The problem with common sense is that sense never ain't common - From the notebooks of Lazarus Long
GoT voor Behoud der Nederlandschen Taal [GvBdNT
Zeker die "Telefoonachtige GUI" die je constant moet uitklappen en zo ?
|| DPC GoT WhatPulse Team :) || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||
Win+R >:
[...]
Zeker die "Telefoonachtige GUI" die je constant moet uitklappen en zo ?
Die bleek laatst bij een vriend inderdaad zwaar bugged te zijn en de "Classic GUI" zoals je dat al jarenlang in laten we zeggen Windows 95 t/m Windows 7 gewend bent deed het gewoon prima!
ncpa.cpl
Niet nodig als je nog steeds Windows 7 Pro draait!:
Win+R >
ncpa.cpl
En je krijgt het Network Connections-scherm
|| DPC GoT WhatPulse Team :) || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||
Op W7 heb je geen netwerk meer nodig, want die heb je toch niet meer aan het netwerk hangen. Toch?:
[...]
Niet nodig als je nog steeds Windows 7 Pro draait!
Zo ongeveer. Al zul je nog een keer moeten klikken voordat je daadwerkelijk in dat scherm bent.Maar ehh...
Daarmee krijg je dus dit : https://cdn.windowsreport...9/ethernet-properties.png
In plaats van dit : https://cdn.mos.cms.futur...4vxrFgg6v6uFoj-970-80.jpg
Te zien dus ?
Lekker online gamen en zo... Werkt prima!:
Op W7 heb je geen netwerk meer nodig, want die heb je toch niet meer aan het netwerk hangen. Toch ?
NICE!
|| DPC GoT WhatPulse Team :) || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||
Als ik dit lees : https://github.com/SvenVD/rpisurv/blob/master/README.md
Deed die het wel goed de laatste keer dat je wat ermee deed ?
Pak eens een simpele monitor erbij of kijk eens of je via Composite wel iets van Output krijgt ?
Welke voedingen precies ?
|| DPC GoT WhatPulse Team :) || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||
Ik vond het eerlijk gezegd makkelijker om gewoon wat bestanden op de /boot partitie te knallen zoals :
# openssl passwd -6
# xz -d 2023-02-21-raspios-bullseye-armhf-lite.img.xz
# dd if=2023-02-21-raspios-bullseye-armhf-lite.img of=/dev/mmcblk0 bs=4MiB
|| DPC GoT WhatPulse Team :) || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||
Die procedure heeft ook mijn voorkeur maar als je toch de Rpi Imager gebruikt, gebruik hem dan volledig. Sinds de Rpi Imager bestaat is overigens het aantal vragen dat ik krijg als er een nieuw kaartje gemaakt moet worden een stuk gedaald:
[...]
Ik vond het eerlijk gezegd makkelijker om gewoon wat bestanden op de /boot partitie te knallen zoals :
- leeg ssh bestand on SSH toegang aan te zetten.
- userconf.txt met daarin username:password
Waarbij je user met kleine letters moet intypen en password via
# openssl passwd -6
Laat genereren
- config.txt een beetje aanpassen om wat zaken uit te zetten die ik toch niet gebruik...
De image zelf trouwens effe snel met
# xz -d 2023-02-21-raspios-bullseye-armhf-lite.img.xz
uitgepakt en daarna met
# dd if=2023-02-21-raspios-bullseye-armhf-lite.img of=/dev/mmcblk0 bs=4MiB
Op het kaartje weggeschreven!
En gaan met die banaan Raspberry!
.Ik kan me voorstellen dat het makkelijker is voor Windows gebruikers, maar onder Linux/*BSD/MacOS is het effe snel prutsen en KLAAR!!!:
Die procedure heeft ook mijn voorkeur maar als je toch de Rpi Imager gebruikt, gebruik hem dan volledig.
Sinds de Rpi Imager bestaat is overigens het aantal vragen dat ik krijg als er een nieuw kaartje gemaakt moet worden een stuk gedaald
|| DPC GoT WhatPulse Team :) || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||
Het is maar net waar je zin in hebt IMHO
|| DPC GoT WhatPulse Team :) || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||
Omdat een SD-kaart over het algemeen wat kleiner is dan een SSD
The problem with common sense is that sense never ain't common - From the notebooks of Lazarus Long
GoT voor Behoud der Nederlandschen Taal [GvBdNT
Als ik dit erbij pak : Raspberry Pi: Ervaringen en Discussie - deel 2
|| DPC GoT WhatPulse Team :) || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||
Tnx, ik ga kijken.:
Als ik dit erbij pak : Raspberry Pi: Ervaringen en Discussie - deel 2
Dan vind je genoeg interessante tips voor alles, maaaar......
Eigenlijk zou ik willen zeggen koop lekker een Atom/Celeron/Pentium gebakje zoals een Intel NUC/Gigabyte Brix/enz. die je vaak tweedehands voor een zeer schappelijke prijs kan vinden!
offtopic:
Voor mooiere Topic Search linkjes met de beschrijving erbij heb ik dit topic gemaakt : Topic Search link de term laten weergeven ?
Dus als jij ook mooiere linkjes wilt : Stem dan effe erop!
Alvast bedankt!
De microSDXC standaard gaat tot 2 TB en we zitten blijkbaar al op de helft : uitvoering: Sandisk Extreme Pro microSDXC UHS-I 1TB:
Omdat een SD-kaart over het algemeen wat kleiner is dan een SSD
Goed te doen toch ?! Je hebt kans dat het je uiteindelijk niks kost :
[Voor 23% gewijzigd door nero355 op 04-04-2023 18:30]
|| DPC GoT WhatPulse Team :) || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||
Vind ik op zich wat overdreven om in een RPi te stoppen, maar ieder zijn (of haar) meug.:
[...]
De microSDXC standaard gaat tot 2 TB en we zitten blijkbaar al op de helft : uitvoering: Sandisk Extreme Pro microSDXC UHS-I 1TB
Dat is ook een optie, één van mijn RPi's backt up via het netwerk naar de SSD van een andere.Daarnaast gok ik dat @RedRayMann alleen wat config of database bestandjes weg wil zetten en daarna ook wel ergens anders heen kan backuppen via SMB of zo
The problem with common sense is that sense never ain't common - From the notebooks of Lazarus Long
GoT voor Behoud der Nederlandschen Taal [GvBdNT
Op de oude installatie niks aan de hand, bij de nieuwe installatie ^ bij zenden naar gmail-adres, naar eigen domeinnaam (waar vandaan verstuurd wordt) niks aan de hand. Nou ja niks, bij "van" staat RPi-username@RPi-hostnaam (geen tld) i.p.v. het email adres vanaf waar verstuurd wordt en die ook in de mutt-config staat bij de optie "set from", voorheen ging dat wel goed.
Zag wel dit:maar kan mij niet herinneren iets qua fqdn gedaan te hebben op de oude install, zie mijn domeinnaam i.i.g. niet in de hostfile van oude install staan.
After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...
Oscar Wilde
Laaaang geleden mee geknoeid onder FreeBSD
Nee, dat is Google die moeite heeft met jouw domeinnaam die niet goed is ingesteld!
Je moet echt ALLES heeeeel secuur nalopen en aan elke voorwaarde die je maar kan verzinnen voldoen![...]
Op de oude installatie niks aan de hand, bij de nieuwe installatie ^ bij zenden naar gmail-adres, naar eigen domeinnaam (waar vandaan verstuurd wordt) niks aan de hand. Nou ja niks, bij "van" staat RPi-username@RPi-hostnaam (geen tld) i.p.v. het email adres vanaf waar verstuurd wordt en die ook in de mutt-config staat bij de optie "set from", voorheen ging dat wel goed.
Ben ik nu ergens een instelling vergeten over te zetten?
[...]
maar kan mij niet herinneren iets qua fqdn gedaan te hebben op de oude install, zie mijn domeinnaam i.i.g. niet in de hostfile van oude install staan.
|| DPC GoT WhatPulse Team :) || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||
Beter dan niks:
[...]
Laaaang geleden mee geknoeid onder FreeBSD
Vandaar de "of eigenlijk andersom":
[...]
Nee, dat is Google die moeite heeft met jouw domeinnaam die niet goed is ingesteld!
:
Host je dit op een consumentenlijntje thuis ?!
Dan kan je e-mailen naar Google en heel wat andere fatsoenlijk ingestelde e-mail servers en domeinen eigenlijk wel vergeten!
't is geen server config, maar client.
Ik dacht dus de werkende config over te zetten, maar was blijkbaar niet voldoende.
Via de emailserver van Antagonist, met een apart emailadres met eigen domeinnaam voor de Pi.
* Raven doet find uitvoeren: /muttrc Ff history gechecked: 1
| sudo nano ~/. muttrc |
Maar hoe die dan toch een mail heeft kunnen versturen is mij een raadsel.1
2
| Apr 24 08:41:02 willow sm-msp-queue[29158]: unable to qualify my own domain name (willow) -- using short name Apr 24 09:00:01 willow sm-msp-queue[6445]: My unqualified host name (willow) unknown; sleeping for retry |
After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...
Oscar Wilde
Waarom maak je die bestanden aan met rootechten in je eigen profiel? Alles wat je in ~ (home) doet, doe je in principe zonder sudo.:
Heb het overigens gevonden, zag na wat Googlen een optie voor mutt die zou kunnen helpen, dus nano ~/.muttrc om die toe te voegen ..... lege filecode:
Heb ik bij het aanmaken perongeluk een spatie erin gezet, waardoor het /muttrc werd i.p.v. ~/.muttrc. Een mv commando verder: Probleem opgelost
Yar har, wind in your back, lads, wherever you go!
After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...
Oscar Wilde
Waarom geef je apps die die config files gebruiken root rechten..
[Voor 5% gewijzigd door Webgnome op 24-04-2023 18:10]
Strava | Twitter | Mastodon.nl
Buiten mutt is het enige prog dat ik ooit heb gezien dat de config onder /home plaatst tvheadend, voor de rest zie hieronder.
Omdat die meestal ergens onder /etc staan en dan heb je dat wel nodig:
[...]
Waarom geef je apps die die config files gebruiken root rechten..
After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...
Oscar Wilde
Alleen maar omdat een configuratiebestand onder /etc staat, houdt niet in dat de betreffende applicatie met rootrechten moet draaien. Als de configuratie geen geheimen bevat, dan kan die gewoon read-only zijn. Als die wel geheimen bevat, dan maak je het eigendom van het beperkte account waaronder de applicatie draait en pas je de permissies aan dat niemand anders het kan lezen.:
Omdat die meestal ergens onder /etc staan en dan heb je dat wel nodig
Yar har, wind in your back, lads, wherever you go!
The problem with common sense is that sense never ain't common - From the notebooks of Lazarus Long
GoT voor Behoud der Nederlandschen Taal [GvBdNT
The problem with common sense is that sense never ain't common - From the notebooks of Lazarus Long
GoT voor Behoud der Nederlandschen Taal [GvBdNT
nou, ik heb een stuk of 6 pi's met de light versie van bullseye, het fenomeen doet zich niet altijd voor, was ook in de vorige versie van het OS, het moet dus wel structureel zijn op de een of andere manier, maar ik kan er goed mee leven
After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...
Oscar Wilde
Hangt er vanaf als je gewoon vanaf de commandline werkt is dat nog wel de route, als je het via NetworkManager wil doen hoef je niets in /etc/network te doen.:
Wat is in de huidige versie van RPi OS de manier om met netwerkinstellingen (VLAN's) aan de gang te gaan? Google zegt bestand aanmaken in "/etc/network/interfaces.d/" om de VLAN's aan te maken en dan IP-instellingen in /etc/dhcpcd.conf. Ik kan mij vergissen, maar dat eerste (/etc/network/interfaces.d/) is toch de oude haast niet meer gebruikte manier?
Wat zegt de handleiding?:
Wat is in de huidige versie van RPi OS de manier om met netwerkinstellingen (VLAN's) aan de gang te gaan? Google zegt bestand aanmaken in "/etc/network/interfaces.d/" om de VLAN's aan te maken en dan IP-instellingen in /etc/dhcpcd.conf. Ik kan mij vergissen, maar dat eerste (/etc/network/interfaces.d/) is toch de oude haast niet meer gebruikte manier?
[Voor 4% gewijzigd door Webgnome op 27-04-2023 11:56]
Strava | Twitter | Mastodon.nl
Nog steeds? Dacht dat die route sinds Debian 9 al niet meer werd gebruikt.
Hmm, die had Google niet laten zien in de resultaten
, * Raven doet lezen:After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...
Oscar Wilde
"niets te vinden, ook niet als ik Google loslaat op de docs-pagina's."
After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...
Oscar Wilde
:
Beter dan niks
Dan moet het nog steeds een fatsoenlijke config zijn!
Google verandert constant hun eisen dus wat gisteren heeft gewerkt hoeft morgen niet nog steeds te werken...
Dus :
Zou IMHO allemaal niet nodig mogen zijn!Heb het overigens gevonden, zag na wat Googlen een optie voor mutt die zou kunnen helpen, dus nano ~/.muttrc om die toe te voegen ..... lege filecode:
Heb ik bij het aanmaken perongeluk een spatie erin gezet, waardoor het /muttrc werd i.p.v. ~/.muttrc. Een mv commando verder: Probleem opgelost
Dat lijkt mij dan meer een Server config en zou je dan inderdaad echt een eigen A Record en MX Record moeten geven, maar dan speel je dus voor eigen e-mail Server en dat lijkt me weer niet de bedoeling in dit geval
Toevallig meerdere Interfaces aanwezig en de OpenSSH Server aan één van die Interfaces gebonden ?!
Die je al hebt gevonden :
Bij mij werkt het op bovenstaand probleem na helemaal prima!Ik kan mij vergissen, maar dat eerste (/etc/network/interfaces.d/) is toch de oude haast niet meer gebruikte manier?
|| DPC GoT WhatPulse Team :) || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||
Gelukkig doet de config, nu die op de juiste plek staat (pebkac:
[...]
Dan moet het nog steeds een fatsoenlijke config zijn!
), het prima Daar had ik ook al aan gedacht, maar kon niet iets vinden dat de afgelopen maand was verandert.:
[...]
Google verandert constant hun eisen dus wat gisteren heeft gewerkt hoeft morgen niet nog steeds te werken...
Check, check (zonder config) en check. Daar ik niet altijd achter de desktop-pc zit, waar m'n main email in Outlook staat en verder nergens anders ingelogd, gebruik ik 't aan mijn foon gekoppelde gmail-adres voor status emails. Al zou ik later misschien wel eens wat meer met Telegram-bots kunnen doen, laatst een in gebruik genomen voor een Python-script dat het een en ander met crypto-dust doet en output van het script via bot verstuurd.
Dus je zou zonder config emails moeten kunnen versturen?
Naar eigen domeinnaam werkte dat wel, alleen gmail niet.Er is geen email-server config, maar misschien dat die FQDN-check altijd plaatsvind, ongeacht de config? Sinds ik in de hostfile "hostnaam hostnaam.domain.tld" achter 127.0.1.1 heb gezet is die melding in ieder geval niet meer weer gekomen.:
[...]
Dat lijkt mij dan meer een Server config en zou je dan inderdaad echt een eigen A Record en MX Record moeten geven, maar dan speel je dus voor eigen e-mail Server en dat lijkt me weer niet de bedoeling in dit geval
Ok:
[...]
Die je al hebt gevonden :
[...]
Die ga ik als ik goed wakker ben eens doorlezen, dank voor de tip:
[...]
Bij mij werkt het op bovenstaand probleem na helemaal prima!
Echter vond ik het verhaal in Zelfbouw project: Firewall / Router / AP over SystemD de VLAN meuk laten beheren heel interessant, want dan heb je kans dat alles fatsoenlijk op elkaar wacht en er niet dingen worden gestart voordat de Interfaces UP/UP zijn!
Zie het hele verhaal dat ik vond naar aanleiding van een reactie van iemand anders : nero355 in "Zelfbouw project: Firewall / Router / AP"
Bij een eventuele herinstallatie ga ik het in ieder geval zo proberen!
After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...
Oscar Wilde
LOL!:
Gelukkig doet de config, nu die op de juiste plek staat (pebkac
Van wat ik me kan herinneren is Mutt echt puur een TUI E-Mail Client die met je lokale Sendmail dan wel Postfix communiceert en heb ik daar echt 0,0 voor moeten configureren in de volgende situaties :Dus je zou zonder config emails moeten kunnen versturen?
Naar eigen domeinnaam werkte dat wel, alleen gmail niet.
Gokje :
Opzich is dat geen gek idee hoor!Dat zal trouwens netter zijn dan de methode die ik zowel op de oude als huidige installatie gebruik: de ip-commando's in rc.local
Dus eigenlijk gewoon een prima oplossing!
Die ga ik als ik goed wakker ben eens doorlezen, dank voor de tip
|| DPC GoT WhatPulse Team :) || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||
Bevestigd door history, was een spatie in de bestandsnaam geslopen:
[...]
LOL!
In mijn geval Sendmail, gezien de logs.
:
Disclaimer :
Dit was allemaal zo lang geleden dat je kans hebt dat ik nu iets raars of niet kloppends zeg!
Zou kunnen, maar zonder FQDN in de host file kon ik wel zonder config emailen naar eigen domeinnaam. De domeinnaam was op dat moment nergens terug te vinden, behalve in bestemmings-emailadres.:
[...]
Gokje :
Server is bang voor nare E-Mail SPAM via Relay gedoe en accepteert de verbinding pas op het moment dat die door heeft dat hij het zelf is dan wel om lokale communicatie gaat
Hmm, heb ooit wel eens ergens commentaar gehad dat je de rc.local daar niet voor moest misbruiken, zou geen nette oplossing zijn:
[...]
Opzich is dat geen gek idee hoor!
Gebruik rc.local trouwens ook vanwege een vaag iets met oscam. Onder Raspbian 9 niks aan de hand, in RPi OS 11 vind ie tijdens de eerste start (met systemd service file) de smartcard reader niet, doe ik achteraf (nu via rc.local) een systemctl restart oscam en dan vind ie 'm wel.:
Zie dit verhaal : https://berthub.eu/articl...nteractieve-tv-zelf-doen/
En dan het volgende :
[...]
Dus eigenlijk gewoon een prima oplossing!
Staat inmiddels bij de bookmarks om daar mogelijk eens een keer wat mee te doen:
[...]
, al voldoet de rc.local oplossing vooralsnog prima.After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...
Oscar Wilde
Hier precies hetzelfde verhaal
Dat hebben ze inderdaad mooi voor elkaar gekregen in DNSmasq/FTLDNSSinds een paar jaar kan PiHole op basis van MAC-adres IPv4-/IPv6-adressen aan elkaar koppelen. Staat er voor een van die adressen een (domein)naam ingesteld, dan weet PiHole op basis van MAC-adres dat die naam ook bij andere IP-adressen kan horen. Handig voor de logs, dat overal de juiste hostnaam/FQDN erbij staat en ook op de pagina waar clients staan vermeld worden de verschillende adressen bij elkaar gezet
|| DPC GoT WhatPulse Team :) || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||
:
[...]
Hier precies hetzelfde verhaal
Daarom rc.local, tegen de tijd dat die wordt uitgevoerd is alles zo'n beetje opgestart. Na aanmaken VLAN's PiHole door rc.local ff slinger geven en het is goed:
Maar dus ook ellende op het moment dat er meerdere processen/services/daemons met elkaar samen moeten werken en de boel niet in de juiste volgorde wordt gestart...
.:
[...]
Dat hebben ze inderdaad mooi voor elkaar gekregen in DNSmasq/FTLDNS
* Raven doet dat ook bij bookmarks zettenDat heb ik dus nu en de FQDN-meldingen zijn sindsdien niet meer teruggekomen, maar de -f optie geeft hetzelfde als hostname zonder optie: De hostnaam. Maar heb toch echt:
1
2
3
4
5
6
7
8
9
10
11
12
| Raven@willow:~ $ cat /etc/hosts 127.0.0.1 localhost ::1 localhost ip6-localhost ip6-loopback ff02::1 ip6-allnodes ff02::2 ip6-allrouters 127.0.1.1 willow willow.domain.nl Raven@willow:~ $ hostname willow Raven@willow:~ $ hostname -f willow Raven@willow:~ $ |
After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...
Oscar Wilde
Gaat niet goed met jou en config files tegenwoordig :
1
| 127.0.1.1 willow.domain.nl willow |
|| DPC GoT WhatPulse Team :) || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||
, dacht dat dat niet uitmaakte en RPi-OS zelf wel in staat was te bepalen welke hostname en welke FQDN is After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...
Oscar Wilde
[Voor 47% gewijzigd door deHakkelaar op 01-05-2023 17:50]
There are only 10 types of people in the world: those who understand binary, and those who don't
Het werd overigens wel geaccepteerd door Sendmail (de FQDN meldingen stopten), vandaar dat ik dacht dat het goed was
After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...
Oscar Wilde
Vertel dan effe wat het probleem was zodat een ander er ook wat aan heeft!
|| DPC GoT WhatPulse Team :) || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||
Two possibilities exist: either we are alone in the Universe or we are not. Both are equally terrifying. ― Arthur C. Clarke
Tailscale kan een optie voor je zijn.:
Afgelopen dagen een poging tot inbraak in mijn Raspberry Pi mogen meemaken.
Hoe kwam ik erachter? Aangezien ik het aantal schrijfacties voor mijn Raspberry Pi drastisch heb verminderd met log2ram was ineens mijn /var/log volgelopen (van 23% naar 100% gebruikt) van het ram geheugen voor logging.
En daar stond een grote file btmp. Met lastb kan ik zien dat er vanuit 9 verschillende IP addressen er 84282 maal geprobeerd is in te loggen met verschillende gebruikersnamen (brute force attack). Maar goed dat de gebruikersnaam pi niet meer standaard is in Bulls Eye, ze hebben mijn gebruikersnaam niet gevonden
Normaal zal de firewall de Raspberry Pi vanuit buiten beschermen, echter ik had een poort opengezet boven de 55000 range, om de pi ook vanuit buiten te kunnen benaderen. Heb deze poort maar weer dichtgezet, zo vaak gebruik ik dat niet.
met 2 regeltjes code met iptables los je het op:
Afgelopen dagen een poging tot inbraak in mijn Raspberry Pi mogen meemaken.
Hoe kwam ik erachter? Aangezien ik het aantal schrijfacties voor mijn Raspberry Pi drastisch heb verminderd met log2ram was ineens mijn /var/log volgelopen (van 23% naar 100% gebruikt) van het ram geheugen voor logging.
En daar stond een grote file btmp. Met lastb kan ik zien dat er vanuit 9 verschillende IP addressen er 84282 maal geprobeerd is in te loggen met verschillende gebruikersnamen (brute force attack). Maar goed dat de gebruikersnaam pi niet meer standaard is in Bulls Eye, ze hebben mijn gebruikersnaam niet gevonden
Normaal zal de firewall de Raspberry Pi vanuit buiten beschermen, echter ik had een poort opengezet boven de 55000 range, om de pi ook vanuit buiten te kunnen benaderen. Heb deze poort maar weer dichtgezet, zo vaak gebruik ik dat niet.
Daarvoor heb ik een VM ingericht als jump point. Daar draait een ander OS op en die VM doet niets anders dan SSH. Dus als je nog een werkeloze Pi hebt liggen kun je die daar mooi voor gebruiken:
[...]
met 2 regeltjes code met iptables los je het op
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED --source 192.168.178.0/24 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 22 -j DROP
in mijn geval poort 22 (SSH), je geeft eerst je eigen netwerk toegang en dat is heel belangrijk anders hang je jezelf op.
Ik heb dus iets dergelijks mee gemaakt en ben 3 hele lange dagen in iptables gedoken, alweer een hele tijd terug, ik zal het nooit meer vergeten
)[Voor 15% gewijzigd door _Eend_ op 16-05-2023 12:04]
jeetje man, wat kun jij ingewikkeld doen, die 2 regeltjes code van mij is veeeeeeeeeeeeeeeel handiger, niks VM:
[...]
Daarvoor heb ik een VM ingericht als jump point. Daar draait een ander OS op en die VM doet niets anders dan SSH. Dus als je nog een werkeloze Pi hebt liggen kun je die daar mooi voor gebruiken
Het voordeel is dat je maar op 1 machine alle meuk in je logfile ziet, en alle interne machines zouden dan mooie, schone logs moeten hebben.
anders heb je een probleem
Als je niet helemaal thuis bent in iptables zou je ook nog crontabje kunnen maken waarin je een scriptje draait dat na een x-aantal minuten je iptables regeltjes opslaat in een bestandje en daarna weggooit. Zo kun je gewoon wat aankloten met iptables en toch nog er bij kunnen komen als je iets fout doet.
(niet vergeten om als je klaar bent dat scriptje weer uit te zetten
En wat doen deze commando's?:
[...]
met 2 regeltjes code met iptables los je het op
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED --source 192.168.178.0/24 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 22 -j DROP
in mijn geval poort 22 (SSH), je geeft eerst je eigen netwerk toegang en dat is heel belangrijk anders hang je jezelf op.
Ik heb dus iets dergelijks mee gemaakt en ben 3 hele lange dagen in iptables gedoken, alweer een hele tijd terug, ik zal het nooit meer vergeten
Ha. Ja, voor een paar machines kan dat wel, en zo deed ik het ook totdat ik 'iets' meer dan een hand vol had. Ik ben vaak niet thuis en wil dan in een verloren uurtje nog wel eens verder gaan met een projectje. Zo installeer en verwijder ik regelmatig vm's, dan moet ik voor elke vm een port forward instellen (en ja, dat kun je ook anders oplossen) wat ik nog wel eens vergat..:
[...]
jeetje man, wat kun jij ingewikkeld doen, die 2 regeltjes code van mij is veeeeeeeeeeeeeeeel handiger, niks VM
Op het moment dat mijn Raspberry Pi aan het Internet zou hangen komen er ook meteen Private/Public Keys bij kijken en kan je vanaf dat moment niet eens met een wachtwoord inloggen!:
Afgelopen dagen een poging tot inbraak in mijn Raspberry Pi mogen meemaken.
Hoe kwam ik erachter? Aangezien ik het aantal schrijfacties voor mijn Raspberry Pi drastisch heb verminderd met log2ram was ineens mijn /var/log volgelopen (van 23% naar 100% gebruikt) van het ram geheugen voor logging.
En daar stond een grote file btmp. Met lastb kan ik zien dat er vanuit 9 verschillende IP addressen er 84282 maal geprobeerd is in te loggen met verschillende gebruikersnamen (brute force attack). Maar goed dat de gebruikersnaam pi niet meer standaard is in Bulls Eye, ze hebben mijn gebruikersnaam niet gevonden
Normaal zal de firewall de Raspberry Pi vanuit buiten beschermen, echter ik had een poort opengezet boven de 55000 range, om de pi ook vanuit buiten te kunnen benaderen. Heb deze poort maar weer dichtgezet, zo vaak gebruik ik dat niet.
Volgens mij heb je die tweede niet eens nodig, want IPTables kan je zo inrichten dat alleen de ALLOW dingetjes echt iets toevoegen en al het overige standaard DROP is aan het einde van je Firewall Rules:
met 2 regeltjes code met iptables los je het op
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED --source 192.168.178.0/24 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 22 -j DROP
in mijn geval poort 22 (SSH), je geeft eerst je eigen netwerk toegang en dat is heel belangrijk anders hang je jezelf op.
Ik heb dus iets dergelijks mee gemaakt en ben 3 hele lange dagen in iptables gedoken, alweer een hele tijd terug, ik zal het nooit meer vergeten
|| DPC GoT WhatPulse Team :) || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||
Daarom heb ik dus zo'n jump host ingericht. Scheelt weer geklooi met keys e.d.:
[...]
Op het moment dat mijn Raspberry Pi aan het Internet zou hangen komen er ook meteen Private/Public Keys bij kijken en kan je vanaf dat moment niet eens met een wachtwoord inloggen!
)Klopt ja, maar ik weet niet of dat overal de default is.Volgens mij heb je die tweede niet eens nodig, want IPTables kan je zo inrichten dat alleen de ALLOW dingetjes echt iets toevoegen en al het overige standaard DROP is aan het einde van je Firewall Rules
Dat ^ , * Raven heeft de nftables-firewall van router-pc met default policy DROP voor alles:
[...]
Volgens mij heb je die tweede niet eens nodig, want IPTables kan je zo inrichten dat alleen de ALLOW dingetjes echt iets toevoegen en al het overige standaard DROP is aan het einde van je Firewall Rules
After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...
Oscar Wilde
het is maar waar je voor kiest, per slot van rekening maar 2 regeltjes code en wel zo duidelijk:
[...]
Op het moment dat mijn Raspberry Pi aan het Internet zou hangen komen er ook meteen Private/Public Keys bij kijken en kan je vanaf dat moment niet eens met een wachtwoord inloggen!
[...]
Volgens mij heb je die tweede niet eens nodig, want IPTables kan je zo inrichten dat alleen de ALLOW dingetjes echt iets toevoegen en al het overige standaard DROP is aan het einde van je Firewall Rules
After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...
Oscar Wilde
Daarom is die hier sinds de komst van model 2 met pensioen
After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...
Oscar Wilde
Check voortaan dit soort bronnen als je het idee hebt dat je een EOL versie draait :
In principe :
Maar als die niet als Server aan het Internet hangt dan zou ik zeggen doe lekker waar je zin in hebt!
|| DPC GoT WhatPulse Team :) || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||
:fill(white):strip_exif()/i/2002871478.jpeg?f=thumbmini)
:fill(white):strip_exif()/i/2001890515.jpeg?f=thumbmini)
:fill(white):strip_exif()/i/2000629918.jpeg?f=thumbmini)
:fill(white):strip_exif()/i/2002131643.jpeg?f=thumbmini)
:fill(white):strip_exif()/i/1368545453.jpeg?f=thumbmini)
:fill(white):strip_exif()/i/1359993655.jpeg?f=thumbmini)
:strip_exif()/i/2000563436.gif?f=thumbmini)
:strip_exif()/i/1354526135.png?f=thumbmini)
:fill(white):strip_exif()/i/2001374155.jpeg?f=thumbmini)
:fill(white):strip_exif()/i/2000868540.jpeg?f=thumbmini)
:strip_exif()/i/2001422085.jpeg?f=thumbmini)
/u/669546/crop645389a7e3f72_cropped.png?f=community)
:strip_icc():strip_exif()/u/72351/Toon_en_Len%25202015-02-02%252070x69.jpg?f=community)
raspbian
Raspberry Pi:strip_exif()/u/49248/DPCkoeienUD.gif?f=community)
:strip_icc():strip_exif()/u/178794/Iron_Maiden_klein.jpg?f=community)
:strip_icc():strip_exif()/u/326874/crop588097c82e375_cropped.jpeg?f=community)
:strip_icc():strip_exif()/u/25009/avatar.jpg?f=community){kind=avatar}
/u/298857/crop6471d9676d431.png?f=community)
:strip_icc():strip_exif()/u/212073/crop5790930e15fe8_cropped.jpeg?f=community)
:strip_icc():strip_exif()/u/230662/crop5de55c1a73df2_cropped.jpeg?f=community)
:strip_exif()/u/128173/crop59a1592e54731_cropped.gif?f=community)
/u/94596/crop643fb12fd4e6d.png?f=community)
/u/658914/crop5f7a5ee826414_cropped.png?f=community)
:strip_icc():strip_exif()/u/279592/crop561258ca2dd6e_cropped.jpeg?f=community)
:strip_icc():strip_exif()/u/463852/crop571b7218848a3_cropped.jpeg?f=community)
/u/321863/crop63280f2a06b9b_cropped.png?f=community)
/u/408619/crop5c58994c17c4b_cropped.png?f=community)
:strip_exif()/u/214177/crop5b157c29026bd_cropped.gif?f=community)
