Kousající se Routerstation Pro, Alix, fail2ban a UBNT

17.11.2012 17:23 | Přečteno: 994× | Moje domácí muzeum :)

Zápisek několika věcí vážící se k mému domácímu servříku, hlavně kategorie "note to self", ale možná se některé věci mohou hodit i někomu jinému. A taky zase jednou sebemrskačsky budu za vola na výstrahu ostatním .

Jak jsem už tu před časem dvakrát psal, provozuji RouterStation Pro s DebWrt (=Debian Squeeze). Rok jsem o mašině prakticky nevěděl, poslední dobou se ale začala záhadně "sekat" - dala se jenom pingnout, všechny služby se zastavily. Bádal jsem nad tím, podezříval MRTG, bádal nad logy a furt nic. Pojal jsem podezření, že začíná odumírat HW a položil dotaz co na místo RS Pro nasadit. Byl mi doporučen Alix, tak jsem v naší komunitní síti vyžebral Alix 3c, připravil CF kartu (rozjet na dom Squeezyho je fakt jednoduché, tady to moc komplikují, tohle PDFko je jednodušší a funguje). Užuž jsem se chystal přemigrovat systém (mmch tady je návod jak připojit partišnu když máme image celého disku), ale na to jsem musel přebootovat kouslou RS Pro. Jenom "pro forma" jsem si prošel logy před posledním pádem a v tom jsem si to uvědomil:

Nov  7 16:45:54 debwrt postfix/smtpd[22515]: connect from rrcs-76-79-116-250.west.biz.rr.com[76.79.116.250]
Nov  7 16:45:57 debwrt postfix/smtpd[22515]: disconnect from rrcs-76-79-116-250.west.biz.rr.com[76.79.116.250]
Nov  7 16:45:58 debwrt postfix/smtpd[22515]: connect from rrcs-76-79-116-250.west.biz.rr.com[76.79.116.250]
Nov  7 16:45:59 debwrt postfix/smtpd[22519]: connect from rrcs-76-79-116-250.west.biz.rr.com[76.79.116.250]
Nov  7 16:45:59 debwrt postfix/smtpd[22520]: connect from rrcs-76-79-116-250.west.biz.rr.com[76.79.116.250]
Nov  7 16:45:59 debwrt postfix/smtpd[22521]: connect from rrcs-76-79-116-250.west.biz.rr.com[76.79.116.250]
Nov  7 16:45:59 debwrt postfix/smtpd[22522]: connect from rrcs-76-79-116-250.west.biz.rr.com[76.79.116.250]
Nov  7 16:45:59 debwrt postfix/smtpd[22523]: connect from rrcs-76-79-116-250.west.biz.rr.com[76.79.116.250]
Nov  7 16:45:59 debwrt postfix/smtpd[22524]: connect from rrcs-76-79-116-250.west.biz.rr.com[76.79.116.250]
Nov  7 16:45:59 debwrt postfix/smtpd[22525]: connect from rrcs-76-79-116-250.west.biz.rr.com[76.79.116.250]
Nov  7 16:46:00 debwrt postfix/smtpd[22526]: connect from rrcs-76-79-116-250.west.biz.rr.com[76.79.116.250]
Nov  7 16:46:00 debwrt postfix/smtpd[22527]: connect from rrcs-76-79-116-250.west.biz.rr.com[76.79.116.250]
Nov  7 16:46:00 debwrt postfix/smtpd[22528]: connect from rrcs-76-79-116-250.west.biz.rr.com[76.79.116.250]
Nov  7 16:46:00 debwrt postfix/smtpd[22529]: connect from rrcs-76-79-116-250.west.biz.rr.com[76.79.116.250]
Nov  7 16:46:00 debwrt postfix/smtpd[22530]: connect from rrcs-76-79-116-250.west.biz.rr.com[76.79.116.250]
Nov  7 16:46:00 debwrt postfix/smtpd[22531]: connect from rrcs-76-79-116-250.west.biz.rr.com[76.79.116.250]
Nov  7 16:46:00 debwrt postfix/smtpd[22532]: connect from rrcs-76-79-116-250.west.biz.rr.com[76.79.116.250]
Nov  7 16:46:00 debwrt postfix/smtpd[22533]: connect from rrcs-76-79-116-250.west.biz.rr.com[76.79.116.250]
Nov  7 16:46:01 debwrt postfix/smtpd[22534]: connect from rrcs-76-79-116-250.west.biz.rr.com[76.79.116.250]

.. a tak dále a tak podobně, až do úplného zakousnutí systému o pět minut později. Takže asi nějakej zavirovanej kokos s kabelovkou ve Honolulu, HI, Kansas City, KS, Orange, CA nebo San Diego, CA. Vzhledem k odstupu od incidentu na abuse kašlu, ale začínám zkoumat jak je to možné. Modří asi už vědí, v /etc/postfix/main.cf mi chybí bezpečnostní pojistka (toto jsem nyní připsal):

smtpd_client_connection_count_limit=5
smtpd_client_connection_rate_limit=5

Nu dobrá, ale stejně nechápu, proč to neodchytil fail2ban ?? PROTOŹE JSEM BLBEJ ! Když jsem to kdysi konfiguroval, neměl jsem instalovanej SMTP server a tudíž v /etc/fail2ban/jail.conf i v /etc/fail2ban/jail.local se skvělo nádherné defaultní:

[postfix]

enabled  = false
port     = smtp,ssmtp
filter   = postfix
logpath  = /var/log/mail.log

A na závěr jenom krátké poučení na téma UBNT bullet - v mé oblasti sítě používám heterogenní prostředí Debian/Mikrotik/UBNT/AirCa 8 s OpenWrt. Protože jsem měl velký útlum na kabelu, měnil jsem jedno OpenWrt za UBNT. Podařilo se mi sehnat starý Bullet 2, flešnul jsem nejnovější firmware a zjistil, že na rozdíl od firmware pro novější železo (Rockety,AirGridy etc) neobsahuje možnost nahrát SSH klíč. Hmmm. Tady se to řešilo, ale na první pokus mi to nejelo. Takže rady ptáka loskutáka (nejsem si jistý, která je ta nejsprávnější, proto píšu všechny, jejich kombinace zabrala):

1. authorized_keys musí být RSA, jinak to nefunguje !
2. pro jistotu jsem tento soubor dal nejen do doporučovaného /etc/persistent/.ssh ale i do /etc/persistent/
3. authorized_keys musí mít v každém případě práva 600
4. adresář .ssh musí mít práva 700
5. po provedení změn je potřeba změny uložit (cfgmtd -w -p /etc/) a mašinu rebootovat (reboot)

Na rozdíl od novějších kousků od UBNT taky nefunguje pro výpis připojených klientů wstalist, ale musí se použít starší a ověřený přístup wlanconfig ath0 list sta, který na oplátku vypíše další zajímavé informace, ale není tak "přesný" co se týče detekce klientů, kteří neposílají žádná data, ale jsou připojeni. A to je pro dnešek všechno, dobrou noc

       

Tiskni Sdílej:

Komentáře

Vložit další komentář