Skip to content

fail2ban: ein schönes Logfilemonitoring

fail2ban ist ein Programm zum Monitoren von Logfiles - hauptsächlich um Einbruchsversuche zu verhindern; sprich wenn jemand versucht sowas wie Paßwortraten zu machen.
Ich habe das ganze modifiziert, so dass es a) mit Solaris 10 und b) mit Apache-Logfiles funktioiniert - und zwar so dass normale Leute nicht gestört werden, wenn aber jemand Webseiten "abrippen" will wird er geblockt.
Einiges ist mir dabei aufgefallen:

Ein "normales" Logfile-Rotieren im Sinne von "guck nach dem Datum" geht bisher nicht; der ConfigParser von Python sieht so etwas wohl nicht vor. Aber ein Reload sollte an der Stelle reichen; fail2ban schaiut dann nach welche Logfiles neu sind (wenn man mit Wildcards arbeitet) und liest diese dann ein.

Ausserdem scheint es alle Logfiles von Anfang bis Ende erstmal durchzuarbeiten. Das hat mich gewundert, weil der Prozess erstmal eine CPU ganz für sihc beanspruchte, aber nichts passierte. Erst als er quasi an die aktuellen Logfiles kam (9 Uhr und später) kam plötzlich Bewegung - er hat fliessig IPs gebannt. Ich muss mal schauen ob das gerechtfertigt ist, aber offensichtlich startet er beim Zählen beim Starten von fail2ban und nicht dann, wenn es im Logfile eingetragen ist. Das muss ich im Zweifelsfall nachfragen und eventuell ändern. Noch weiss ich nicht warum ich einen Exit-Code von 100 bekomme wenn er bannt, aber auch das bekomme ich noch raus...

Ansonsten sieht fail2ban in der 0.7er-Version zumindest für mich gut aus. Ein XML-File für die Solaris-10-SMF habe ich schon gebaut und werde ich wohl nächstens auch dem Projekt zur Verfügung stellen.

Admintipp des Tages

....ein Drucker wird vom Rechner erst gefunden wenn auch der auf WLAN-Verschlüsselung umgestellt ist und nicht wie früher MAC-Basierte Einschränkung läuft...

CCCebit: Stand verwaist

Ich weiss jetzt nicht was peinlicher ist: Der CCCebit (der jährliche Negativpreis des CCC) dieses Jahr (da momentan wegen s9y-Problem nicht linkbar: http://www.heise.de/newsticker/meldung/87093) sollte an nordrhein-westfälische Landesregierung gehen. Ist es nun peinlicher das Ziel zu sein oder gar kein Rückgrat zu haben? Als der Preis wie abgesprochen um 15 Uhr heute übergeben werden sollte war keine einzige Standperson am Stand.
Wollen sie damit ausdrücken dass sie Angst haben so einen Negativpreis zu bekommen? Dass die Personen auf dem Stand nicht hinter den Entscheidungen des Landtages stehen? Oder warum war keiner da? Wenn sie ignoriert hätten (Kinderei oder so) wäre das fast normal gewesen - aber dass demonstrativ keiner am Stand war?

Cebit: Neues Jahr und Veränderungen

Dieses Jahr war für mich ein Hardcore-Cebit-Jahr: Frühmorgens anreisen, ein paar Stunden da sein, abends wieder abreisen. Diesmal ohne Standfete weil ich weder Unterkunft noch Zeit hatte.
Das Hinfahren war erstaunlich ruhig - der ICE hielt in Laatzen (und nicht wie auf dem Ticket draufgedruckt Hauptbahnhof)
Für mich war erstaunlich wieviel Platz in einingen Hallen war - okay, es waren fast nur Fachbesucher da (so wie man sich das auf einer Messe wünscht :), aber es gab erstaunlicherweies auch Platz zum Sitzen, Ecken mit einfach nur Teppichboden wo man ein wenig ausruhen konnte - das gab es früher durch die große Ausstellerzahl einfach nicht. Auch sonst war die Messe zwar gefüllt, aber nicht überfüllt - man konnte durchaus überall rumgehen, etwas anschauen (okay, bei Ständen wie Logitech mit neuester PS3 und so wars trotzdem voll) und wurde nicht bedrängt. Fand ich ok ;-)
Der SUN-Stand war sehr viel kleiner geworden - die Partner von SUN ware nwoanders untergekommen und SUN selbst hat sich auf seine eigenen Sachen konzentriert - Solaris 10, ZFS, und die neuen Maschinen und Prozessorgenerationen.
Was mir aufgefallen ist dass viele Stände inzwischen viel Platz für "interne" Gespräche hatten - es gab den öffentlichen Teil aber auch den "privaten", in dem mit Leuten Gespräche geführt werden konnten - wer einen Termin hatte konnte dort in Ruhe mit seinem Gesprächspartner reden. Hatte ich weniger - ich wusste erst seit Freitag dass ich auf die Cebit fahren würde, da konnte ich keine Termine ausmachen. Und auch Jörg Möllenkamp war leider nicht mehr da - er war schon Sonntag abgereist.
Was bleibt? Einige nette Leute wiedergetroffen (Rene, Carola), die üblichen Verdächtigen bei Ständen gesehen, keine Devotionalien mitgenommen - irgendwie weiss ich einfach dass ich diese Dinger nie ernsthaft nutzen werde...
Und abends wieder in den ICE setzen der einen heimbringt macht dann durchaus Spaß.

Technik-Museum Sinsheim: Concorde und Tupolev





















Da man Sonntags bekanntlich keinen Lärm machen darf (und wir demzufolge nicht am Arbeitszimmer arbeiten konnten) haben wir das tolle Wetter genutzt und sind nach Sinsheim ins Technik-Museum gefahren - genau das Museum, welches von der Autobahn weithin
sichtbar ist durch die Concorde und die Tupolev die deutlich zu sehen sind.
Erstaunlicherweise war wenig los im Museum - fast keine Schlange an der Kasse und das Museumsgelände ist sehr weitgestreckt so dass die Besucher sich nicht auf den Zehen standen. Zuerst gingen wir durch die Auto- und Militärsektion in der einen großen Halle (viele US-Amerikanische Autos stehen da, aber auch ostdeutsche Panzer sind zu sehen oder ähnliches) bevor wir uns dem Highlight zuwenden - den Flugzeugen auf der anderen Halle. In Halle 2 gibt es noch einige schöne Autos zu sehen, aber wir gehen relativ schnell auf das Dach und in die einzelnen Flugzeuge hinein. Für die Concorde und die Tupolev gibt es Schleusen, damit nur eine bestimmte Anzahl von Leuten wirklich hochgeht - wenn man im Flugzeug ist wird einem auch klar, warum: Die Gänge sind relativ eng und immer maximal drei Leute können wirklich ins Cockpit schauen. Insofern ist das ganze sinnvoll organisiert. Die herumwuselnden Kinder stören dabei weniger, für die ist es aufregend in einem Raum zu sein der 15° geneigt ist - der Startwinkel für die Überschallflieger.
Die Fotos zeigen hauptsächlich die beiden beeindruckendsten Flugzeuge - der Besuch hat auf jeden Fall Spass gemacht und kann zur Nachahmung empfohlen werden :-)

Arbeitszimmer zweite Generation

















Leute die mich besuchen kriegten bisher mein Arbeitszimmer nicht zu sehen - aus gutem Grund: Es war voll. Drinnen standen drei Regale, ein 19"-Schrank, ein Schreibtisch - und jede Menge Zeug auf dem Boden.
Vor knapp einem Jahr meinte ein Freund zu einer Bekannten beim Durchgehen durch die Wohnung, er würde gerne daraus ein echtes Arbeitszimmer basteln.
Im November nahm ich ihn dann beim Wort und bat ihn, mir mal seine Ideen aufzuzeichnen. Das tat er (genialerweise gleich gerendert so dass man das ganze sich anschauen konnte) und ich war begeistert von den Ideen; wir wollten das realisieren.
Also habe ich im Januar angefangen auszumüllen - viel Zeug habe ich weggeworfen (gut so!), einiges verschenkt, einiges verkauft. Der 19"-Schrank ging nun auch weg ;-)
Der erste Versuch das ganze aufzubauen scheiterte - die Grippewelle war im Anmarsch und die Helfer waren krank. Aber immerhin hatte ich schon jede Menge Möbelplatten gekauft und in den vierten Stock geschleppt, das Zimmer war inzwischen auch leer (bis auf 19"-Schrank und PCs).
Letzte Woche Samstag rückten sie dann an - drei Leuts, jede Menge Bastelmaterial, Werkzeug, Energie und guter Laune. Samstag war dann erstmal alles Ausladen und die ersten Teile anschauen angesagt, mehr war nicht drin (sie sind wohl, wenn man den Staumeldungen Glauben schenken darf, direkt vor dem Sturm vorgefahren, hatten also viel Glück...). Die ersten Löcher in die Wand haben wir auch gebohrt.
Für Sonntag haben wir uns dann eher dazu entschieden, ins Technikmuseum nach Sinsheim zu fahren - ein lohnender Ausflug.
Montag, Dienstag und Mittwoch war dann Schufterei angesagt - insgesamt sollten zwei Regale, ein PC-Schrank und eine Arbeitsplatte aufgebaut werden. Das eine Regal "hat jemand schon ein Regal ohne Böden gesehen?" wird mit APAs bestückt - Boxen ovn Ikea; recht günstig aber sehr stabil; selbst ich kann mich draufstellen und ihnen passiert nix. Ausserdem sind sie gut als Auflagen fürs Zuschneiden zu benutzen. Sechs APAs passen nun in das Regal rein - und man kann sich auf die Regalwände stellen und keine der Halterungen knallt damit weg...
Das zweite Regal sind jede Menge Möbelplatten, die über eine Lochrasterleiste festgehalten werden. Zusätzlich Stabilität gibt es durch Aluprofile an den Ecken.
Das schwerste, aber auch schönste Projekt beim Arbeitszimmer war aber der PC-Schrank in Kombination mit Arbeitsplatten:
Der PC-Schrank hat unten die PCs stehen und hinten - wie ein Kamin - den Wärmeaustausch durch Lüfter. Über den PCs ist dann der "normale" Schrank mit Ordnern und anderem Zeugs drin.
Die Überraschung ist meinen Freunden dann gelungen als sie mir die Tür zeigten: Dort war noch ein Lüfter installiert. Dieser hat dann eine Temperaturanzeige; ich kann also dann schon sehen wie warm es den Rechnern drinnen ist. (Im Schrank haben wir dann noch einen Temperaturfühler der mir sagt wie warm es hinter den Lüftern ist, auch eine gute Anzeige). Sieht besonders im Dunkeln sehr witzig aus!
Daneben haben wir dann gestern noch die Arbeitsplatte montiert: Genau in Sitzhöhe, mit einer zusätzlichen Arbeitsplatte die sich ausschwenken lässt. Diese letzte Platte hält auch locker eine Person aus, das wurde auch getestet ;-)
Drüber gibts noch einen Regalböden unter den LEDs angebracht sind - diese sind erstaunlich lichthell geworden!
Und zum Abschluß gibts nun ein paar Bilder vom "neuen" Arbeitszimmer. Was noch überbleibt? Einräumen....



Online Einkaufen, heute kmelektronik

Heute mal ein Beitrag zum Thema Online einkaufen.
Mache ich durchaus gerne, wenn ich schon ziemlich genau weiss was ich suche - diesmal war es eine Notebook-Platte und ein USB2Serial-Adapter. Die Bestellung sollte in die Filiale Stuttgart-City geliefert werden - das spart mir die Versandkosten.
Direkt nach der Bestellungs-Aufgabe sah ich dass die Bestellung nun doppelt war - einmal sollte sie nach Bochum geschickt werden einmal nach Stuttgart. Da ich vor Ort-Bezahlung angegeben habe war das nicht so schlimm, es hatte mich aber gewundert und flugs schrieb ich ihnen eine Mail um sie drauf aufmerksam zu machen. Stornieren ging übrigens nicht, da gabs dann MySQL-Fehlermeldungen.

Die erste Antwort von kmelektronik besagte dass sie die doppelte Buchung nicht finden können. Ich schrieb dann nochmal zurück wann ich bestellt hatte usw. und die näcshte Antwort war dass sie sich drum kümmern wollten.
Nun ja, beide Bestellungen waren noch da, nur der usb2serial-Adapter war rausgenommen. Lustig. Aber wenn sie meinen...

Nun habe ich ein paar Tage gewartet; laut webseite dauert die Bestellung 2-3 Tage. Als jetzt Ende der Woche immer noch die Festplatte im Status "Bestellt" stand habe ich doch mal in Stuttgart angerufen - und siehe da: Die Platte war längst da!

Ich weiss ja nicht wer dieses System gebaut hat, aber sonderlich praktisch scheint es nicht zu sein wenn soviel schiefgehen kann...

Kreative Angriffsmöglichkeiten

ob erklärt seine Erfahrung mit PoE (Power over Ethernet) und den Überraschungen die dabei auftreten können. Wenn man das weiterspinnt könnte man doch mal ausprobieren was passiert wenn man solche Pakete an öffentlichen Hotspots ausprobiert - Bahnhöfe, Kongresse... ich finde die Idee spannend - quasi umgedrehtes Wardriving; Nicht freie Netze ausmachen und nutzen, sondern abschalten :-)

Welcher MTA? Immer eine gute Frage

Die Firma für die ich arbeite versendet mehrfach am Tag Newsletter. Als Mails mit PDF-Anhang an interessierte Leute die sich dafür extra eintragen und die Mailadresse verifizieren lassen müssen. Der bisher benutzt sendmail wurde dafür zu langsam - ausserdem oknnte ich da einige Sachen nicht einstellen. Also ging ich auf die Suche nach einem neuen MTA für diese Aufgabe.
Zuerst ging ich zu Exim. Das kenne ich gut von Debian her, war recht einfach zu konfiguireren - und ich konnte für einige Massenhoster auch Ratelimits einstellen; manchmal sehr praktisch.
Dann wunderte ich mich warum der Newsletter so lange brauchte: Nun ja - die Liste der Empfänger ist eine Alias-Datei. Diese wird bei exim seriell abgearbeitet - nur ein Queue Runner kann die Mail ausliefern. Da war iuch zwar drüber überrascht, aber gut. Damit war exim (leider) gestorben.
Postfix kam als nächstes an die Reihe. Übers Wochennede hatte ich dazu zwei Bücher mir angeschuat und im Kopf eine Grundkonfiguriation gebaut und diese gestern aufgebaut.
Was soll ich sagen? Bis auf Spezialtransporte für Rate-Limits ging das alles sehr flott. Ich kam mit dem logfile gar nicht mehr hinterher, so schnell waren die Mails versendet. Ich habe dann noch für einige Mailhoster dank dk_ und Jor noch einen eigenen Rate-Limitierten Transport gebaut, aber alles andere sieht richtig gut aus. Nun habe ich wieder was über MTAs gelernt ;-)

Checkpoints Werbegeschenke...

<x> tolles Werbegeschenk von Check point - ein 128MByte USB stick (schoenes design, klein und schmal), aber laut USB storage device properties ein READ ONLY device.
<x> und Apple Mac OS X glaubt das natuerlich und weigert sich das Geraet zu beschreiben.
<x> linux und windows kuemmern sich hingegen einen dreck drum und schreiben munter drauf.
<y> "sicher!"

Wolfgang Schäuble und die Bundesbürger....

Schon ob moniert möchte unser lieber Bundesinnenminister ein weiteres Mal die Bürger am liebsten einfach nicht mehr mündig sehen: In einem Interview in der TAZ spricht Wolfgang Schäuble über seine Ansichten zur Online-Hausdurchsuchung und den "neuen" Ermittlungsmethoden.
Ein Zitat:


Denken Sie an die Nutzung der DNA-Analyse. Sie hat viele Fahndungserfolge gebracht, aber auch vielen fälschlich verdächtigten oder verurteilten Menschen ermöglicht, ihre Unschuld zu beweisen.


Seit wann muss man eigentlich seine Unschuld beweisen? War das im Gesetz nicht genau andersrum formuliert - die Schuld muss bewiesen werden, solange hat man als Unschuldig zu gelten?

Ein weiteres Zitat:


Nein, ich öffne grundsätzlich keine Anhänge von E-Mails, die ich nicht genau einschätzen kann. Außerdem bin ich anständig, mir muss das BKA keine Trojaner schicken.


Hmm. Wer definiert denn anständig? Und wenn es nicht der Bundestrojaner ist, welche Phishing-Mail erreicht ihn dann? (Okay, er hat seine Sekretäre für sowas. Die machen notfalls den Fehler, die Schuld kann er dann von sich schieben).

Noch ein Zitat gefälig?


Nein, es gibt Fälle, da würden die Ermittlungen vorschnell gestört, wenn die Polizei eine Hausdurchsuchung macht. Dann würden Hintermänner und Komplizen gewarnt und könnten ausweichen. Außerdem ist ein Laptop ja auch leicht zu verstecken, vielleicht wird er bei einer Durchsuchung gar nicht gefunden. Ans Internet muss er aber immer wieder.


Wenn ich das richtig lese heisst das, jede Hausdurchsuchung die ja absichtlich mit Zeugen gemacht werden muss könnte potentiell gefährlich sein und daher muss sie ohne den Beschuldigten stattfinden. Spannend. Wann wird das wohl Realität?

(Ach ja: falls jemand diesen Bundestrojaner mal sieht: den kann man bestimmt auch Politikern senden. Es wird dann spannend wie die Daten ausgewertet werden :-)