[Eisfair_dev] [E64] Problem mit brute_force_blocking 1.0.21

Sascha Pohl sascha at pohl-bo.de
Do Jan 21 23:03:18 CET 2021 

Hallo zusammen,

ich habe auf meinem Eisfair64 als VM auf Proxmox unter anderem das Paket 
brute_force_blocking, momentan in der Version 1.0.21, installiert.
Beim Speichern der Konfiguration und bei Erhalt einer Mail von bfb 
finden sich in /var/log/messages folgende Fehlermeldungen:

sudo:   wwwrun : command not allowed ; PWD=/nfs/data/data/www/cgi-bin ; 
USER=root ; COMMAND=/usr/sbin/iptables -nL BFBBLOCK
sudo: pam_unix(sudo:auth): auth could not identify password for [wwwrun]
sudo: pam_unix(sudo:auth): conversation failed

Hier Ausschnitte aus meiner Konfiguration:

START_BRUTE_FORCE_BLOCKING='yes'
BFB_WAITTIME='10'
BFB_BLOCK_USE_IPV6='yes'
BFB_BLOCK_REMOTE_SERVER='no'

BFB_REQUEST_BLOCKS_VIA_WEBSERVER='yes'
BFB_USE_APACHE_VERSION='2'
BFB_APACHE_DOCUMENTROOT='/var/www/htdocs'
BFB_HTML_INDEX_FOLDER='brute_force_blocking'
BFB_CGI_BIN_DOCUMENTROOT='/var/www/cgi-bin/'
BFB_HTML_REFRESH_PATH='./cgi-bin/brute_force_blocking.cgi'
BFB_OWN_WEBDOMAIN_NAME='https://www.pohl-bo.de'
BFB_SHOW_ATTACK_DETAILS_ON_WEB='yes
BFB_WEBSERVER_LOGFILE_CLEAR='1 0 * * *'

BFB_SEND_MAIL='yes'
BFB_MAIL_TO_ADDRESS='sascha at pohl-bo.de'
BFB_MAIL_FROM_ADDRESS='admin at pohl-bo.de'

Außerdem sollte ich zur Konfiguration meines Webservers wohl noch 
erwähnen, dass /var/www per Symlink auf /nfs/data/data/www verlagert ist.

Mir ist aufgefallen, dass in der Datei 
/etc/sudoers.d/brute_force_blocking folgende Zeile steht:

wwwrun ALL = NOPASSWD: /usr/local/brute_force_blocking/blocked 
/usr/sbin/iptables ,/usr/sbin/ip6tables

Meine Vermutung ist, dass es sich bei dem Komma um einen Tippfehler 
handelt, der den Fehler verursacht.

Außerdem ist mir noch ein weiterer Fehler aufgefallen, von dem ich 
denke, dass es eine Folge des obigen Fehlers sein könnte:

Wenn ich im Webbrowser die Adresse
https://www.pohl-bo.de/cgi-bin/brute_force_blocking.cgi
aufrufe, dann erhalte ich den Logreport.
Wenn ich dort auf den Link einer IP-Adresse klicke, so soll z.B. 
folgende Seite aufgerufen werden:

https://www.pohl-bo.de//198.46.186.105.html

Dort fehlt mittendrin das brute_force_blocking und so gelingt das 
natürlich nicht.

Ich hoffe, ich habe mich verständlich ausgedrückt.


Grüße
Sascha

Mehr Informationen über die Mailingliste Eisfair_dev