Bash Snippets

Wie im Blogartikel SSH Zugang limitieren mit GeoIP und hosts.deny aus 2017 bereits beschrieben, kann der Zugang zu Diensten mithilfe von /etc/hosts.deny eingeschränkt werden.

Das funktioniert für alle Services, die tcpwrap unterstützen.

Da inzwischen die GeoLite Legacy nicht mehr weiter gepflegt wird, sollte nur mehr die aktuelle GeoLite2 von MaxMind verwendet werden. Das erfordert ein angepasstes Skript.

UPDATE: cool, endlich bietet occ, das Kommandozeilen-Werkzeug von Nextcloud, einen Update-Check.

Das macht das Ganze natürlich viel einfacher. Wir brauchen nur einen Cronjob, der als Apache-User (z.B. www-data) ab und an occ ausführt.

Ipsets sind eine ausgesprochen praktische und performante Lösung, um umfangreiche Blacklist mit Iptables zu verwenden.
UFW ist ein Management-Werkzeug für Iptables mit sehr einfachem Kommandozeilen Interface.

An sich unterstützt UFW (Uncomplicated FireWall) keine Ipsets. Trotzdem ist es möglich, beides gemeinsam zu verwenden.
Zwei Bash-Skripte sind dazu nötig.

In diesem Beispiel verwenden wir die DROP von Spamhaus - eine Liste von IP-Ranges, mit denen man am besten keinerlei Kontakt hat.

Die Idee kam mir beim Schreiben des vorherigen Beitrages (dovecot, XBL, hosts.deny).

Da inzwischen auf dem Server auch SSH Passwörter/User im Stundentakt probiert werden, für dessen Distribution aber leider kein funktionierendes Paket für libpam_geoip existiert, möchte ich die Variante hosts.deny mit GeoIP anhand von SSH beschreiben. Die Verwendung für andere Dienste (pop, imap...) kann leicht abgeleitet werden. Verwendet wird die GeoLite Legacy Database.

Ein weiterer Weg, wie die langsamen password-guesser (nicht brute-force, was mit fail2ban besser abwehrbar wäre) bekämpft werden können: mit der XBL von Spamhaus.

Inspiriert wurde ich von diesem Beitrag auf dronebl.org

Ein paar Stichproben am betroffenen Server ergaben, dass die XBL wesentlich besser passt. Die XBL (Exploits Block List) ist eigentlich zur Spambekämpfung gedacht. Da sie allerdings "gecracktes Zeugs aller Art" enthält, sind durchaus auch die Botnetze der Passwort-Probierer mit dabei.

So bequem wie mit Postfix kann man dnsbl in Dovecot leider nicht verwenden. Der Aufwand ist aber immer noch vertretbar.

Mit folgendem Munin Plugin, http_rescode, kann man auf localhost oder remote den HTTP Statuscode (den Antwortcode, den response code) prüfen. Es macht schließlich einen großen Unterschied, ob serverseitig alles prima läuft (200 OK), oder ob ein fataler Fehler aufgetreten ist und der normale Inhalt gar nicht ausgeliefert werden kann (500).

Das Ziel der Anfrage kann angepasst werden (default: http://localhost/). Das Plugin benötigt curl.

Ein weiteres Kapitel im endlosen Buch "schei? encoding". Ein Datenbankdump mit special characters. Es ist der upgrade vom upgrade vom... eines Mediawiki. Ein paar Umlaute sind inzwischen unrettbar kaputt. Allerdings wird die Datenbank so beim Verarbeiten mit "update.php" drastisch gekürzt. Mit ein paar vereinzelten kaputten Umlauten kann man noch leben, mit abgeschnittenem Inhalt nicht.

Jetzt muss repariert werden.