OpenBSD: erweiterter Statusbericht und pf: Tabellen

Für gewöhnlich wird einmal am Tag /etc/daily über roots crontab aufgerufen.
Entweder über /etc/daily.local oder direkt in /etc/daily lassen sich einige zusätzliche Zeilen einfügen.

z.B. die letzten Anmeldungen:
last -cT

Oder Netzwerkstatistiken:
Speicherverwaltung:
netstat -m
Protokolle:
netstat -ss
Schnittstellen:
netstat -intd

Sehr interssant wird es bei einer Geschichte, wo ich in pf Tabellen verwende.
Gerade Angriffe auf SSH sind sehr gemein. Ich habe festgelegt, dass maximal 2 Verbindungsversuche in einer Minute "normal" sind, alles darüber hinnaus möchte ich gerne als Angriff identifiziert haben. Die entsprechende Zeile in der pf.conf sieht folgendermaßen aus:
pass in on $ext inet proto tcp from any to ($ext) port 22 keep state (max-src-conn-rate 2/60, overload <blocked> flush global)
Bis "keep state" ist nichts ungewöhnliches zu finden. Dann kommen die Optionen: max-src-conn-rate legt fest, wie viele Verbindung von einer Quelle aus pro ein Zeitraum erlaubt sind. Wird diese Grenze überschritten wird zunächst nur die Quelladresse in die Tabelle "blocked" eingetragen. Zudem werden alle States von und zu dieser Quelle entfernt ("flush global")
Relativ weit oben in meiner pf.conf ist noch der selbsterklärende Eintrag
block drop quick from <blocked> zu finden.

Nun gehen die Angriffe meist von privaten Internetanschlüssen aus, also wo täglich sich die IP-Adresse ändert. Einträge in der Tabelle "blocked" sollten also regelmäßig entfernt werden. Das lässt sich mit /etc/daily und dem Befehl
pfctl -t blocked -T expire 172800
gut realisieren.
Ich hab die Geschichte aber noch etwas erweitert, sodass ich zunächst eine Statistik aller Tabellen erhalte:
pfctl -vvsT
Dann die Tabellen reihenweise durchgehe und mit einer Art Sicherungskopie ermitteln kann, welche Adressen hinzugekommen sind und welche wieder manuell entfernt oder regulär abgelaufen sind. Zum Schluss wird dann noch der aktuelle Stand der Tabelle angezeigt.
Das ganze Snippet sieht dann so aus:

echo "pf tables statistics:"
pfctl -vvsT
echo ""
for pftable in `pfctl -s Tables`; do
        pfctl -t $pftable -T show > $TMP
        LAST="/var/log/pftable-$pftable"
        touch $LAST
        if ! cmp -s "$TMP" "$LAST"; then
                echo "new(+) and removed(-) addresses in table $pftable:"
                diff $LAST $TMP | grep '^[<>]' | sed 'y/<>/-+/'
                echo ""
        fi

        pfctl -t $pftable -T expire 172800 2>&1 | grep -v "^0/0"
        pfctl -t $pftable -T show > $LAST
        if ! cmp -s "$TMP" "$LAST"; then
                echo "expired addresses in table $pftable:"
                diff $TMP $LAST | grep '^<' | sed 's/</-/'
                echo ""
        fi
        if [ -s "$LAST" ]; then
                echo "current index of table $pftable:"
                pfctl -t $pftable -vvT show
                echo ""
        fi
        echo ""
done

Mit folgenden Kopfdaten:

TMP=`mktemp /tmp/_daily.XXXXXXXXXX` || exit 1

Faxen kann so einfach sein

Per SSH mit PuTTY auf dem Router im Elternhaus anmelden, kurz den Druckerserver vom Laserdrucker anpingen ob der bereit ist, dann eine Tunnelverbindung zum Netzwerk zu Hause mit OpenVPN aufbauen, schnell mit einem Textprogramm ein Brief verfassen, das Dokument dann an den Drucker zu Hause senden und schon lässt man seine Eltern ein Geburtstaggeschenk organisieren und das Geld für ein Fax sparen. Ich liebe sinnvoll angewandte Netzwerktechnik.

Geekcode

-----BEGIN GEEK CODE BLOCK-----
Version: 3.1
GIT d-- s+:+ a-- C++ UB++++ P++++ L+ !E--- W++ !N !o-- K-? w+ !O- !M-- !V- PS++ PE Y+ PGP++ !t-- !5-- !X- R tv- b+ DI- !D- G e h++ r+ y+
------END GEEK CODE BLOCK------

Meine Homepage, Links und das Urteil vom 12. Mai 1998

Ich habe meine private Homepage mal ein wenig auf den neusten Stand gebracht. Auch das Impressum habe ich aktualisiert. Denn: ich bin seit heute (14. Januar 2010) ein Bremer Staatsbürger.

--

Es gibt Leute, die fügen auf ihrer Homepage einen Hinweis ein, dass sie sich von den Inhalten der gesetzten Links distanzieren. Ich frage mich: wenn ich einen Link setze, dann weil meine Leser auf die Inhalte dort aufmerksam machen möchte. Warum sollte ich mich dann davon distanzieren? Eine lesenswerte Zusammenfassung und Erklärung ist auf den Seiten von Michael Jendryschick zu finden.

Ein Wort zur Presse

Ich lese so in den letzten immer wieder etwas zu Kevin Russel und einem Autounfall, in deren Folge zwei Menschen leicht verletzt wurden. Laut Aussagen der Staatsantwaltschaft soll die Mitschuld Kevins nun außer Frage stehen.

Interessant ist hierbei, was die Presse (insbesondere "bild.de") von angeblichen Fans zitiert:

Asari: Als riesiger Böhse-Onkelz-Fan sage ich jetzt: „Kevin, du hast mich wirklich enttäuscht!" Erst Scheiße bauen und dann auch noch alles vertuschen wollen ist wirklich nicht das, was ihr immer in euren Liedern den Fans vermitteln wolltet!

Ja, was haben denn die Onkelz in ihren Liedern vermittelt? Dass man im Leben keine Scheiße bauen soll? Nein, Stephan sagte einmal:

Es gibt Momente, wo das Leben wie ein Scherbenhaufen vor einem liegt und einem nichts Anderes übrig bleibt als das Beste draus zu machen.

Und wahre Onkelz-Fans würden dann eher wohl Kommentare wie diese von sich geben:

Und wenn du in den Knast musst, werden ich und viele andere auf dich warten. Die meisten von uns haben schon mal richtig scheisse gebaut. Echte Freunde erkennt mann nun jetzt, die die zu dir halten und dir helfen aus dein Fehler zu lernen.

Kevin weiß selbst am Besten, dass er auf die onkelz-Gebote Aufrichtigkeit und Glaubwürdigkeit geschissen hat. Deshalb muss die Scheiße aufgeräumt werden, damit die Sicht auf das große Monument onkelz wieder glänzt. Ich helfe gerne putzen...

Das zum Thema Presse und wie wir alte Feinbilder herauskramen wenn wir mal keine neuen Schaffen können.

Doof, gut, besser

Doofer Donnerstag. Kein Jazz im Energiecafé. Geht erst im Februar wieder los.
Guter Freitag. Stimmung super, Geld blieb auch noch inne Börse, was will man mehr.
Besserer Samstag. Jedenfalls im Vergleich zu dem Letztem. Blinkx hat Geburtstag und macht ne Party.

Montag melde ich mich zurück. Allen ein erholsames Wochenende!

Es ist Donnerstag

...und ich gehe gleich aus. Nämlich in das Energiecafé. Dort gibt es (hoffentlich) heute abend Jazz live. Wenn nicht, dann zieht es mich in das Meisenfrei, eine Blues-Kneipe am Brill.

Faulheit (Willkommen 2010)

Nachdem das neue Jahrzehnt berüchtigt begonnen hat, merk ich auch jetzt dass ich im neuem Jahr angekommen bin: da such ich doch tatsächlich auf Google Maps mein Haus um zu schauen ob vor der Haustür Schnee liegt...

Morgen leider nix Uni, Behörden nerven ist angesagt!