Programm nach reboot der ONE starten

    This site uses cookies. By continuing to browse this site, you are agreeing to our Cookie Policy.

    • Programm nach reboot der ONE starten

      Hallo zusammen

      Ich würde gerne fail2ban auf der Dreambox ONE laufen lassen.
      Manuel klappt das nach der Installation ; automatisch mit der ONE startet aber der dienst nicht.

      Im Detail:
      fail2ban installiert
      fail2ban-client start <- manuelles starten

      Folgende Fehlermeldung:
      There is no directory /var/run/fail2ban to contain the socket file /var/run/fail2ban/fail2ban.sock.

      Erstellen des Ordner:
      mkdir /var/run/fail2ban

      Anschließend startet fail2ban ohne Probleme:
      fail2ban-client start
      Server ready :thumbsup:

      Nach einem reboot der one ist der Ordner "/var/run/fail2ban" wieder weg.
      Fail2ban ist nicht gestartet

      Das hier scheint auch nicht zu funktionieren:

      Source Code

      1. cp files/debian-initd /etc/init.d/fail2ban
      2. update-rc.d fail2ban defaults
      3. service fail2ban start
      Was mache ich falsch?
      Warum wird der Ordnern in /var/run nicht permanent erstellt?

      Vielen Dank
    • Auf der One läuft systemd. Da werden deine initd Kommandos entsprechend nicht funktionieren.

      Allgemein: Was genau willst du mit fail2ban auf der One bezwecken? Das brauchst du i.d.R. ja nur, wenn sich die Box in einer nicht vertrauenswürdigen Netzwerkumgebung befindet (z.B. ohne NAT und Firewall im Internet). Das wäre ein großes Sicherheitsrisiko!! Da wird auch fail2ban nur minimale Besserung bringen.
      Auf allen Dreamboxen laufen nach wie vor jede Menge unsichere und unsauber getrennte Dienste (z.B. Webinterface läuft als root) und viel veraltete Software (z.B. SSH Server Dropbear in Version 2016.74). Unter solchen Bedingungen sollte die Dreambox NIE direkt aus dem Internet erreichbar sein! Ein VPN wäre die beste Zugangsmethode.
    • vielen Dank für die Antwort.
      Meine Frage wurde damit aber NICHT beantwortet, es wurde lediglich zum Teil oder gar nicht auf meine Frage eingegangen.

      ps -p 1 -o comm=
      systemd

      Beweggründe können wir gerne diskutieren wieso fail2ban auf die Dreambox One installiert werden soll
      Wir können auch Vorteile von einem VPN diskutieren und darüber hinaus über sichere oder unsichere Netzwerke sprechen

      => Dafür würde ich aber ein neues Thema aufmachen, falls gewünscht ; oder man bemüht die Internesuche

      Dieses Thema handelt über fail2ban auf der Dreambox One.
      Es ist installiert, es läuft!

      Mir fehlt lediglich die Antwort auf:
      Wie mache ich fail2ban mit systemd lauffähig und warum bleibt der Ordner in /var/run nach einem Reboot nicht bestehen?

      vielen Dank

      The post was edited 4 times, last by tajlor ().

    • Das ist das Paket, dass ich installiert habe:
      fail2ban_0.10.2.orig.tar.gz
      -- aus der Debian repo

      Natürlich wäre es zu begrüßen, würde man fail2ban auf dem feed der ONE aufnehmen ; dass allerdings habe ich mich nicht getraut zu fragen.

      Ich habe also das Paket manuel installiert.
      Es funktioniert auch nacht der installation und manuellem Start ; nach reboot der ONE ist der Dienst aber nicht vorhanden.
      und dazu muss man eben erst den Ordner erstellen:
      mkdir /var/run/fail2ban
      und faail2ban starten:
      -> fail2ban-client start

      Was muss ich konkret tun?
      Wie mache ich fail2ban mit systemd lauffähig und warum bleibt der Ordner in /var/run nach einem Reboot nicht bestehen?

      Die Antwort kann man mit Sicherheit auch auf andere Programme übertragen, es muss ja nicht unbedingt fail2ban sein.
    • Also aktuell ist fail2ban-0.9.4
      Das kann man auf der Box erstellen.

      Hier kannst du den source laden fail2ban.org/wiki/index.php/Downloads
      Entpacken und z.B. hdd laden
      Per telnet oder SSH verbinden

      Apt install python-dev
      In das Verzeichnis fail2ban-0.9.4 wechseln.
      python setup.py build
      python setup.py test
      python setup.py install

      Das sollte eigentlich schon reichen, wenn nicht siehst du ja die Meldungen.
      Du benötigst aber wohl auch noch die Depends zum Betrieb.
      sysklogd iptables sqlite3 python python-pyinotify

      Das sind nicht alles Standard Pakete.
      sysklogd und python-pyinotify kann man aber im OE bauen.

      Im Start Script ist
      [ -d /var/run/fail2ban ] || mkdir -p /var/run/fail2ban
      Das Verzeichnis sollte also immer erstellt werden.

      gruß pclin
      Die zwei Gemütszustände eines Programmierers
      0 ich hab keine Ahnung was ich hier mache
      1 ICH BIN GOTT
      ---
      Dreambox ONE, DM920UHD, DM900UHD, DM820HD HDD + USB-HUB, Stick 64GB, USB-HDD, Wireless Touch Keyboard K400r, Wlan-Stick 11n
      (Flash) DP-OE2.6 (BAXII) eigenes OE2.6, debian-stretch, Diverse
      (Flash) DP-OE2.5 (BAXII) eigenes OE2.5-e2+kodi+X, debian-stretch, Diverse
      ---
      AudioDSP: miniDSP 2x4HD
      TV: LG 65" SUHD

      The post was edited 5 times, last by pclin ().

    • Was soll ich sagen jeder der das liest finden die Antwort auch NICHT.

      Warum? Weil nicht auf die eigentlich Frage eingegangen wird, sondern auf andere Sachen z.B: "wie", "wozu braucht man das", "VPN ist besser" etc.
      Mag alles schön und gut sein!

      Ich habe aber eine andere konkrete Frage gestellt.
      Falls diese Frage nicht konkret genug sein sollte bin ich bereit sie weiter zu formulieren bzw. Daten zu liefern.
      Aber noch ein Mal ; es geht hier nicht um mögliche Netzwerk-Unzulänglichkeiten und oder ob es besser wäre dies und jenes zu machen.

      Falls ich jemandem auf dem Schlips trete, tut es mir leid, ist nicht meine Absicht.

      Wie gesagt falls ihr wollt kann ich gerne ein andres Thema aufmachen die da heisst:
      - VPN vor und Nachteile
      - Netzwerksicherheit
      - Raspbery aufbohren
      -> gehört aber meiner Meinung nach nicht in dieses Forum.

      Bitte um Hilfe bei der konkreten Frage wie ich fail2ban über systemd zum laufen bringe und zwar über den reboot der ONE hinaus.
    • pclin wrote:

      Also aktuell ist fail2ban-0.9.4
      Das kann man auf der Box erstellen.

      Hier kannst du den source laden fail2ban.org/wiki/index.php/Downloads
      Entpacken und z.B. hdd laden
      Per telnet oder SSH verbinden

      Apt install python-dev
      In das Verzeichnis fail2ban-0.9.4 wechseln.
      python setup.py build
      python setup.py test
      python setup.py install

      Das sollte eigentlich schon reichen, wenn nicht siehst du ja die Meldungen.

      Im Start Script ist
      [ -d /var/run/fail2ban ] || mkdir -p /var/run/fail2ban
      Das Verzeichnis sollte also immer erstellt werden.

      gruß pclin
      fail2ban-0.9.4 oder fail2ban_0.10.X sollte glaube ich egal sein:
      fail2ban_0.10. ist experimental, so wie das N-Image der ONE ;)

      Und wie gesagt installiert ist es, ohne Probleme.
    • Nur mal so zur Info was heute am Raspberry los war:

      2019-12-15 07:17:18,015 fail2ban.filter [908]: INFO [sshd] Found 18.139.49.7
      2019-12-15 07:17:18,299 fail2ban.filter [908]: INFO [sshd] Found 18.139.49.7
      2019-12-15 07:17:20,082 fail2ban.filter [908]: INFO [sshd] Found 18.139.49.7
      2019-12-15 07:17:20,562 fail2ban.actions [908]: NOTICE [sshd] Ban 18.139.49.7
      2019-12-15 08:21:01,181 fail2ban.filter [908]: INFO [sshd] Found 103.134.170.6
      2019-12-15 08:21:01,379 fail2ban.filter [908]: INFO [sshd] Found 103.134.170.6
      2019-12-15 08:21:03,672 fail2ban.filter [908]: INFO [sshd] Found 103.134.170.6
      2019-12-15 08:21:04,040 fail2ban.actions [908]: NOTICE [sshd] Ban 103.134.170.6
      2019-12-15 09:05:55,468 fail2ban.filter [908]: INFO [sshd] Found 213.160.73.92
      2019-12-15 09:05:57,593 fail2ban.filter [908]: INFO [sshd] Found 213.160.73.92
      2019-12-15 10:42:30,955 fail2ban.filter [908]: INFO [sshd] Found 160.238.72.225
      2019-12-15 10:42:33,636 fail2ban.filter [908]: INFO [sshd] Found 160.238.72.225
      2019-12-15 11:24:04,155 fail2ban.filter [908]: INFO [sshd] Found 178.150.191.135
      2019-12-15 11:24:04,221 fail2ban.filter [908]: INFO [sshd] Found 178.150.191.135
      2019-12-15 11:24:05,609 fail2ban.filter [908]: INFO [sshd] Found 178.150.191.135
      2019-12-15 11:24:05,650 fail2ban.actions [908]: NOTICE [sshd] Ban 178.150.191.135
      2019-12-15 14:58:08,135 fail2ban.filter [908]: INFO [sshd] Found 193.154.34.162
      2019-12-15 14:58:10,452 fail2ban.filter [908]: INFO [sshd] Found 193.154.34.162


      whis 103.134.170.6
      inetnum: 103.134.168.0 - 103.134.171.255
      netname: FREXPRESS-BD
      descr: FR Express
      country: BD
      org: ORG-FE3-AP
      admin-c: FEA3-AP
      tech-c: FEA3-AP
      status: ALLOCATED PORTABLE
      mnt-by: APNIC-HM
      mnt-lower: MAINT-FREXPRESS-BD
      mnt-routes: MAINT-FREXPRESS-BD
      mnt-irt: IRT-FREXPRESS-BD
      ...

      whois 213.160.73.92
      inetnum: 213.160.64.0 - 213.160.95.255
      netname: DE-HOSTING-20000225
      country: DE
      org: ORG-GA187-RIPE
      admin-c: HOTD81-RIPE
      tech-c: HOTD81-RIPE
      status: ALLOCATED PA
      mnt-by: HOSTINGDE-MNT
      mnt-by: RIPE-NCC-HM-MNT
      created: 2018-11-27T13:27:20Z
      last-modified: 2018-11-27T13:27:20Z
      source: RIPE
      ...

      whois 178.150.191.135
      inetnum: 178.150.191.0 - 178.150.191.255
      netname: TRIOLAN
      country: UA
      admin-c: OVY5-RIPE
      admin-c: YT1496-RIPE
      tech-c: OVY5-RIPE
      tech-c: YT1496-RIPE
      status: ASSIGNED PA
      mnt-by: TRIOLANMNT
      mnt-by: SALTOVKAMNT
      mnt-domains: TRIOLANMNT
      mnt-domains: SALTOVKAMNT
      mnt-routes: TRIOLANMNT
      mnt-routes: SALTOVKAMNT
      created: 2016-10-19T12:14:27Z
      last-modified: 2019-07-18T13:40:58Z
      source: RIPE

      person: Oleksii V Yaroshenko
      address: Prirechnaya 25a
      address: Kiev
      ...

      whois 193.154.34.162
      inetnum: 193.154.32.0 - 193.154.47.255
      netname: A1TA-HSI
      descr: High Speed Internet Customers
      descr: A1 Telekom Austria AG
      country: AT
      admin-c: HMH25-RIPE
      tech-c: AAH12-RIPE
      tech-c: DAH12-RIPE
      tech-c: HMH25-RIPE
      status: ASSIGNED PA
      remarks: please contact abuse @ a1telekom.at for criminal use, portscan, SPAM, etc.
      mnt-by: AS8447-MNT
      mnt-lower: AS8447-MNT
      created: 2016-03-16T13:59:15Z
      last-modified: 2016-03-16T13:59:15Z
      source: RIPE

      role: Abuse Admin Highway
      address: A1 Telekom Austria AG
      address: Postfach 1001
      address: 1011 Wien
      address: Austria
      phone: +43 50664 0
      fax-no: +43 50664 49210
      abuse-mailbox: abuse@a1.at
      admin-c: SD5741-RIPE
      tech-c: SD5741-RIPE
      nic-hdl: AAH12-RIPE


      Das ist wie gesagt nur ein Ausschnitt von heute und der Raspberry ist im übrigen nicht über den Standart ssh port zu erreichen

      @Joey: Und eigentlich steht die Antwort nicht drüben, sonst hätte ich ja gewusst wie ich es machen muss und würde nicht schon wieder unnötigerweise schreiben
    • Bestätigt genau den Punkt, dass man heute keine Portfreigaben ins Internet mehr macht. Failtoban hin oder her, du könntest ebenso gut Russisch Roulette mit sechs Patronen in der Trommel spielen.

      tajlor wrote:

      @Joey: Und eigentlich steht die Antwort nicht drüben, sonst hätte ich ja gewusst wie ich es machen muss und würde nicht schon wieder unnötigerweise schreiben
      Doch, tut sie. Aber mir isses jetzt egal. Mach was du für richtig hältst.
    • Leute sprecht doch nicht immer in Rätseln!
      Ich habe leider damals und auch heute nicht die Lösung meiner Frage gefunden.

      Falls jemand die Lösung sieht/versteht/kennt bitte ich diese verständlich für mich -und für alle anderen die womöglich vor dem gleiche Problem stehen wie ich- hinzuschreiben.
      Wir drehen uns leider im Kreis da ich mit -> schau mal da hin da könnte/müsste es stehen, such mal "das" hier wurde es bereits besprochen <- nichts anfangen kann.

      Danke