Discussion:
E1/E64 brute_force_blocking (BFB) 1.0.14 testing released
Add Reply
Olaf Jaehrling
2020-06-18 21:43:40 UTC
Antworten
Permalink
Hallo allerseits,

ich habe eine neue Version released.
Die wichtigste Änderung ist die integration von nftables. Es kann nun
ausgewählt werden zwischen iptables und nftabels. Durch diese Änderungen
habe ich das Paket als testing eingestuft. Das stable-Paket ist
weiterhin auch unter [1] verfügbar.
Um reichliches Feedback wird gebeten, vor allem wenn nftables verwendet
wird damit ich es wieder auf stable hochstufen kann.

Hier die changes:
- nftables-support hinzugefuegt
- Achtung. Die Funktion nftables konnte ich nicht auf einem Remotesystem
testen
Ich habe einfach keines mit nftables. Hier bin ich auf Rueckmeldung
angewiesen.
- BFB_BOT_FREE_IP_NET_V6 hizugefuegt. Damit kann nun auch ein ipv6
Netz auf die whitelist.
- Fehler beim Erstellen der html-Dateien (ipv6) gehoben
- ipv4toipv6-Adressen (::ffff:) werden fuer BFB in richtige ipv4 umgewandelt
- Twitter hat textbrowser verbannt. Deshalb gehen bei der proakiven Sperrung
die alternativen Twitteraccounts nicht mehr, sondern nur noch der von BFB.
Dieser wird online per ttytter abgefragt und die Liste als txt-file
bereitgestellt. Die txt gab es aber auch schon vorher
- wegen der aktuellen Aenderungen Rueckstufung als testing

Das Paket ist unter [1] installierbar.

Feedback, Anregungen und Kritiken bitte hier in der NG/Forum.

Viele Spaß noch mit eisfair.

Gruß

Olaf

[1] https://ojaehrling.de/eis/index.txt
Dirk Alberti
2020-06-19 10:42:42 UTC
Antworten
Permalink
Hallo Olaf,
Post by Olaf Jaehrling
Hallo allerseits,
ich habe eine neue Version released.
Die wichtigste Änderung ist die integration von nftables. Es kann nun
ausgewählt werden zwischen iptables und nftabels. Durch diese Änderungen
habe ich das Paket als testing eingestuft. Das stable-Paket ist
weiterhin auch unter [1] verfügbar.
Um reichliches Feedback wird gebeten, vor allem wenn nftables verwendet
wird damit ich es wieder auf stable hochstufen kann.
ich verwende nftables nicht, weil mir das bis dato gar nicht bekannt
war. Erstmal einlesen, ob und wofür man das brauchen könnte. ;-)

Das Update ging ohne Probleme vonstatten. Über den Betrieb kann ich noch
nichts sagen.

Beim Setup fiel mir der Punkt "BFB_EXTERNAL_INTERFACE" auf, wo bei mir
"eth0" drinstand. Ich wollte auch grad hier anmerken, dass doch die
eth-Devicenamen gar nicht mehr verwendet werden, doch der Aufruf dieses
Parameters brachte ein Auswahlmenü, wo meine korrekten Devices zur Wahl
standen. Sehr schön! Nun stimmt auch dieses. War das schon länger so
drin? :-o

Vielen Dank und Gruß

Dirk
Post by Olaf Jaehrling
- nftables-support hinzugefuegt
- Achtung. Die Funktion nftables konnte ich nicht auf einem Remotesystem
testen
Ich habe einfach keines mit nftables. Hier bin ich auf Rueckmeldung
angewiesen.
- BFB_BOT_FREE_IP_NET_V6 hizugefuegt. Damit kann nun auch ein ipv6
Netz auf die whitelist.
- Fehler beim Erstellen der html-Dateien (ipv6) gehoben
- ipv4toipv6-Adressen (::ffff:) werden fuer BFB in richtige ipv4 umgewandelt
- Twitter hat textbrowser verbannt. Deshalb gehen bei der proakiven Sperrung
die alternativen Twitteraccounts nicht mehr, sondern nur noch der von BFB.
Dieser wird online per ttytter abgefragt und die Liste als txt-file
bereitgestellt. Die txt gab es aber auch schon vorher
- wegen der aktuellen Aenderungen Rueckstufung als testing
Das Paket ist unter [1] installierbar.
Feedback, Anregungen und Kritiken bitte hier in der NG/Forum.
Viele Spaß noch mit eisfair.
Gruß
Olaf
[1] https://ojaehrling.de/eis/index.txt
Olaf Jaehrling
2020-06-19 10:30:19 UTC
Antworten
Permalink
Hallo Dirk,
Post by Dirk Alberti
ich verwende nftables nicht, weil mir das bis dato gar nicht bekannt
war. Erstmal einlesen, ob und wofür man das brauchen könnte. ;-)
nftables ist der Nachfolger von iptables. So wird zu Beispiel bei debian
empfohlen innerhalb von 2 Jahren auf nftables umzusteigen. Debian 11
wird vorauss. schon kein iptables mehr haben. Siehe auch [1],
Redhat verwendet jetzt schon per default nftables und bei suse ist die
Umstellung auch geplant [2].
Aber kein Grund zur Hektik. Eisfair != Debian :)

Wenn du dir das mal anschauen willst wie deine Einträge dann aussehen
mach mal auf der Konsole
iptables-save ->/tmp/ipt
iptables-restore-translate -f /tmp/ipt >/tmp/nft
less /tmp/nft

So sieht das dann denächst aus. :)

Wenn du BCN nutzt, lass aber noch iptables. nftabels kann noch kein
geoip mittels Modulen.
siehe [3]
Wenn ich BCN dann angepasst habe gebe ich hier Bescheid.
Post by Dirk Alberti
Das Update ging ohne Probleme vonstatten. Über den Betrieb kann ich noch
nichts sagen.
Beim Setup fiel mir der Punkt "BFB_EXTERNAL_INTERFACE" auf, wo bei mir
"eth0" drinstand. Ich wollte auch grad hier anmerken, dass doch die
eth-Devicenamen gar nicht mehr verwendet werden, doch der Aufruf dieses
Parameters brachte ein Auswahlmenü, wo meine korrekten Devices zur Wahl
standen. Sehr schön! Nun stimmt auch dieses. War das schon länger so
drin? :-o
Jupp, das ist schon seit einiger Zeit so. Ich glaube kurz nach
Einführung von udev :)
Post by Dirk Alberti
Vielen Dank und Gruß
Dirk
[1]
https://www.computerweekly.com/de/ratgeber/nftables-versus-iptables-Das-muessen-Linux-Admins-beachten
[2] https://www.linux-magazin.de/news/iptables-1-8-setzt-auf-nftables/
[3] http://wiki.nftables.org/wiki-nftables/index.php/GeoIP_matching
Dirk Alberti
2020-06-21 12:18:47 UTC
Antworten
Permalink
Hallo Olaf,
Post by Olaf Jaehrling
Hallo Dirk,
nftables ist der Nachfolger von iptables. So wird zu Beispiel bei debian
empfohlen innerhalb von 2 Jahren auf nftables umzusteigen. Debian 11
wird vorauss. schon kein iptables mehr haben. Siehe auch [1],
Redhat verwendet jetzt schon per default nftables und bei suse ist die
Umstellung auch geplant [2].
Aber kein Grund zur Hektik. Eisfair != Debian :)
okay, Danke für die Erleuchtung.
Post by Olaf Jaehrling
Wenn du BCN nutzt, lass aber noch iptables. nftabels kann noch kein
geoip mittels Modulen.
siehe [3]
Wenn ich BCN dann angepasst habe gebe ich hier Bescheid.
Dann bleibe ich noch bei iptables.
Post by Olaf Jaehrling
Post by Dirk Alberti
Beim Setup fiel mir der Punkt "BFB_EXTERNAL_INTERFACE" auf, wo bei mir
"eth0" drinstand. Ich wollte auch grad hier anmerken, dass doch die
eth-Devicenamen gar nicht mehr verwendet werden, doch der Aufruf dieses
Parameters brachte ein Auswahlmenü, wo meine korrekten Devices zur Wahl
standen. Sehr schön! Nun stimmt auch dieses. War das schon länger so
drin? :-o
Jupp, das ist schon seit einiger Zeit so. Ich glaube kurz nach
Einführung von udev :)
Huch, da ist im BFB-Setup wohl was an mir vorbeigegangen. :-o


Gruß, Dirk
Kay Martinen
2020-06-20 19:46:35 UTC
Antworten
Permalink
Hallo Olaf.

Ich hab da mal grundsätzliche Fragen zu BfB denn ich wollte es neulich
testen, fand es leider erst nicht und nun ist das erst mal obsolet weil
sich anderes geändert hat.
Post by Olaf Jaehrling
- nftables-support hinzugefuegt
- Achtung. Die Funktion nftables konnte ich nicht auf einem Remotesystem
testen
Ich dachte BfB blockiert auf einem Eisfair zuhause IP aus dem Internet
z.b. wenn er in einer DMZ säße. Oder geht es hierbei um das Durchlassen
einer ssh verbindung von einer Dialin IP - auf einem EIS der direkt im
Internet hinge?
Post by Olaf Jaehrling
- BFB_BOT_FREE_IP_NET_V6 hizugefuegt. Damit kann nun auch ein ipv6
Netz auf die whitelist.
Bot? Ich verstehe nicht worum es da gehen könnte?
Post by Olaf Jaehrling
- Fehler beim Erstellen der html-Dateien (ipv6) gehoben
Gibt es ein Webinterface für BfB? Oder ist damit das regeltabellen
speichern in html gemeint?
Post by Olaf Jaehrling
- ipv4toipv6-Adressen (::ffff:) werden fuer BFB in richtige ipv4 umgewandelt
- Twitter hat textbrowser verbannt. Deshalb gehen bei der proakiven Sperrung
die alternativen Twitteraccounts nicht mehr, sondern nur noch der von BFB.
Hier fehlt mir der Zusammenhang was Twitter (das ich nicht nutze) damit
zu tun hat.
Post by Olaf Jaehrling
Dieser wird online per ttytter abgefragt und die Liste als txt-file
bereitgestellt. Die txt gab es aber auch schon vorher
Feedback, Anregungen und Kritiken bitte hier in der NG/Forum.
Mir ist allerdings mal aufgefallen das noch etliche weitere tools für
BfB nötig sind. Das fand ich unerwartet weil ich glaubte das sei ein
Tool das schlicht IPs und Ports sperrt von denen mehrfach unerwünschte
verbindungsanfragen kämen. Wie da Bots(?) Twitter und html rein passen
erschließt sich mir nicht. IMHO auch nicht aus der Beschreibung.


Kay
--
Posted via leafnode
Olaf Jaehrling
2020-06-20 20:26:10 UTC
Antworten
Permalink
Hallo Kay,
Post by Kay Martinen
Hallo Olaf.
Ich hab da mal grundsätzliche Fragen zu BfB denn ich wollte es neulich
testen, fand es leider erst nicht und nun ist das erst mal obsolet weil
sich anderes geändert hat.
Was hat sich denn geändert so dass du es nicht mehr einsetzen kannst?
Post by Kay Martinen
Post by Olaf Jaehrling
- nftables-support hinzugefuegt
- Achtung. Die Funktion nftables konnte ich nicht auf einem Remotesystem
testen
Ich dachte BfB blockiert auf einem Eisfair zuhause IP aus dem Internet
z.b. wenn er in einer DMZ säße. Oder geht es hierbei um das Durchlassen
einer ssh verbindung von einer Dialin IP - auf einem EIS der direkt im
Internet hinge?
Korrekt. BFB blockiert Angreifer-IP's aus dem Internet in Richtung EIS.
Es gibt aber auch User, die eine Linux/fli4l-Firewall davor haben und
die IP dort schon gern blocken möchten, was auch durchaus Sinn macht.
Post by Kay Martinen
Post by Olaf Jaehrling
- BFB_BOT_FREE_IP_NET_V6 hizugefuegt. Damit kann nun auch ein ipv6
Netz auf die whitelist.
Bot? Ich verstehe nicht worum es da gehen könnte?
Lt Doku:
BFB_MONITOR_BOT_ATTACK
Soll BFB auch auf SSH-Attacken von einem BOT-Net aus ueberwachen?
Das bedeutet, dass die brute-force-attacke nicht mehr von einer einzelnen
IP-Adresse kommt, sondern zeitgleich von mehrere Adressen, so dass das
sperren einer einzelnen IP-Adresse nicht moeglich ist, bzw. keine Erfolg
bringen wuerde.
Deshalb wird beim Detektieren von BFB_MONITOR_BOT_ATTACK_ATTEMPTS
fehlerhaften Login versuchen der komplette SSH-Port gesperrt.
Damit man sich trotzdem einloggen kann, kann man eine IP-Range bzw.
einzelne IPs eintragen, welche weiterhin Zugang haben.
Post by Kay Martinen
Post by Olaf Jaehrling
- Fehler beim Erstellen der html-Dateien (ipv6) gehoben
Gibt es ein Webinterface für BfB? Oder ist damit das regeltabellen
speichern in html gemeint?
Das betrifft die Variable BFB_REQUEST_BLOCKS_VIA_WEBSERVER.
Hier kann man über ein Webinterface sehen welche IP-Adressen geblockt
sind und weshalb.
Post by Kay Martinen
Post by Olaf Jaehrling
- ipv4toipv6-Adressen (::ffff:) werden fuer BFB in richtige ipv4 umgewandelt
- Twitter hat textbrowser verbannt. Deshalb gehen bei der proakiven Sperrung
die alternativen Twitteraccounts nicht mehr, sondern nur noch der von BFB.
Hier fehlt mir der Zusammenhang was Twitter (das ich nicht nutze) damit
zu tun hat.
Auch hier die Doku:
BFB_SEND_ATTACKER_TO_TWITTER
Sendet Angreifer-IP, angegriffenen Servic und die Uhrzeit an den
Twitteraccount http://twitter.com/EIS_BFB damit BFB diese bei allen anderen
Usern proaktiv blocken kann. Das atma.es script ruft diese Daten ab und
blockiert die IP's schon bevor der Hacker einen Angriff auf den eigenen
Server
startet.

Für die Proaktiv-Funktion wird(wurde) dieser und auch noch andere
Twitteraccounts per commandlinebrowser abgefragt und die IP-Adressen
proaktiv gesperrt.
Wenn du diese Funktion eingeschaltet hast sendet BFB einen festgelegten
Text an den o.g. Account. Das nutzen einige Nutzer und einige nicht.
Jeder wie er gerne möchte.
Fakt ist wenn du das aktiviert hast und von der ip-Adresse 266.266.266.2
(ich weiß, gibbet nicht) angeriffen wirst sendest du das an diesen
Account und ein anderes User profitiert davon weil diese IP bei ihm auch
gesperrt wird wenn er BFB_BLOCK_PROACTIVE_FROM_ATMA aktiviert hat. Der
Begriff atma resultiert aus meinen 1.Versuchen damit und befragte (mit
Genehmigung) den Twitteraccount von atma_es.
Mit links, lynx, wget oder curl lässt sich twitter aber leider nicht
mehr abfragen weil nur noch javascript erlaubt ist. Probiere es aus:
lynx/links/curl https://twitter.com/EIS_BFB.
Post by Kay Martinen
Post by Olaf Jaehrling
Dieser wird online per ttytter abgefragt und die Liste als txt-file
bereitgestellt. Die txt gab es aber auch schon vorher
Feedback, Anregungen und Kritiken bitte hier in der NG/Forum.
Mir ist allerdings mal aufgefallen das noch etliche weitere tools für
BfB nötig sind. Das fand ich unerwartet weil ich glaubte das sei ein
Tool das schlicht IPs und Ports sperrt von denen mehrfach unerwünschte
verbindungsanfragen kämen. Wie da Bots(?) Twitter und html rein passen
erschließt sich mir nicht. IMHO auch nicht aus der Beschreibung.
Welche Tools? BFB benötigt nur iptables/nftables, ipcalc, binutils, ein
mailprogramm und einen Textbrowser. Mehr nicht. Wenn die Liste länger
ist, ist das eine Abhängigkeit eines dieser Programme. Da habe ich
keinen Einfluss drauf.


Gruß

Olaf
Post by Kay Martinen
Kay
Kay Martinen
2020-06-20 21:10:03 UTC
Antworten
Permalink
Post by Olaf Jaehrling
Post by Kay Martinen
Hallo Olaf.
Ich hab da mal grundsätzliche Fragen zu BfB denn ich wollte es neulich
testen, fand es leider erst nicht und nun ist das erst mal obsolet weil
sich anderes geändert hat.
Was hat sich denn geändert so dass du es nicht mehr einsetzen kannst?
Ich hatte eine VM mit leafnode im Zwischennetz von Providerrouter und
Internem Router und dachte die mit BfB zusätzlich absichern zu können.
Ich hatte aber die dazu nötige Eislist nicht eingetragen und als ich das
später hatte und feststellte das ca. ein dutzend weitere pakete nötige
werden ließ ich es erst mal bleiben. Und dann stellte sich raus das es
mit leafnode dort bestenfalls unpraktisch ist weil ich nicht auch noch
ein mailsystem drauf setzen wollte und ssmtp nicht wollte wie ich
dachte, nicht deinstallierbar war und msmtp drum nicht testbar war.
Darum hatte ich auch nicht mehr weiter in eine Doku geschaut.
Post by Olaf Jaehrling
Korrekt. BFB blockiert Angreifer-IP's aus dem Internet in Richtung EIS.
Es gibt aber auch User, die eine Linux/fli4l-Firewall davor haben und
die IP dort schon gern blocken möchten, was auch durchaus Sinn macht.
BFB_MONITOR_BOT_ATTACK
Soll BFB auch auf SSH-Attacken von einem BOT-Net aus ueberwachen?
Das bedeutet, dass die brute-force-attacke nicht mehr von einer einzelnen
IP-Adresse kommt, sondern zeitgleich von mehrere Adressen, so dass das
sperren einer einzelnen IP-Adresse nicht moeglich ist, bzw. keine Erfolg
bringen wuerde.
Deshalb wird beim Detektieren von BFB_MONITOR_BOT_ATTACK_ATTEMPTS
fehlerhaften Login versuchen der komplette SSH-Port gesperrt.
Das war die eigentliche Frage die ich eingangs vergaß. Es wirkte so als
ob BfB mit irgendwelchen Externen Diensten verbunden wäre, diese nutzt
oder von dort daten bezieht? Ich meine außer dns oder whois oder so.

Dann kommuniziert BfB nicht mit Externen Diensten - außer evtl. dem
Paketfilter eines FLI der davor läge (ist bei mir nicht möglich)?
Post by Olaf Jaehrling
Post by Kay Martinen
Post by Olaf Jaehrling
- Fehler beim Erstellen der html-Dateien (ipv6) gehoben
Gibt es ein Webinterface für BfB? Oder ist damit das regeltabellen
speichern in html gemeint?
Das betrifft die Variable BFB_REQUEST_BLOCKS_VIA_WEBSERVER.
Hier kann man über ein Webinterface sehen welche IP-Adressen geblockt
sind und weshalb.
BfB erstellt die Seite? Apache nötig oder geht auch mini_httpd?
Letzteren verwende ich lieber wenn ich keinen sonstigen Webdienst auf
einem EIS brauche.
Post by Olaf Jaehrling
Post by Kay Martinen
Post by Olaf Jaehrling
- Twitter hat textbrowser verbannt. Deshalb gehen bei der proakiven Sperrung
die alternativen Twitteraccounts nicht mehr, sondern nur noch der von BFB.
BFB_SEND_ATTACKER_TO_TWITTER
Sendet Angreifer-IP, angegriffenen Servic und die Uhrzeit an den
Twitteraccount http://twitter.com/EIS_BFB damit BFB diese bei allen anderen
Usern proaktiv blocken kann. Das atma.es script ruft diese Daten ab und
gesperrt wird wenn er BFB_BLOCK_PROACTIVE_FROM_ATMA aktiviert hat. Der
Begriff atma resultiert aus meinen 1.Versuchen damit und befragte (mit
Genehmigung) den Twitteraccount von atma_es.
Oh, okay. Avast u.a. würden das wohl schon Cloud oder Sharing benamsen.
Okay. Hätte ich nicht erwartet. Erweitertes Feature das ich nicht nutzen
muß. Info an (m)einem Telegram-account wäre mir eher als Sinnvolle
Erweitertung eingefallen.
Post by Olaf Jaehrling
Post by Kay Martinen
Mir ist allerdings mal aufgefallen das noch etliche weitere tools für
BfB nötig sind. Das fand ich unerwartet weil ich glaubte das sei ein
Tool das schlicht IPs und Ports sperrt von denen mehrfach unerwünschte
verbindungsanfragen kämen.
Welche Tools? BFB benötigt nur iptables/nftables, ipcalc, binutils, ein
mailprogramm und einen Textbrowser. Mehr nicht. Wenn die Liste länger
ist, ist das eine Abhängigkeit eines dieser Programme. Da habe ich
keinen Einfluss drauf.
Das die Liste von vorher schon installiertem abhängt ist soweit klar.

Ich mache da immer wieder den Fehler bei einer längeren Liste zu stutzen
und mich zu fragen "was, wie, wozu diese ganzen libs und tool xyz" und
dann davor zurück schrecke es zu installieren.

S.o. Mail ist auf o.h. z.B. nicht installiert und die Alternativen
funktionierten nicht. Drum ist die VM jetzt auch nicht mehr aktiv.

Und, ja Detlef. Ich hätte die Doku lesen sollen, vermutete aber das ich
selbst danach noch die gleichen Fragen gehabt hätte. Wie die nach
Nutzung Externer Dienste (als Datenquellen für BfB!).

Kay
--
Posted via leafnode
Marcus Röckrath
2020-06-20 21:27:30 UTC
Antworten
Permalink
Hallo Kay,
Post by Kay Martinen
Ich mache da immer wieder den Fehler bei einer längeren Liste zu stutzen
und mich zu fragen "was, wie, wozu diese ganzen libs und tool xyz" und
dann davor zurück schrecke es zu installieren.
Wenn etwas eine Abhängigkeit ist, wirds wohl auch nötig sein.

Kompilierte Programme nutzen meist eine Reihe von Libs; wenn nicht schon
wegen eines anderen Paketes drauf, kommts dann mit dem jetzt zu
installierenden.

Vieles ist auch modular auf viele Pakete verteilt - heutzutage viel
modularer als noch vor einigen Jahren - so dass man eben ganz gezielt
einzelne Libs requiren kann, anstatt eine RiesenLib-Paket zu installieren,
von dem dann nur eine Lib wirklich gebraucht wird.

Bei perl gabs früher genau drei Addon-Pakete, die nun komplett in einzelne
Pakete aufgelöst wurden.
--
Gruß Marcus
[eisfair-Team]
Olaf Jaehrling
2020-06-20 21:41:24 UTC
Antworten
Permalink
Hallo Kay,
Post by Kay Martinen
dachte, nicht deinstallierbar war und msmtp drum nicht testbar war.
Darum hatte ich auch nicht mehr weiter in eine Doku geschaut.
Schwerer Fehler :)
Post by Kay Martinen
Das war die eigentliche Frage die ich eingangs vergaß. Es wirkte so als
ob BfB mit irgendwelchen Externen Diensten verbunden wäre, diese nutzt
oder von dort daten bezieht? Ich meine außer dns oder whois oder so.
Dann kommuniziert BfB nicht mit Externen Diensten - außer evtl. dem
Paketfilter eines FLI der davor läge (ist bei mir nicht möglich)?
Nö, warum auch? Nur wenn du es willst sendet es zu twitter und nur wenn
du es willst bezieht es Daten davon. Deine freie Entscheidung.
Post by Kay Martinen
BfB erstellt die Seite? Apache nötig oder geht auch mini_httpd?
Letzteren verwende ich lieber wenn ich keinen sonstigen Webdienst auf
einem EIS brauche.
Das ist deine Entscheidung und dein können. BFB erstellt nur die html
dort wo du es es im setup angibst.
Post by Kay Martinen
Oh, okay. Avast u.a. würden das wohl schon Cloud oder Sharing benamsen.
Okay. Hätte ich nicht erwartet. Erweitertes Feature das ich nicht nutzen
muß. Info an (m)einem Telegram-account wäre mir eher als Sinnvolle
Erweitertung eingefallen.
Gibt es seit es das Paket Telegram gibt. Steht auch in der Doku.
Post by Kay Martinen
Ich mache da immer wieder den Fehler bei einer längeren Liste zu stutzen
und mich zu fragen "was, wie, wozu diese ganzen libs und tool xyz" und
dann davor zurück schrecke es zu installieren.
Das war früher auch anders, aber das Team hat dann irgendwann
entschieden jede einzelne lib in ein eigenes Paket zu packen. Glaube
mir; für uns "Paketbauer" ist das auch ein Graus jede einzelne
Abhängigkeit herauszufinden und dort einzutragen. Ein Grund warum ich
90% meiner Pakete eingestampft habe. Schau dir nur mal die "perl"Liste
an. Da wird einem schlecht. Available packages: (1-21 of 389 total)


Gruß

Olaf
Marcus Röckrath
2020-06-21 07:14:07 UTC
Antworten
Permalink
Hallo Olaf,
Post by Olaf Jaehrling
Post by Kay Martinen
Ich mache da immer wieder den Fehler bei einer längeren Liste zu stutzen
und mich zu fragen "was, wie, wozu diese ganzen libs und tool xyz" und
dann davor zurück schrecke es zu installieren.
Das war früher auch anders, aber das Team hat dann irgendwann
entschieden jede einzelne lib in ein eigenes Paket zu packen.
Ich halte diese Modularität für besser, weil man genau das als require
angibt, waas gebraucht wird und nicht ein Sammellibpaket.

Da wir inzwischen zumeist aus SuSE-RPMs bauen, fallen dann exakt ein
eisfair- aus einem SuSE-Binary-RPM ab.

Ich habe mir ein Skript geschrieben, dass die Abhängigkeiten fertig zum
reinkopieren in das info-File erstellt:

Ich kann es dir gerne zuschicken.
--
Gruß Marcus
[eisfair-Team]
Kay Martinen
2020-06-21 08:22:15 UTC
Antworten
Permalink
Post by Dirk Alberti
Hallo Olaf,
Post by Olaf Jaehrling
Post by Kay Martinen
Ich mache da immer wieder den Fehler bei einer längeren Liste zu stutzen
und mich zu fragen "was, wie, wozu diese ganzen libs und tool xyz" und
dann davor zurück schrecke es zu installieren.
Das war früher auch anders, aber das Team hat dann irgendwann
entschieden jede einzelne lib in ein eigenes Paket zu packen.
Ich halte diese Modularität für besser, weil man genau das als require
angibt, waas gebraucht wird und nicht ein Sammellibpaket.
Zugegeben. Allerdings stutze ich oft wenn ich namen von tools oder libs
sehe und deren Zweck daraus zu lesen versuche was zum Geier die mit dem
eigentlichen Programmzweck zu schaffen hätten. Ich weiß leider grad kein
Beispiel aber bei sachen wie 'apache requires php' oder 'xyz requires
perl' ist das noch nachvollziehbar. Doch bei anderem wundere ich mich
speziell wenn es vom namen her überhaupt nicht zusammen passen will.
Da wünscht ich mir schon mehr Programmierwissen um nachschauen zu können
was/wie viel von liby von tool y überhaupt verwendet wird.

Generalverdacht ist da dann Bloat wg. Faulheit des Programmierers
oder??? Nicht gegen die Eisfair-truppe gemeint, sondern Upstream (also
die von denen es eigentlich kommt).
Post by Dirk Alberti
Da wir inzwischen zumeist aus SuSE-RPMs bauen, fallen dann exakt ein
eisfair- aus einem SuSE-Binary-RPM ab.
In dem Zusammenhang und an E1-Alpine denkend... hat mal jemand versucht
die Eisfair Konfig-Schicht auf ein Wald-und-Wiesen Debian an zu wenden?

Suse und RPM sind mir nicht nur fremd sondern auch unsympathisch. Debian
kenne ich besser. Und ich weiß nicht wie es mit Yast o.a. bei Suse wäre
aber Bei Debian bekommt man CUI Like Dialoge schon oft wenn man z.b. ein
'dpkg-reconfigure ssmtp' (oder anderen Dienst) ausführt. Allerdings...
systemd - wenn man von Devuan absieht!


Kay
--
Posted via leafnode
Thomas Quast
2020-06-21 09:38:35 UTC
Antworten
Permalink
Hallo Kay,
Post by Kay Martinen
Zugegeben. Allerdings stutze ich oft wenn ich namen von tools oder
libs sehe und deren Zweck daraus zu lesen versuche was zum Geier die
mit dem eigentlichen Programmzweck zu schaffen hätten. Ich weiß
leider grad kein Beispiel aber bei sachen wie 'apache requires php'
oder 'xyz requires perl' ist das noch nachvollziehbar. Doch bei
anderem wundere ich mich speziell wenn es vom namen her überhaupt
nicht zusammen passen will. Da wünscht ich mir schon mehr
Programmierwissen um nachschauen zu können was/wie viel von liby von
tool y überhaupt verwendet wird.
Ein Beispiel? Da kann ich Dir helfen. :)

Am 03.06.2013 schriebst Du unter dem Betreff:

E-1 rrdtool und libxdmcp? Wofür bitte???

-----cut-----cut-----cut-----cut-----cut-----
ich habe auf einem server nun das updaten von rrdtool, den perl modulen
und anderem angefangen.

Dabei stieß ich auf libxdmcp die im zuge dessen installiert wird. Das
finde ich irgendwie merkwürdig.

Lt. Beschreibung:

This package provides the main interface to the X11 display
manager control protocol library, which allows for remote logins to
display managers.

Warum, zum Geier ist die nötig um rrdtool grafiken zu erstellen?
Für mich hat das den Anschein als würde da das halbe X-Window System auf
der Platte landen und einen remote login ermöglichen.

[...]
-----cut-----cut-----cut-----cut-----cut-----
Post by Kay Martinen
Generalverdacht ist da dann Bloat wg. Faulheit des Programmierers
oder??? Nicht gegen die Eisfair-truppe gemeint, sondern Upstream
(also die von denen es eigentlich kommt).
Auch da nehme ich wieder Bezug auf den Thread vom 03.06.2020 und kann
nur das gleiche schreiben:

So mancher Entwickler verwendet bereits existierende Routinen / Libs, um
das Rad nicht neu erfinden zu muessen. Das hat nichts mit Faulheit zu tun.

Stelle Dir doch nur mal vor, das hast zehn Anwendungen auf Deiner
Maschine und alle wollen PNGs erstellen. Jetzt liefern dann alle zehn
Anwendungen Libs mit, welche sich um die Erzeugung der PNGs kuemmern.

Da wird es dann schnell voll auf Deiner Maschine.

Gibt es dann (z.B.) ein Sicherheitsproblem mit der Erzeugung der PNGs,
so musst Du warten, bis ALLE zehn Anwendungen ihre Libs angepasst haben.
Effizienz gleich Null.

Das gleiche gibt es bei eisfair und seiner Konfigurationsschicht.
eisfair liefert Routinen und Scripts mit, welche von Entwickler
verwendet werden koennnen, um sich die Arbeit zu erleichtern. So muss
nicht jeder alles neu 'erfinden'.
Post by Kay Martinen
In dem Zusammenhang und an E1-Alpine denkend... hat mal jemand
versucht die Eisfair Konfig-Schicht auf ein Wald-und-Wiesen Debian an
zu wenden?
Nicht auf ein Wald-und-Wiesen-Debian, aber auf ein Raspian. Habe ich
aber dann aufgegeben. Viel zu viel Arbeit fuer einen alleine.
--
Gruss,
Thomas

Packageserver: https://www.oritopha.de/index.txt
Holger Bruenjes
2020-06-21 10:00:31 UTC
Antworten
Permalink
Hallo Thomas
Post by Thomas Quast
Dabei stieß ich auf libxdmcp die im zuge dessen installiert wird. Das
finde ich irgendwie merkwürdig.
grep "\]require libxdmcp6 " /var/lib/eisman/packages.db

mach mal ein grep, aber die spaces muessen bleiben

Holger
Thomas Quast
2020-06-21 11:06:00 UTC
Antworten
Permalink
Hallo Holger,
Post by Holger Bruenjes
Post by Thomas Quast
Dabei stieß ich auf libxdmcp die im zuge dessen installiert wird. Das
finde ich irgendwie merkwürdig.
grep "\]require libxdmcp6 " /var/lib/eisman/packages.db
mach mal ein grep, aber die spaces muessen bleiben
Das war keine Frage von meiner Seite. Das war ein Zitat von Kay aus dem
Jahr 2013.

Gruss,
Thomas
--
Packageserver: https://www.oritopha.de/
Marcus Röckrath
2020-06-21 15:56:17 UTC
Antworten
Permalink
Hallo Thomas,
Post by Thomas Quast
Post by Kay Martinen
Doch bei
anderem wundere ich mich speziell wenn es vom namen her überhaupt
nicht zusammen passen will. Da wünscht ich mir schon mehr
Programmierwissen um nachschauen zu können was/wie viel von liby von
tool y überhaupt verwendet wird.
So mancher Entwickler verwendet bereits existierende Routinen / Libs, um
das Rad nicht neu erfinden zu muessen. Das hat nichts mit Faulheit zu tun.
Und das beginnt schon bei Routine-Programmieraufgaben, wenn man als
Programmierer z. B. String-, mathematische oder irgendwelche
Konvertier-Operationen braucht und die es schon als Libs gibt. Hier als
Programmierer nun selbst diese neu zu schreiben, wäre absolut unsinnig.

Die Verwendung solcher allgemeiner Libraries kann nicht mit dem Namen der
eigentlichen Anwendung korrelieren.
--
Gruß Marcus
[eisfair-Team]
Marcus Röckrath
2020-06-21 10:51:53 UTC
Antworten
Permalink
Hallo Kay,
Post by Kay Martinen
Post by Marcus Röckrath
Ich halte diese Modularität für besser, weil man genau das als require
angibt, waas gebraucht wird und nicht ein Sammellibpaket.
Zugegeben. Allerdings stutze ich oft wenn ich namen von tools oder libs
sehe und deren Zweck daraus zu lesen versuche was zum Geier die mit dem
eigentlichen Programmzweck zu schaffen hätten. Ich weiß leider grad kein
Beispiel aber bei sachen wie 'apache requires php' oder 'xyz requires
perl' ist das noch nachvollziehbar. Doch bei anderem wundere ich mich
speziell wenn es vom namen her überhaupt nicht zusammen passen will.
Da wünscht ich mir schon mehr Programmierwissen um nachschauen zu können
was/wie viel von liby von tool y überhaupt verwendet wird.
Wir übersetzen Binaries aus Sourcen fremder Quellen.

Wenn du Zweifel hast, ob das Tool A wirklich die Libs A, B, C, D, E, ...
braucht, musst du entweder die Quelle studieren, oder den Entwickler direkt
befragen.

Die Namen von Lib-Paketen sind auch kein Ding, wo wir nach möglichst
griffigen, nichtssagenden, ... Namen suchen.

Diese sind in der Regel in anderen Distris ähnlich oder gleich benamt,
insbesondere halten wir uns an die Banamung unter SuSE.
Post by Kay Martinen
Generalverdacht ist da dann Bloat wg. Faulheit des Programmierers
oder??? Nicht gegen die Eisfair-truppe gemeint, sondern Upstream (also
die von denen es eigentlich kommt).
s. o. Wir schiben es durch den Compiler, die Anforderungen kommen aus der
Source.
Post by Kay Martinen
Post by Marcus Röckrath
Da wir inzwischen zumeist aus SuSE-RPMs bauen, fallen dann exakt ein
eisfair- aus einem SuSE-Binary-RPM ab.
In dem Zusammenhang und an E1-Alpine denkend... hat mal jemand versucht
die Eisfair Konfig-Schicht auf ein Wald-und-Wiesen Debian an zu wenden?
Ähnliches ist mit eisfair-2 und eisfair-ng inzwischen schon zweimal
gescheitert.
Post by Kay Martinen
Suse und RPM sind mir nicht nur fremd sondern auch unsympathisch. Debian
kenne ich besser. Und ich weiß nicht wie es mit Yast o.a. bei Suse wäre
SuSE-SRC-Rpms als Quelle für den Buildprozess zu nutzen hat mit Yast nichts
zu tun. Yast ist eine Konfigurationsoberfläche für die Distribution aber
nichts, was dem Kompilieren von Paketen dient.

Für eisfair-Pakete braucht man einen Kompilierprozess, dabei ist es völlig
egal, ob man die mit manuell mit configure/make, einen rpmbuild oder
sonstwas macht, spielt keine Rolle.
--
Gruß Marcus
[eisfair-Team]
Olaf Jaehrling
2020-06-21 12:37:51 UTC
Antworten
Permalink
Moin Marcus,
Post by Dirk Alberti
Hallo Olaf,
Ich halte diese Modularität für besser, weil man genau das als require
angibt, waas gebraucht wird und nicht ein Sammellibpaket.
So gehen die Meinungen auseinander :) *lächel*
Post by Dirk Alberti
Da wir inzwischen zumeist aus SuSE-RPMs bauen, fallen dann exakt ein
eisfair- aus einem SuSE-Binary-RPM ab.
Ich habe mir ein Skript geschrieben, dass die Abhängigkeiten fertig zum
Ich kann es dir gerne zuschicken.
Ja, das wäre sehr lieb von dir.

Danke und Gruß

Olaf
Marcus Röckrath
2020-06-21 12:56:39 UTC
Antworten
Permalink
Hallo Olaf,
Post by Olaf Jaehrling
Post by Marcus Röckrath
Ich habe mir ein Skript geschrieben, dass die Abhängigkeiten fertig zum
Ich kann es dir gerne zuschicken.
Ja, das wäre sehr lieb von dir.
Ist unterwegs.
--
Gruß Marcus
[eisfair-Team]
Olaf Jaehrling
2020-06-21 16:37:19 UTC
Antworten
Permalink
Moin Marcus.
Post by Dirk Alberti
Hallo Olaf,
Post by Olaf Jaehrling
Post by Marcus Röckrath
Ich habe mir ein Skript geschrieben, dass die Abhängigkeiten fertig zum
Ich kann es dir gerne zuschicken.
Ja, das wäre sehr lieb von dir.
Ist unterwegs.
Danke Dir


Gruß

Olaf
Detlef Paschke
2020-06-20 20:27:05 UTC
Antworten
Permalink
Am 20.06.2020 um 21:46 schrieb Kay Martinen:

Hallo Kay,
Post by Kay Martinen
Ich hab da mal grundsätzliche Fragen zu BfB denn ich wollte es neulich
testen, fand es leider erst nicht und nun ist das erst mal obsolet weil
sich anderes geändert hat.
...
Post by Kay Martinen
Ich dachte BfB blockiert auf einem Eisfair zuhause IP aus dem Internet
z.b. wenn er in einer DMZ säße. Oder geht es hierbei um das Durchlassen
einer ssh verbindung von einer Dialin IP - auf einem EIS der direkt im
Internet hinge?
...
Post by Kay Martinen
Bot? Ich verstehe nicht worum es da gehen könnte?
...
Post by Kay Martinen
Gibt es ein Webinterface für BfB? Oder ist damit das regeltabellen
speichern in html gemeint?
...
Post by Kay Martinen
Hier fehlt mir der Zusammenhang was Twitter (das ich nicht nutze) damit
zu tun hat.
...
Post by Kay Martinen
Mir ist allerdings mal aufgefallen das noch etliche weitere tools für
BfB nötig sind. Das fand ich unerwartet weil ich glaubte das sei ein
Tool das schlicht IPs und Ports sperrt von denen mehrfach unerwünschte
verbindungsanfragen kämen. Wie da Bots(?) Twitter und html rein passen
erschließt sich mir nicht. IMHO auch nicht aus der Beschreibung.
ich bin ja für gewöhnlich nicht so und etwas entspannter aber jetzt muss
es auch mal sein.
Meinst Du nicht selbst, dass ein gewisses Grundmaß an lesen der Doku
angebracht wäre. Die Doku wurde erst vor kurzem überarbeitet und erklärt
BFB und seine einzelnen Funktionen sehr genau.
Post by Kay Martinen
Kay
Viele Grüße
Detlef Paschke
--
Das "Zitat des Augenblicks" gibt es nur auf
http://www.schabau.goip.de
Meine "Merkzettel"
http://www.helpdesk.goip.de
Loading...