Zugriffe auf Pi überwachen

Heute ist Stammtischzeit:
Jeden Donnerstag 20:30 Uhr hier im Chat.
Wer Lust hat, kann sich gerne beteiligen. ;)
  • Moin
    Bestimmt gibt es schon einige Themen dazu und ich bin zu blöd zum suchen :blush:
    Ich habe auf meinem Raspberry einen Server laufen mit owncloud, GPIO-Steuerung und anderen Dingen. Da ich das Gefühl habe, dass von außen auf den Pi zugegriffen wird würde ich dies gerne überwachen. Ich würde gerne wissen Wann von wo auf den Pi zugegriffen wird und am besten auch was der User macht. Ich kenne so etwas von Google-Analytic welches ich mal für einen Blog verwendet habe.
    Gibt es so etwas auch für den PI?


  • ... das Gefühl habe, dass von außen auf den Pi zugegriffen wird ...

    Wie soll man das verstehen, wenn es um den apache geht? Hast Du den Zugriff von außen, nicht (absichtlich) freigegeben?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Ja ich habe das über noip realisiert. Damit ich von überall drauf zugreifen kann. Nun wollte ich aber mal überprüfen in wieweit z.B. vom Smartphone o.Ä. Daten weitergegeben werden und dann von anderen Servern aus darauf zugegriffen wird.
    Und wenn ich die Zugriffe lokalisieren und zeitlich eingrenzen kann wäre das möglich.


  • Und wenn ich die Zugriffe lokalisieren und zeitlich eingrenzen kann wäre das möglich.

    Das geht z. B. mit tcpdump:

    Code
    sudo tcpdump -vvveni any port 80

    EDIT:

    Evtl. auch nur den Verbindungsversuch zum PI (mit dem syn-flag) sniffen:

    Code
    sudo tcpdump -vvveni any dst port 80 and 'tcp[tcpflags] & (tcp-syn) != 0'

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    Einmal editiert, zuletzt von rpi444 (1. Februar 2016 um 21:50)

  • Wenn es nur um den Apache geht, reichen doch eigentlich die Logs des Apaches aus, oder?
    /var/log/apache2/error.log
    /var/log/apache2/access.log
    (und eventuell die vom Logrotate schon verschobenen Logs)

    Computer ..... grrrrrr

  • Da ich nicht so erfahren bin in der Auswertung solcher Daten wäre es schön eine Grafische aufbereitung dafür zubekommen?!

    Und zu dem tcpdump:
    Wie lange sollte ich sowas höchstens laufen lassen damit die Datei nicht zu groß wird?


  • Und zu dem tcpdump:
    Wie lange sollte ich sowas höchstens laufen lassen damit die Datei nicht zu groß wird?

    Du könntest das z. B. mit "-c 500", auf 500 Zugriffe beschränken:

    Code
    sudo tcpdump -c 500 -vvveni any dst port 80 and 'tcp[tcpflags] & (tcp-syn) != 0'

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample


  • Aber eine Möglichkeit mit grafischer Aufbereitung gibt es nicht ?! :huh:

    Tach'chen,

    eine grafische Zusammenfassung gibt es schon, z.B. liefert linux-dash eine recht gute Übersicht was gerade so
    auf dem Pi los ist.

    Wenn es um Sicherheit geht, ist es nicht so wichtig, ob da nun eine Grafik produziert wird, vielmehr zählt hier der Überblick, d.h.
    ob es überhaupt zu (möglichen) Angriffen gekommen ist.

    Statt die vielen Log-Dateien per Hand zu durchforsten verwende ich Logwatch. Das liefert eine gute tabellarische Zusammenfassung
    der Zugriffe auf den Pi die man sich auch täglich per Email zustellen lassen kann.

    Beste Grüße,

    /luetzel

    242

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!