Mumble-Server und Fail2Ban
In der aktuellen, stabilen Version des Mumble-Servers sind die Meldungen bezüglich der Verweigerung einer Verbindung (Rejected connection) und die dazugehörige IP-Adresse des Clienten auf verschiedene Zeilen verteilt:
2014-07-11 04:50:06.614 1 => <16:(-1)> New connection: 1.2.3.4:60787 2014-07-11 04:50:06.699 1 => <16:(-1)> Client version 1.2.7 (Win: 1.2.7) 2014-07-11 04:50:06.700 1 => <16:User(-1)> Rejected connection: Wrong certificate or password for existing user 2014-07-11 04:50:06.701 1 => <16:User(-1)> Connection closed: [-1]
Somit lassen sich Benutzer aufgrund solcher Verbindungsanfragen nicht automatisch mit z. B. Fail2Ban sperren, da dieses zeilenweise arbeitet.
Seit der Patch von Patrick Matthäi (der bereits seit längerem im Debian-Paket des Mumble-Servers verwendet wird) in den Code übernommen wurde stehen die notwendigen Daten in derselben Zeile:
2014-07-18 05:41:19.231 1 => <38:Natenom(-1)> Rejected connection from 1.2.3.4:48338: Wrong certificate or password for existing user
Nun kann man sich für Fail2Ban eine Regel erstellen, die einen solchen Benutzer nach x Verbindungsversuchen automatisch per iptables aussperrt.
Mumble-Server und Syslog
Der Mumble-Server (Murmur) loggt seine Geschehnisse normalerweise sowohl in die Datenbank als auch in eine festlegbare Logdatei. Seit einem Pull Request von main– kann Murmur seine Meldungen nun auch direkt an einen Syslog-Dienst schicken. Somit entfällt eine zusätzliche Logdatei. Dazu weist man der Variable logfile in der .ini-Konfigurationsdatei den Wert „syslog“ zu.
Multitail-Schema für Mumble-Server-Logs im Syslog?
Verwendete man bisher z. B. dieses Farbschema zur Darstellung des Mumble-Server-Logs in Multitail, so kann man in die Datei /etc/multitail.conf an der Stelle des Schemas für syslog noch die Zeilen anfügen, die es hier gibt. Dann hat man auch im Syslog eine farbliche Anzeige der Mumble-Server betreffenden Einträge.
Mumble-Server und Logcheck?
Für Logcheck gibt es auch ein paar Zeilen im Wiki, sodass normale Ereignisse eines Mumble-Servers einem nicht andauernd zugeschickt werden. Für die normale Serverlog des Mumble-Servers gibt es die Zeilen hier. Werde diese in den nächsten Tagen auch für den Fall hinfügen, dass der Mumble-Server syslog verwendet. Siehe hier für die entsprechende Datei für Logcheck.
Ausprobieren
Beide Neuerungen sind bereits im aktuellen Snapshot des Mumble-Servers enthalten, den man hier herunterladen kann.
Kommentare
Kommentare sind für diesen Blogbeitrag (noch) nicht aktiviert. Nach der Veröffentlichung eines Blogbeitrags dauert das in der Regel noch ein paar Minuten.
Alternative: Anmerkung per E-Mail
Du kannst mir Anmerkungen zum Blogbeitrag per E-Mail schicken, wenn du hier klickst. Der Inhalt davon bleibt privat und wird nicht hier im Kommentarbereich veröffentlicht.