edit...
FHEM-Hacker mit fail2ban blocken (https://forum.fhem.de/index.php/topic,84576.0.html)?
Mit welchem Fehler wird der Start abgebrochen?
Welches OS ist auf deinem pi?
EDIT: Ahnung ist relativ ::) Hast du mal ab diesem Post angefangen zu lesen (https://forum.fhem.de/index.php/topic,84576.msg884378.html#msg884378)? Möglicherweise ist das analog zu deinem Problem...
Gut, ist nicht gestartet. Versuche den Service mal manuell zustarten - der fehler für den exit-code wäre interessant, und dies müsste der service ausspucken.
Btw, ich nutze kein fail2ban, mein pi ist von außen nicht zu erreichen.
EDIT: schau mal: fail2ban Troubleshooting (https://github.com/fail2ban/fail2ban/wiki/Troubleshooting), insb ab:
Zitat[Q] Fail2Ban will not start and is giving me the following error message "Job for fail2ban.service failed. See 'systemctl status fail2ban.service' and 'journalctl -xn' for details." but checking those does not help me trace where my error is.
Also: logs auswerten....
Ich hab einen Apache mit letsencrypt SSL Zertifikat davor, das scheint den Scriptern zu mühsam zu sein. Alles ruhig.
Mal ne blöde Frage:
Diese Probleme haben nur Leute die einen oder mehrere Ports nach draußen geöffnet haben, oder?
Zitat von: willib am 19 Dezember 2019, 13:38:44
Mal ne blöde Frage:
Diese Probleme haben nur Leute die einen oder mehrere Ports nach draußen geöffnet haben, oder?
ja
Da der "Angreifer" aber 3 (oder Mehr) versuche hat und FHEM nicht auf Sicherheit aufgebaut ist, würde ich fhem nicht nach draußen offen lassen. Eventuell gibt es eine Möglichkeit am Passwort vorbei Befehle abzusetzen?
Wenn wirklich nötig, mal einige Stichworte:
- VPN
- Proxy (apache, nginx o.Ä.) mit deren Authentifizierung
- SSH-proxy
Einen openVPN Tunnel zu buddeln ist wirklich keine Kunst. Ein Raspi hat nur wenig Widerstandskraft gegen Angriffe von aussen. Ich würde das Risiko nicht eingehen...
Zitat von: swhome am 19 Dezember 2019, 13:20:13
Ich hab einen Apache mit letsencrypt SSL Zertifikat davor, das scheint den Scriptern zu mühsam zu sein. Alles ruhig.
Ich muss dich leider korrigieren, denn ein SSL Zertifikat schützt in keinster Weise vor einem Angriff.
Damit wird die Kommunikation einfach nur verschlüsselt und kann verhindern das du in einem öffentlichen WLAN deine Daten ungeschützt versendest.
Der Angreifer hat bei vernünftigen SSL Zertifikaten dann sogar den Vorteil, das er deinen Hostnamen kennt und dich somit dauerhaft wiederfindet, siehe myfritz.net Adressen.
Anders würde es aussehen, wenn dein Server ein Client Zertifikat verlangen würde, dann wäre ein SSL Zertifikat ein weiterer zusätzlicher Schutz.
FHEM ist definitiv nicht auf Sicherheit gebaut und sollte nur per VPN oder Reverse-Proxy mit Authentifizierung nach außen offen sein und mind. mit einem SSL Zertifikat und einem zusätzlichen Client Zertifikat als 2. Faktor neben dem Username/Passwort
Die fail2ban-Anleitung ist als eine einfache Maßnahme gedacht - und funktioniert einfach. Auch im lokalen Netzwerk.
Natürlich wird ein offener Port immer angegriffen. Das ist ein Hase-und-Igel-Spiel und betrifft aber nicht nur FHEM, sondern alle Dienste - auch Apache bzw. diverse VPN-Services.
Daher sehe ich es als wichtigste Maßname an, das Linux-System und FHEM immer aktuell zu halten.
Dann ist ein Raspi genau so sicher, wie ein normaler Server - halt nur langsamer.
Gruß Jens
p.s. Ich nutze zusätzlich einen Reverse-Proxy mit Letsencrypt und SSL. Nachteil - longpoll funktioniert nicht richtig.
Zitat von: JensS am 20 Dezember 2019, 16:40:02
p.s. Auch ich nutze einen Reverse-Proxy mit Letsencrypt und SSL. Nachteil - longpoll funktioniert nicht richtig.
Ich nutze HAProxy und hier geht longpoll super. Soll aber wohl Probleme mit Apple Browser geben.
Zitat von: CoolTux am 20 Dezember 2019, 17:15:06
Ich nutze HAProxy und hier geht longpoll super. Soll aber wohl Probleme mit Apple Browser geben.
Na gut... Apple mit opensource und freie Software... so ein Art Oxymoron, oder?
Zitat von: Patrik.S am 20 Dezember 2019, 14:43:47
Ich muss dich leider korrigieren, denn ein SSL Zertifikat schützt in keinster Weise vor einem Angriff. [...]
Anders würde es aussehen, wenn dein Server ein Client Zertifikat verlangen würde, dann wäre ein SSL Zertifikat ein weiterer zusätzlicher Schutz.
Patrik, Du hast natürlich völlig Recht. Ich vergass zu erwähnen dass ich den Apache auch noch mit einem forms-based Login konfiguriert habe und nicht den FHEM eigenen Passwortschutz nutze. Client-Zertifikat und Passwort wäre aber natürlich die feinste Lösung. Frohe Weihnachten!
Hallo,
eine IP zu Blocken kostet dem Angreifer einen Klick, dann geht es mit einer anderen IP froh weiter.
Erreichbar sollte das Ding nur über einen VPN-Tunnel sein, das ist heute das Mittel der Wahl und einfach einzurichten.
Ich frage mal von der anderen Seite, warum ist da was offen?
Zum Fernsteuern und Abfragen ist Telegram ein guter und einfacher Freund.
Grüße Peter