[Eisfair_dev] [E64] Problem mit brute_force_blocking 1.0.21
Olaf Jaehrling
eisfair at ojaehrling.de
Mo Jan 25 17:31:24 CET 2021
Hallo Sascha,
Sascha Pohl schrieb am 21.01.21 um 23:03:
> Hallo zusammen,
>
> ich habe auf meinem Eisfair64 als VM auf Proxmox unter anderem das Paket
> brute_force_blocking, momentan in der Version 1.0.21, installiert.
> Beim Speichern der Konfiguration und bei Erhalt einer Mail von bfb
> finden sich in /var/log/messages folgende Fehlermeldungen:
>
> sudo: wwwrun : command not allowed ; PWD=/nfs/data/data/www/cgi-bin ;
> USER=root ; COMMAND=/usr/sbin/iptables -nL BFBBLOCK
> sudo: pam_unix(sudo:auth): auth could not identify password for [wwwrun]
> sudo: pam_unix(sudo:auth): conversation failed
siehe Anmerkungen unten.
>
> Hier Ausschnitte aus meiner Konfiguration:
>
> START_BRUTE_FORCE_BLOCKING='yes'
> BFB_WAITTIME='10'
> BFB_BLOCK_USE_IPV6='yes'
> BFB_BLOCK_REMOTE_SERVER='no'
>
> BFB_REQUEST_BLOCKS_VIA_WEBSERVER='yes'
> BFB_USE_APACHE_VERSION='2'
> BFB_APACHE_DOCUMENTROOT='/var/www/htdocs'
trage hier mal bitte '/nfs/data/data/www/htdocs' ein
> BFB_HTML_INDEX_FOLDER='brute_force_blocking'
> BFB_CGI_BIN_DOCUMENTROOT='/var/www/cgi-bin/'
trage hier doch mal bitte '/nfs/data/data/www/cgi-bin/' ein
> BFB_HTML_REFRESH_PATH='./cgi-bin/brute_force_blocking.cgi'
> BFB_OWN_WEBDOMAIN_NAME='https://www.pohl-bo.de'
> BFB_SHOW_ATTACK_DETAILS_ON_WEB='yes
> BFB_WEBSERVER_LOGFILE_CLEAR='1 0 * * *'
>
> BFB_SEND_MAIL='yes'
> BFB_MAIL_TO_ADDRESS='sascha at pohl-bo.de'
> BFB_MAIL_FROM_ADDRESS='admin at pohl-bo.de'
>
> Außerdem sollte ich zur Konfiguration meines Webservers wohl noch
> erwähnen, dass /var/www per Symlink auf /nfs/data/data/www verlagert ist.
>
> Mir ist aufgefallen, dass in der Datei
> /etc/sudoers.d/brute_force_blocking folgende Zeile steht:
>
> wwwrun ALL = NOPASSWD: /usr/local/brute_force_blocking/blocked
> /usr/sbin/iptables ,/usr/sbin/ip6tables
Das muss ich nochmal eruieren. Leider habe ich kein System mehr mit
iptables, da iptables ja in naher Zukunft durch nftables abgelöst wird.
Ich muss mir also in einer VM erstmal ein EIS mit iptables aufsetzen.
>
> Meine Vermutung ist, dass es sich bei dem Komma um einen Tippfehler
> handelt, der den Fehler verursacht.
Ja, das vermute ich auch, aber nicht weil das Komma so verrutscht ist,
sondern weil eins fehlt. Zwischen jedem Eintrag muss ein Komma stehen.
>
> Außerdem ist mir noch ein weiterer Fehler aufgefallen, von dem ich
> denke, dass es eine Folge des obigen Fehlers sein könnte:
>
> Wenn ich im Webbrowser die Adresse
> https://www.pohl-bo.de/cgi-bin/brute_force_blocking.cgi
> aufrufe, dann erhalte ich den Logreport.
> Wenn ich dort auf den Link einer IP-Adresse klicke, so soll z.B.
> folgende Seite aufgerufen werden:
>
> https://www.pohl-bo.de//198.46.186.105.html
Das ist eine Ursache von den fehlerhaften Einträgen oben. Symlinks sind
sch... nimm lieber bind
in /etc/fstab:
/nfs/data/data/www /var/www none rw,bind 0 0
Damit wird der komplette Ordner /var/www an /nfs/data/data/www gebunden
Alles was du in /nfs/data/data/www wird auch in /var/www dargestellt
Kontrollieren kannst du das mit dem Befehl 'mount'
>
> Dort fehlt mittendrin das brute_force_blocking und so gelingt das
> natürlich nicht.
>
> Ich hoffe, ich habe mich verständlich ausgedrückt.
Ich jetzt auch :D
Gruß
Olaf
>
>
> Grüße
> Sascha
--
Paketserver: https://ojaehrling.de/eis/index.txt
Mehr Informationen über die Mailingliste Eisfair_dev