Idee: fail2ban -> cccam-client

[BaNaNaBeck]

Irgendwelche Wünsche die nicht zu speziel sind?

Keine Ahnung ob das aufwendig ist. Aber ich fände es gut, wenn man die von fail2ban erfassten ips, die sich einer dyndns aus der cccam.cfg bzw oscam.server zuordnen lassen sich anzeigen lassen kann. So kann man den Übeltäter gleich raushauen...

[TommyH99]

Das passt halt nicht wirklich da rein - da ich hier rein Designtechnisch was anpassen werde.

aber ...
Offtopic: da in deinen Configs höchtwahrscheinlich die DYNDNS Adresse drin steht und keine IP, wie im fail2ban.log, weiß ich nicht wie ich das überprüfen kann.

Ich kann dir nur ein HTML/PHP File bauen, der dir das fail2ban.log im Menü anzeigt.

[BaNaNaBeck]

Das wird ja schon angezeigt. Aber passt schon war nur ein Gedankengang...

[feissmaik]

@TommyH99: zb indem du die dyndns in die ip auflöst und dann im fail2ban.log guckst ob diese ip da auftaucht

[TommyH99]

jop is mir klar is viel zum auslesen und zum probieren - ich schau was ich machen kann

[BaNaNaBeck]

Das auflösen hat feiss doch schon in seinen SCAN scripts drinnen oder nicht?

[feissmaik]

..kA ich bin mal so frei und unterbreite hier nen vorschlag dazu..

guckt euch dazu zb mal die /var/www/ipc/page/global.php datei an und dort dann die function " GetLogLines " ... das könnt ihr evtl. als anschauungsbeispiel nehmen wie man das fail2ban.log verarbeiten könnte

..nun wär nur die frage wo im ipc webif man das unterbringen sollte..

[feissmaik]

Das auflösen hat feiss doch schon in seinen SCAN scripts drinnen oder nicht?

Ne, aber siehe dazu zb /var/www/ipc/infophp/server.php -> gethostbyaddr oder gethostbyname
oder zb auch /var/www/ipc/infophp/common.php function getHostIP

Spoiler

Show

Code: Alles auswählen

function getHostIP($host_DNS)
{
   $eDNSIP = ereg("^[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}$",$host_DNS);
   
   if ($eDNSIP)
      $host_IP  = $host_DNS;
   else
   {
      $host_IP = gethostbyname(trim($host_DNS));
      if ($host_IP == $host_DNS )
         $host_IP = "unknown";
   }
   return $host_IP;
}

[feissmaik]

mmmh hab da vorhin auffa autobahn nochma kurz drüber nachgedacht und da is mir aufgefallen dass man aber doch garkeine Host in eine IP oder andersherum auflösen müsste - oder?

also fail2ban kann ja eigentlich nur CCcam-Clients betreffen oder hab ich nu nen denkfehler?
und welcher client zu welchem server gehört siehst du aber auch unter "pairs" vom infophp oder nicht?

...also ich glaube es sollte reichen wenn man /var/log/fail2ban.log ausliest und die dort gesperrte IP mit denen aus dem CCcam log (/var/log/syslog) vergleicht und davon dann eben den login auswirft... der sollte da ja eigentlich mit dabei stehen oder nicht?

aber zzt noch kA wie man das wo unterbringen könnte also wie dann später das webinterface dazu aussehen sollte oder was da nu genau angezeigt werden soll etc...

[feissmaik]

also soweit ich das sehen kann, würde das vergleichen mit dem CCcam log doch nicht so leicht sein weil zb bei "signature failed" kein clientname mit ausgegeben wird...

das heisst also man müsste dann die IP über das CCcam WebIf auslesen (http://127.0.0.1:16001/clients) allerdings bringt das nix wenn der client bereits gekickt wurde weil dann steht er da ja auch nicht mehr drin....

nun könnte man sich überlegen ob man das evtl. abhängig von den munin-cccam-scripts macht, denn die lesen ja auch bereits das cccam-webif aus und legen die dateien in /tmp/ ab, damit nicht jedes einzelne script seperat das cccam-webif abruft sondern alle munin-cccam-scripts nutzen die gleichen daten solange nicht älter als 1min... also sofern das clients.html file dann nicht schon zu alt ist könnte da dann noch der clientname zur ip hinterlegt sein... problem dabei wäre allerdings eben das munin alle 5min diese dateien neu schreibt und somit ein späteres nachvollziehen dadurch quasi ebenfals unmöglich wird
also müsste man denk ich irgendwie ein script basteln was das quasi in "echtzeit" überwacht und das dann in eine seperate datei backuped/speichert worauf dann dieser "fail2ban -> cccam-client" vergleicher zugreift...

...also für mich ist das zzt zu kompliziert sowas automatisiert umzusetzen... vllt ginge es auch wenn man keinen 1:1 vergleich der ip macht sondern zb nur 1.2.3.x oder 1.2.x.x aber das wäre dann keine garantie mehr ob es sich dabei tatsächlich um den user handelt, deswegen glaub ich zzt noch das es "besser" wär wenn man sowas manuell nachguckt