Laberthread: Rootserver mit Debian Jessie *FULL ENCRYPTED* inkl. Iptables-Firewall...

[Osprey]

/scripts/init-premount/deupts: line 21: mountpoint: not found

Schau dir mal die Zeile 21 an der Datei.

 

[TDCroPower]

Das ist mir auch aufgefallen, dachte das kommt davon da die Partition verschlüsselt ist?

Das einzige was ich noch an der Anleitung tricky fand, der Hinweis bei sda1 das die Partition „bootfähig“ sein muss.
Ist das eine spezielle Option die gesetzt werden muss?

Oder liegt es am Remote-Unlock Teil das etwas verkehrt ist und er dadurch nicht unlocken kann?

 

[TDCroPower]

in der deupts Datei finde ich an Line 21 folgendes...

Spoiler

[...]
20 # If /dev/pts is already mounted, don't re-mount it.
21 mountpoint -q /dev/pts || exit 0
22
23 log_begin_msg "Mounting devpts"
24
25 mkdir -p /dev/pts
26 mount -t devpts none /dev/pts

erklärt mir aktuell leider noch nicht das Problem/Ursache.

ich habe mit Hilfe von DeepSeek als Lösungsvorschlag folgendes Script hinzugefügt...

Spoiler

root@xxxx:/# which mountpoint
/bin/mountpoint

script...

Spoiler

nano /etc/initramfs-tools/hooks/mountpoint

scriptinhalt...

Spoiler

#!/bin/sh
PREREQ=""
prereqs() {
    echo "$PREREQ"
}
case "$1" in
    prereqs)
        prereqs
        exit 0
        ;;
esac

. /usr/share/initramfs-tools/hook-functions
copy_exec /bin/mountpoint /bin

dann noch ausführbar gemacht...

Spoiler

chmod +x /etc/initramfs-tools/hooks/mountpoint

und initramfs aktualisiert...

Spoiler

update-initramfs -u

.... nun ist die Fehlermeldung wohl an Stelle 26 für mount und das es busy ist.
Irgendwas fehlt doch oder ist noch verkehrt oder?

 

[Osprey]

in der deupts Datei finde ich an Line 21 folgendes...

Würde es mit auskommentieren # der Zeile 21 probieren

 

[TDCroPower]

Ich habe mal nach alternativen zum entsperren geschaut und da wurde mir folgende Variante...

Spoiler

~ # echo -n 'pass' | /sbin/cryptsetup open /dev/vda3 vda3_crypt --key-file=-
Unsupported LUKS version 2.

Dabei erhalte ich eine Fehlermeldung wegen der LUKS Version !?
Liegt es vielleicht an der LUKS Version, sodass er nicht entsperren kann per Busybox?

eben mal nachgeschaut, ist LUKS 2...

Spoiler

root@deb12 ~ # cryptsetup luksDump /dev/vda3 | grep "Version"
Version:           2

edit:
DAS war es !!!
Es lag an der LUKS Version, mit folgendem Befehl wird anstatt LUKS Version 2 die Version 1 verwendet...

Spoiler

cryptsetup luksFormat --type luks1 /dev/vda3

... alles andere kann identisch bleiben und dann funktioniert der unlock und er bootet endlich!

 

[TDCroPower]

Das IPTables Script habe ich von hier genommen...

M

Thema 'IPTables (Firewall) Script für euren Server'

28. Januar 2014

nano /etc/init.d/firewall

#!/bin/sh
### BEGIN INIT INFO
# Provides:          custom firewall
# Required-Start:    $remote_fs $syslog $network
# Required-Stop:     $remote_fs $syslog $network
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# Short-Description: firewall initscript
# Description:       Custom Firewall
### END INIT INFO

IPT=/sbin/iptables

case "$1" in
start)

# bestehende Verbindungen
$IPT -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Über Loopback alles erlauben
$IPT -I INPUT -i lo -j ACCEPT
$IPT -I OUTPUT -o lo -j ACCEPT
# SSH
$IPT -A...

• meister85
• firewall iptables script server
• Antworten: 105
• Forum: Root / Vserver Server Sicherheit

• 

iptables -L sieht soweit in Ordnung aus... werde aber später nochmal die Script Variante aus der Anleitung testen.

So nun als nächstes Schritt 3 testen mit dem aktuellen simplebuild3 release von hier...

Thema 'Simplebuild 3 (310 Final) *de en bg es fr it nl pl pt tr* language support'

25. Januar 2019

Hallo
ich würde mich über vorschläge freuen wie ich den installer ausgestalten soll
-basis abfragen der configuration
offen ist zb die art des update modus
benötigt werden noch muttersprachler um die sprachfiles zu überprüfen
und den installer auch multisprache zu erstellen

i would be happy to receive suggestions on how to design the installer
-base query of the configuration
open is e.g. the type of update mode
are still needed native speakers to check the language files
and to create the installer in multiple languages as well
im github clonebar für...

• gorgone
• language simplebuild
• Antworten: 1.064
• Forum: OScam allgemein

• 

 

[TDCroPower]

Ich habe nun erfolgreich von jessie -> stretch -> buster -> bullseye auf bookworm aktualisiert.
Was einem ab dem ersten Upgrade verfolgt, ist folgender Hinweis...

dropbear: WARNING: Setting DROPBEAR in /etc/initramfs-tools/initramfs.conf is deprecated and will be ignored in a future release

beim upgrade von bullseye auf bookworm wird es dann ernst und man erhält die Meldung...

dropbear: WARNING: Missing host keys, SSH login to initramfs won't work!
dropbear: WARNING: Invalid authorized_keys file, SSH login to initramfs won't work!

also ist hier spätestens die Zeit die Setting in...
/etc/initramfs-tools/initramfs.conf
... DROPBEAR=y zu korrigieren/anzupassen.

Laut den bekannten KI Tools, soll man unter...
/etc/dropbear/initramfs
... einen eigenen Hostschlüssel erstellen.
Und für die LUKS freischaltung muss noch folgendes gemacht werden...

Spoiler

cp ~/.ssh/authorized_keys /etc/dropbear/initramfs
chmod 600 /etc/dropbear/initramfs/authorized_keys

Habe mich heute noch nicht weiter damit befasst aber werde ich noch angehen müssen.
Aber solange war ausser beim Upgrade von jessie auf stretch die network settings verloren gegangen, wodurch nur per VNC diese korrigieren konnte.
Ansonsten läuft alles wie firewall scripte und oscam, soweit ich das testen/sehen konnte.
Mit einem aktuellen Bookworm Release wäre ich dann auf dem VPS deutlich beruhigter

 

[TDCroPower]

Ok habe nun auch das Dropbear Thema wohl abgeschlossen, ist gar nicht so tricky aber es funktioniert soweit, sodass ich weiterhin nach einem reboot die Partition freischalten kann.
Zunächst extrahiert man den öffentlichen Schlüssel aus seinem bestehenden privaten Schlüssel...

Spoiler

ssh-keygen -y -f /etc/initramfs-tools/root/.ssh/id_rsa > /tmp/id_rsa.pub

Danach kopiert man den öffentlichen Schlüssel in die authorized_keys-Datei...

Spoiler

cp /tmp/id_rsa.pub /etc/dropbear/initramfs/authorized_keys

Stellt noch sicher das die Berechtigung nur auf 600 gesetzt sind...

Spoiler

chmod 600 /etc/dropbear/initramfs/authorized_keys

entfernt die veraltete DROPBEAR=y-Einstellung aus /etc/initramfs-tools/initramfs.conf

Spoiler

nano /etc/initramfs-tools/initramfs.conf

einfach mit einem # auskommentieren oder die Zeile löschen...

Spoiler

# DROPBEAR=y

Nun fügt man in die neue dropbear Config den Parameter hinzu...

Spoiler

nano /etc/dropbear/initramfs/dropbear.conf

den Parameter am Ende der Datei einfügen...

Spoiler

DROPBEAR=y

dann noch das Initramfs aktualisieren....

Spoiler

update-initramfs -u

Nun das System rebooten und hoffen das man entsperren kann...

Spoiler

reboot

 

[TDCroPower]

Noch ein weiterer Hinweis erhält man auf das firewall Script aus der Anleitung...

insserv: warning: script 'firewall.sh' missing LSB tags
insserv: Default-Start undefined, assuming empty start runlevel(s) for script `firewall.sh'
insserv: Default-Stop  undefined, assuming empty stop runlevel(s) for script `firewall.sh'

dafür muss im Script oben lediglich folgendes hinzugefügt werden...

Spoiler

#!/bin/bash
### BEGIN INIT INFO
# Provides:          firewall
# Required-Start:    $network $syslog
# Required-Stop:     $network $syslog
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# Short-Description: Start/Stop firewall
# Description:       This script manages the firewall rules using iptables.
### END INIT INFO

sleep 5
iptables=$(which iptables)
iptablesv6=$(which ip6tables)

# ... (Rest des Skripts bleibt unverändert)

edit:
ich habe das Firewall Script mal ein wenig erweitert, sodass es für den Nutzer einfacher zu verstehen ist und einige Syntax Probleme dabei behoben.
Zusätzlich habe ich noch den Rate-Limiting Teil von meister85 seiner Script Version hinzugefügt.

Spoiler: firewall.sh

#!/bin/bash
### BEGIN INIT INFO
# Provides:          firewall
# Required-Start:    $network $syslog
# Required-Stop:     $network $syslog
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# Short-Description: Start/Stop firewall
# Description:       This script manages the firewall rules using iptables.
### END INIT INFO

iptables=$(which iptables)
iptablesv6=$(which ip6tables)
#User Definition mit Zugriffen auf spezielle Services
#user="user.dyndns.org,deinedyn.homedns.com"
#(Ist vor Block APNIC eingebaut!)
#sharepartner="bla.dyndns.org"

# wenn iptables nicht installiert, Fehlermeldung ausgeben und abbrechen
if [ -z "$iptables" ]; then
    echo "[Error] iptables is not installed or not in the PATH." >&2
    exit 1
fi

# wenn iptablesv6 nicht installiert, Fehlermeldung ausgeben und abbrechen
if [ -z "$iptablesv6" ]; then
    echo "[Error] iptablesv6 is not installed or not in the PATH." >&2
    exit 1
fi

case "$1" in
start)
echo "[+] Waiting 5 seconds..."
sleep 5
echo "[+] Starting firewall..."
# alle Regeln löschen
$iptables -t nat -F
$iptables -t filter -F
$iptables -X
#$iptablesv6 -t nat -F
$iptablesv6 -t filter -F
$iptablesv6 -X
$iptables -P INPUT DROP
$iptables -P FORWARD DROP
$iptablesv6 -P FORWARD DROP
$iptables -A INPUT -i lo -j ACCEPT
$iptables -A OUTPUT -o lo -j ACCEPT
$iptablesv6 -A INPUT -i lo -j ACCEPT
$iptablesv6 -A OUTPUT -o lo -j ACCEPT
$iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$iptablesv6 -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#$iptablesv6 -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$iptables -P OUTPUT ACCEPT
$iptablesv6 -P OUTPUT ACCEPT

# OpenVPN (IP Adresse ggf. anpassen und zum aktivieren des Zugriffs # entfernen!)
#$iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -d 10.20.30.40 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#$iptables -A OUTPUT -p icmp --icmp-type 0 -s 10.20.30.40 -d 0/0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# SSH
$iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 22222 -j ACCEPT

#Xtream-Codes (Port ggf. anpassen und zum aktivieren des Zugriffs # entfernen!)
#$iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport PORT -j ACCEPT

#OScam Webif (Port ggf. anpassen und zum aktivieren des Zugriffs # entfernen!)
#$iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport PORT -j ACCEPT

#CCcam Share (Port ggf. anpassen und zum aktivieren des Zugriffs # entfernen!)
#$iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport PORT -j ACCEPT

#Cs378x Share (Port ggf. anpassen und zum aktivieren des Zugriffs # entfernen!)
#$iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport PORT -j ACCEPT

#DROPS (unerwünschte IPs, von denen JEGLICHE Anfragen verworfen werden):
#$iptables -I INPUT --source <IP> -j DROP
#$iptables -I INPUT --source <IP> -j DROP

#Sharepartner Beispiel CE Port 1337
#$iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED --source $sharepartner -p tcp --dport 1337-j ACCEPT
#Jeder Sharepartner kann somit auf Port 1337 connecten.
#Willst du das es einer nicht mehr tut, dann einfach oben in der Variable den betroffenen Sharepartner entfernen!

#Block APNIC LACNIC
#Hinweis: Blockiert Asien, Südamerika, Mittelamerika, beschränkt Russland bzw. Osteuropa!
APNIC=(
        "1.0.0.0/8"
        "14.0.0.0/8"
        "27.0.0.0/8"
        "36.0.0.0/8"
        "39.0.0.0/8"
        "42.0.0.0/8"
        "43.0.0.0/8"
        "49.0.0.0/8"
        "58.0.0.0/8"
        "59.0.0.0/8"
        "60.0.0.0/8"
        "61.0.0.0/8"
        "101.0.0.0/8"
        "103.0.0.0/8"
        "106.0.0.0/8"
        "110.0.0.0/8"
        "111.0.0.0/8"
        "112.0.0.0/8"
        "113.0.0.0/8"
        "114.0.0.0/8"
        "115.0.0.0/8"
        "116.0.0.0/8"
        "117.0.0.0/8"
        "118.0.0.0/8"
        "119.0.0.0/8"
        "120.0.0.0/8"
        "121.0.0.0/8"
        "122.0.0.0/8"
        "123.0.0.0/8"
        "124.0.0.0/8"
        "125.0.0.0/8"
        "126.0.0.0/8"
        "133.0.0.0/8"
        "150.0.0.0/8"
        "153.0.0.0/8"
        "163.0.0.0/8"
        "171.0.0.0/8"
        "175.0.0.0/8"
        "177.0.0.0/8"
        "179.0.0.0/8"
        "180.0.0.0/8"
        "181.0.0.0/8"
        "182.0.0.0/8"
        "183.0.0.0/8"
        "186.0.0.0/8"
        "187.0.0.0/8"
        "189.0.0.0/8"
        "190.0.0.0/8"
        "200.0.0.0/8"
        "201.0.0.0/8"
        "202.0.0.0/8"
        "203.0.0.0/8"
        "210.0.0.0/8"
        "211.0.0.0/8"
        "218.0.0.0/8"
        "219.0.0.0/8"
        "220.0.0.0/8"
        "221.0.0.0/8"
        "222.0.0.0/8"
        "223.0.0.0/8"
        )

for blockapnic in "${APNIC[@]}"
do
        $iptables -A INPUT --source $blockapnic -j DROP
done

$iptables -N LOGGING
$iptables -A INPUT -j LOGGING
$iptables -A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTables Packet Dropped: " --log-level 7
$iptables -A LOGGING -j DROP
$iptables -A LOGGING -j REJECT

#PING Sperre
$iptables -A INPUT -i eth0 -j REJECT

# SICHERHEIT
$iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
$iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
$iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
$iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s

echo "[OK] Firewall has been activated, the server is protected."
;;
stop)
echo "[+] Stopping firewall..."

$iptables -t nat -F
$iptables -t filter -F
$iptables -X
$iptables -P INPUT ACCEPT
$iptables -P OUTPUT ACCEPT
$iptables -P FORWARD ACCEPT
$iptablesv6 -t nat -F
$iptablesv6 -t filter -F
$iptablesv6 -X
$iptablesv6 -P INPUT ACCEPT
$iptablesv6 -P OUTPUT ACCEPT
$iptablesv6 -P FORWARD ACCEPT

echo "[!] Firewall has been stopped, the server is unprotected."
;;
restart|reload|force-reload)
$0 stop
$0 start
;;
*)
echo "[Error] Invalid argument."
echo "Usage: $0 (start|stop|restart)"
exit 1
#;;
esac
exit 0

 

[TDCroPower]

@axel @Osprey habt ihr was dagegen, wenn ich die Anleitung neu schreibe inklusive dem Weg bis hoch auf Debian 12?
Soweit funktioniert dann auch wie gewohnt fail2ban und alles andere, da die aktuellen Repos/Packages von Debian 12 verfügbar sind

Habe meinen VPS nun paar neu aufgesetzt um die einzelnen Schritte zu checken und soweit sieht es ziemlich gut aus.
Das einzige, man erhält auch mit der aktuellen firewall.sh von euch unmengen fehlgeschlagene ssh login Versuche aus aller Welt.
Daher ist die Kombination aus firewall, fail2ban und korrekter sshd config ziemlich wichtig sonst gehört der VPS schnell jemanden anderem und nicht mehr euch selber

 

[Osprey]

Mich brauchst du nicht fragen, ist nicht meine Anleitung. Nur zu

 

[TDCroPower]

Erledigt ...

gelöst Thema 'Rootserver mit Debian Bookworm *FULL ENCRYPTED* inkl. Firewall/fail2ban und OSCam'

28. Februar 2025

Angelehnt an die super Anleitung von axel: Rootserver mit Debian Jessie/Stretch FULL ENCRYPTED inkl. Iptables-Firewall und Simplebuild
wollte ich eine aktuellere Anleitung zu dem Thema anbieten mit dem ich meinen eigenen VPS erfolgreich aufgesetzt habe.

Diese Anleitung dreht sich um folgende Aspekte:

• Angemieteten "Dedicated Rootserver"/VPS vollverschlüsseln via "Rescue-System"
• Iptables- (Firewall-)Skript zur Absicherung des Servers
• fail2ban um ungewünschte Login Versuche auszusperren
• Installation von IPC oder simplebuild3 zum "selbstbacken" von OSCam

...

• TDCroPower
• Antworten: 20
• Forum: Root / Vserver Server Sicherheit

•