wird weder Benutzername noch Passwort ausgegeben, obwohl ich eingeloggt bin und schalten kann.
2018.02.15 21:11:45 3: Login denied by allowed_WEB for with pass via WEB_192.168.xxx.xxx_52378
Gruß Jens
Kann ich bestätigen. Bekomme auch ein
2018.02.16 10:16:06.759 3: Login denied by allowed_WEB for via WEB_192.168.1.1_48796
trotz korrekter Anmeldung. Browser ist ein Firefox 52.6
Kurzer Test
2018.02.16 10:19:28.730 4: Connection accepted from WEB_192.168.1.1_48956
2018.02.16 10:19:28.730 3: Login denied by allowed_WEB for via WEB_192.168.1.1_48956
Das bekomme ich wenn ich mich zum ersten mal Verbinde und das basicAuth Fenster erscheint. Noch kein ausfüllen oder sonst was des basicAuth Fensters
Wenn ich mich dann entsprechend authentifiziert habe kommt
2018.02.16 10:20:34.264 4: WEB_192.168.1.1_48956 GET /; BUFLEN:0
2018.02.16 10:20:34.264 4: WEB: redirecting / to /fhem
2018.02.16 10:20:34.339 4: Connection accepted from WEB_192.168.1.1_48978
2018.02.16 10:20:34.340 4: WEB_192.168.1.1_48978 GET /fhem; BUFLEN:0
2018.02.16 10:20:34.341 4: authorize WEB/devicename/CT: allowed_WEB returned dont care
2018.02.16 10:20:34.341 4: authorize WEB/devicename/RGB: allowed_WEB returned dont care
2018.02.16 10:20:34.343 4: authorize WEB/devicename/outdoorNotifier: allowed_WEB returned dont care
2018.02.16 10:20:34.343 4: authorize WEB/devicename/Alarm: allowed_WEB returned dont care
2018.02.16 10:20:34.344 4: authorize WEB/devicename/Livingroom: allowed_WEB returned dont care
2018.02.16 10:20:34.345 4: authorize WEB/devicename/Office: allowed_WEB returned dont care
2018.02.16 10:20:34.346 4: authorize WEB/devicename/Outdoor: allowed_WEB returned dont care
2018.02.16 10:20:34.347 4: authorize WEB/devicename/AllLights: allowed_WEB returned dont care
2018.02.16 10:20:34.348 4: authorize WEB/devicename/sunRise: allowed_WEB returned dont care
2018.02.16 10:20:34.349 4: authorize WEB/devicename/sunSet: allowed_WEB returned dont care
2018.02.16 10:20:34.353 4: WEB: /fhem / RL:12455 / text/html; charset=UTF-8 / Content-Encoding: gzip
/
2018.02.16 10:20:34.595 4: Connection accepted from WEB_192.168.1.1_48980
Die Meldung bekomme ich einmalig beim Aufruf der Anmeldung per Firefox. Danach ist Ruhe im log.
Gruß Jens
Ist bei mir auch so.
Es kommt also die Meldung Login denied by obwohl noch gar kein Login an sich statt gefunden hat. Es wurde sich lediglich erst mit der Seite das erste mal verbunden um sich dann zu authentifizieren.
Hallo,
seit dem FHEM Update gestern habe ich eine "Unmenge" an folgenden Einträgen im Log:
Zitat2018.02.17 09:28:25 3: Login denied by allowed_WEB for via WEB_x.x.x.x_63032
2018.02.17 09:28:25 3: Login denied by allowed_WEB for via WEB_x.x.x.x_63034
2018.02.17 09:28:25 3: Login denied by allowed_WEB for via WEB_x.x.x.x_63033
2018.02.17 09:28:26 3: Login denied by allowed_WEB for via WEB
2018.02.17 09:28:27 3: Login denied by allowed_WEB for via WEB
2018.02.17 09:28:28 3: Login denied by allowed_WEB for via WEB
2018.02.17 09:28:28 3: Login denied by allowed_WEB for via WEB
2018.02.17 09:28:28 3: Login denied by allowed_WEB for via WEB
2018.02.17 09:28:29 3: Login denied by allowed_WEB for via WEB
2018.02.17 09:28:29 3: Login denied by allowed_WEB for via WEB
2018.02.17 09:28:30 3: Login denied by allowed_WEB for via WEB
An der Funktion (Zugriff über Handy und Tablet) hat sich nichts geändert. Funktioniert wie immer. Hatte ich schon immer ein Problem und es wird jetzt auf einmal angezeigt? Das Tablet ist ein altes Samsung. Da verwende ich das "Internet" vom Android als Browser. Auf dem Handy (iPhone) den Firefox.
Viele Grüße
Achim
https://forum.fhem.de/index.php/topic,84355.msg768017.html#msg768017
Habe allowed geaendert, dass die Meldung nur dann ausgegeben wird, wenn $user gesetzt ist.
@Benni: wg. diese fail2ban Anfrage hier habe ich _nur_ eine zusaetzliche Meldung im Log erzeugt., d.h. wenn du keine fail2ban/notify:readLog Magie hast, dann gehoert das Problem in einem separaten Thread.
Zitat von: rudolfkoenig am 17 Februar 2018, 13:38:41
@Benni: wg. diese fail2ban Anfrage hier habe ich _nur_ eine zusaetzliche Meldung im Log erzeugt., d.h. wenn du keine fail2ban/notify:readLog Magie hast, dann gehoert das Problem in einem separaten Thread.
Gerne: https://forum.fhem.de/index.php/topic,84508.msg768015.html#msg768015
Danke Rudi, :)
funktioniert perfekt.
Gruß Jens
Hier die versprochenen fail2ban-Infos.
EDIT: Unter Codeschnipsel habe ich eine kurze Anleitung geschrieben.
https://forum.fhem.de/index.php/topic,84576.msg768658.html#msg768658 (https://forum.fhem.de/index.php/topic,84576.msg768658.html#msg768658)
Gruß Jens
Super. Dankeschön