[Eisfair_dev] [E64] Problem mit brute_force_blocking 1.0.21

Sascha Pohl sascha at pohl-bo.de
Mi Jan 27 00:08:44 CET 2021 

Hallo Olaf,

Am 25.01.2021 um 17:31 schrieb Olaf Jaehrling:

>> BFB_APACHE_DOCUMENTROOT='/var/www/htdocs'
> trage hier mal bitte '/nfs/data/data/www/htdocs' ein
> 
>> BFB_HTML_INDEX_FOLDER='brute_force_blocking'
>> BFB_CGI_BIN_DOCUMENTROOT='/var/www/cgi-bin/'
> trage hier doch mal bitte '/nfs/data/data/www/cgi-bin/' ein

das habe ich jetzt so eingetragen.
Jetzt muss ich warten, bis eine Attacke erkannt wird, um zu sehen, wie 
die Links in der Mail und im Logreport im Browser aussehen.
Ich habe zwar täglich mehrere Attacken zu verzeichnen, aber ausgerechnet 
heute Abend offensichtlich mal nicht.

> Das muss ich nochmal eruieren. Leider habe ich kein System mehr mit
> iptables, da iptables ja in naher Zukunft durch nftables abgelöst wird.

Das war mir leider nicht bekannt.
Ich habe gerade, nach viiielen Jahren meinen Eis mal komplett neu 
aufgesetzt (von alt E1 auf Hardware, auf neu E64 als VM in Proxmox).
Dabei wollte ich eigentlich alles mal aktuell und auch 
zukunftsorientiert angehen.
In den Paketabhängigkeiten auf dem Eis lese ich, dass iptables als 
Abhängigkeit nur brute_force_blocking auflistet.
Würdest du mir dazu raten auf nftables umzustellen?
Falls ja, wie mache ich das?

> Ich muss mir also in einer VM erstmal ein EIS mit iptables aufsetzen.

Vielleicht kannst du dir die Mühe ja sparen. Siehe oben.

> Das ist eine Ursache von den fehlerhaften Einträgen oben. Symlinks sind
> sch... nimm lieber bind
> in /etc/fstab:
> /nfs/data/data/www  /var/www   none    rw,bind         0 0
> 
> Damit wird der komplette Ordner /var/www an /nfs/data/data/www gebunden
> Alles was du in /nfs/data/data/www wird auch in /var/www dargestellt
> 
> Kontrollieren kannst du das mit dem Befehl 'mount'

Von Problemen mit Symlinks habe ich schon gehört, ja.
Aber diese Alternative war mir bisher gar nicht bekannt.
Ich habe in einem neuen Post auf spline.fli4l.geschnatter gerade mal 
eine Frage an alle Experten gerichtet, was sie zu meiner speziellen 
Konfiguration raten.


Eine Sache noch, die ich in meinem ersten Post vergessen habe, die aber 
vermutlich auch mit dem anfangs geschilderten Problem zusammenhängt:
Ich bekomme jedesmal, wenn brute_force_blocking das web-log löscht 
(BFB_WEBSERVER_LOGFILE_CLEAR=) eine Email von fcron mit dem Betreff:
fcron <root at eis> /etc/init.d/brute_force_blocking unblock >/dev/null 2>&1
und dem Inhalt:
Job '/etc/init.d/brute_force_blocking unblock >/dev/null 2>&1' 
terminated (exit status: 1) (mailing output)


Grüße
Sascha

Mehr Informationen über die Mailingliste Eisfair_dev